কেন সবাই ইত্যাদি / পাসডাব্লুডির বিষয়ে এত উদ্বিগ্ন?


36

এই নির্দিষ্ট ফাইলটির আমার যোজনী যন্ত্রের সামগ্রী এখানে রয়েছে:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/us$
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
syslog:x:100:103::/home/syslog:/bin/false

কেউ যদি আমাকে ব্যাখ্যা করতে পারে যে কোনও খারাপ লোক যদি আমার প্রোডাকশন সার্ভারের এই ফাইলটি পেতে পারে তবে এটি কেন খারাপ?


19
পুরানো দিনগুলিতে প্রতিটি ব্যবহারকারীর জন্য এনক্রিপ্ট করা পাসওয়ার্ড রয়েছে - যেখানে: x: এখন। যদি আপনি এটি পেয়ে থাকেন (যা এটি সবার কাছে পঠনযোগ্য হিসাবে সহজ ছিল, সুতরাং আপনার কেবল একটি লগইন প্রয়োজন) আপনি পাসওয়ার্ডগুলি ক্র্যাক-জোর করে ফেলতে পারেন। এখন তারা / ইত্যাদি / ছায়ায় সংরক্ষণ করা হয়েছে যা "আউট" হওয়ার সম্ভাবনা খুব কমই পড়তে পারে না, তবে এটি যদি হয় তবে একই সমস্যা থাকবে।
মার্ক স্মিথ

8
একটির জন্য আমি বলতে পারি এই মেশিনে আপনার একটি ওয়েবসভার রয়েছে। আপনার আইপি
ঠিকানার সাথে একত্রিত হয়ে এটি হ্যাকযোগ্য

3
@ মার্কস্মিথ এটিতে এনক্রিপ্ট করা পাসওয়ার্ড রয়েছে কখন? আফাইক এটি হ্যাশ পাসওয়ার্ড হিসাবে জীবন শুরু করেছে। অবশ্যই 1982 সালে আমি প্রথম থেকে ইউনিক্স ব্যবহার করেছি
ব্যবহারকারীর 207421

3
@ ফুঙ্গুয়: www- ডেটা ব্যবহারকারী সাধারণত ওয়েব সার্ভার দ্বারা ব্যবহৃত হয়। উবুন্টু এবং সম্ভবত ডেবিয়ান এই ব্যবহারকারীকে ডিফল্ট অ্যাপাচি ব্যবহারকারী হিসাবে ব্যবহার করেছে।
মিথ্যা রায়ান

3
@funguy www-ডেটা ডিফল্ট অ্যাপাচি ব্যবহারকারী। আরও আছে: ইউপ্প ইউনিক্স অনুলিপি অন; এর অর্থ আপনি সিস্টেমের মধ্যে ফাইলগুলি অনুলিপি করেন। এবং "irc" এবং "gnats" স্পট করা সহজ।
রিনজউইন্ড

উত্তর:


47

মূল বিষয়টি হ'ল পেন্টেস্টার / হোয়াইট-টুপি / নৈতিক হ্যাকার পাশাপাশি ব্ল্যাক-টুপি লক্ষ্য /etc/passwd হিসাবে proof of concept, কোনও সিস্টেমে অ্যাক্সেস পাওয়ার সম্ভাবনার পরীক্ষা হিসাবে।

প্রযুক্তিগতভাবে /etc/passwdএটি ভীতিকর নয়। অতীতে এটি ব্যক্তিগত ডেটা, পাসওয়ার্ডগুলি স্পষ্টতই সংরক্ষণ করত, তবে আজকাল আপনাকে আরও চিন্তিত হওয়ার দরকার ছিল /etc/shadow- বেশিরভাগ লিনাক্স সিস্টেম আজকাল shadowএকটি হ্যাশড এবং সল্টেড পাসওয়ার্ড রাখতে ইউটিলিটিগুলির স্যুট ব্যবহার করে /etc/shadow, যা /etc/passwdপৃথিবীর মতো নয় unlike -readable। (যদি না আপনি pwunconvকমান্ডটি ব্যবহার করেন, যা হ্যাশ পাসওয়ার্ডগুলি আসলে `/ etc / passwd এ সরিয়ে দেয়)।

আরও কম বা সংবেদনশীল তথ্যের একমাত্র ব্যবহারকারীর নাম। আপনার যদি sshdবা telnetসার্ভারে এবং দুর্বল পাসওয়ার্ড সহ একটি ব্যবহারকারীর নাম থাকে তবে একটি জোরদার আক্রমণ আক্রমণ করার সম্ভাবনা রয়েছে।

যাইহোক, আপনার খুব একই প্রশ্ন আগে জিজ্ঞাসা করা হয়েছিল । এখানে আমি ইতিমধ্যে উল্লিখিত কিছু ধারণাগুলি পুনরায় ফিরিয়ে দিয়েছি।

ছোট সংযোজন: এটি কিছুটা দূরের, তবে আমি লক্ষ্য করেছি যে আপনার কাছে bashরুট শেল রয়েছে। এখন, ধরুন আপনার সিস্টেমে এমন একটি ব্যবহারকারী রয়েছে যার bashশেল হিসাবে এটি আরও খারাপ - এটি ব্যবহারকারী সুদুয়ার। এখন, যদি আপনি বাশ পুরানো বা অতুলনীয় হয়ে থাকেন তবে কোনও আক্রমণকারী ডেটা চুরি করতে শেলশক দুর্বলতা কাজে লাগাতে বা একটি কাঁটা-বোমা চালিয়ে আপনার সিস্টেমকে অস্থায়ীভাবে নামিয়ে আনতে চেষ্টা করতে পারে । সুতরাং হ্যাঁ, প্রযুক্তিগতভাবে /etc/passwdকোনও বড় বিষয় নয়, তবে এটি আক্রমণকারীকে কী চেষ্টা করা উচিত সে সম্পর্কে কিছু তথ্যের ধারণা দেয়

অতিরিক্ত সম্পাদনা, 11/18/2016

ডিজিটাল মহাসাগরে কিছুক্ষণ উবুন্টু সার্ভার ব্যবহার করার পরে, আমার নজরে এসেছিল যে, আমার সার্ভারের বিরুদ্ধে বেশিরভাগ বর্বর আক্রমণগুলি rootব্যবহারকারীর জন্য করা হয়েছিল - ব্যর্থ পাসওয়ার্ডের জন্য 99% এন্ট্রি /var/log/auth.logছিল root/etc/password, যেমনটি আমি আগেই বলেছি, আক্রমণকারী ব্যবহারকারীদের তালিকার দিকে নজর দেয় এবং কেবল সিস্টেম ব্যবহারকারী নয়, মানব ব্যবহারকারীরাও, যার অর্থ আক্রমণটির আরও সম্ভাব্য স্থান ues আসুন মনে রাখবেন যে সমস্ত ব্যবহারকারী সুরক্ষার জন্য সচেতন নন এবং সবসময় শক্তিশালী পাসওয়ার্ড তৈরি করেন না, সুতরাং মানব ত্রুটি বা অত্যধিক আত্মবিশ্বাসের উপর আক্রমণকারীর বাজির জ্যাকপট হওয়ার যথেষ্ট সম্ভাবনা রয়েছে।


6
+1, দুর্দান্ত উত্তর। এটি যুক্ত করে, আমি আরও বলতে চাই যে, সাধারণভাবে তথ্য শক্তি; কুখ্যাত শেলশককে বাদ দিয়ে, কেউ জড়ো হতে পারে, উদাহরণস্বরূপ, চলমান প্রক্রিয়াগুলির সম্পর্কে তথ্য, যা শোষণও করা যেতে পারে; উদাহরণস্বরূপ, ওপি-র মেশিনে, অ্যাপাচি চলমান, এবং এটি
অপ্রকাশিত

1
হুঁ ... সুতরাং আপনি কী আক্রমণকারীকে বিভ্রান্ত করতে ডিফল্ট ব্যবহারকারীর নাম পরিবর্তন করার পরামর্শ দিতে চান?
ফ্রিডো

@ ফ্রিডম যা সাহায্য করে না। আপনি লগ-ইন পরিবর্তন করলে ব্যবহারকারী এবং গ্রুপ আইডি একই থাকে। উদাহরণ হিসেবে বলা যায়, এখানে আমার testuser আছে: testuser1:x:1001:1001:,,,:/home/testuser:/bin/bash। আমি চালানোর sudo usermod testuser1 -l testuser2 sudo usermod testuser1 -l testuser2 , প্রবেশ ভিন্ন ব্যবহারকারীর নাম কিন্তু gid এবং ইউআইডি একই আছেন: testuser2:x:1001:1001:,,,:/home/testuser:/bin/bash। যদি পাসওয়ার্ডটি অপরিবর্তিত থাকে তবে আক্রমণকারী একটি অনুমান করতে পারে এবং তবুও সিস্টেমটিকে ক্র্যাক করতে পারে। মেয়াদ উত্তীর্ণ হওয়ার জন্য এবং পাসওয়ার্ডের জন্য একবারে একবারে পরিবর্তন করা প্রয়োজন এটি আরও ভাল পদ্ধতির, তবে বুলেট প্রুফও নয়।
সের্গেই কোলোডিয়াজনি

1
ডিফল্ট ব্যবহারকারীর নাম পরিবর্তন করা দরকারী, এসএসএইচ লগইন (বা অন্যান্য দূরবর্তী লগইন) রয়েছে এমন অ্যাকাউন্টগুলির জন্য। অবশ্যই সেই লগইনগুলির জন্য ডিফল্ট পোর্টগুলি পরিবর্তন করা হচ্ছে। স্ক্রিপ্ট-কিডিজ দ্বারা কোটি কোটি র্যান্ডম ড্রাইভ বাই স্ক্যানগুলি আপনার লগগুলিকে পরিষ্কার রাখতে দেয় এমন যে কোনও কিছুই এর অর্থ হ'ল আপনি আরও ইচ্ছাকৃত আক্রমণগুলিতে মনোনিবেশ করতে পারেন। যদি আপনার কাস্টম নামগুলি আপনার ব্যর্থ-লগইন লগগুলিতে সক্রিয় হয় তবে আপনি জানেন যে এটি ড্রাইভ-বাইরের পরিবর্তে প্রবেশের গুরুতর প্রচেষ্টা।
দেবী মরগান

11

কোনও মেশিনে লগ ইন করার জন্য আপনাকে ব্যবহারকারীর নাম এবং পাসওয়ার্ড উভয়ই জানতে হবে।

/etc/passwd ব্যবহারকারীদের তথ্য সরবরাহ করে যা আপনাকে আপনার প্রয়োজনীয় পাসওয়ার্ডের একটি হ্যাশ অন্তর্ভুক্ত করার জন্য প্রয়োজনীয় তথ্য এবং অর্ধেক তথ্য দেয়।

আপনার পাসওয়ার্ড থেকে গণনা করা হ্যাশ এমন কিছু something হ্যাশ থেকে পাসওয়ার্ড খুঁজে পাওয়া মুশকিল তবে অন্যভাবে নয়। আপনার যদি উভয়ই থাকে তবে পাসওয়ার্ড অফলাইনে সন্ধানের জন্য জোর বল প্রয়োগের চেষ্টা করতে পারেন তবে এটি একবার পেয়ে গেলে কম্পিউটারের সাথে সংযোগ স্থাপনের চেষ্টা করুন।

আজ সুরক্ষা উন্নত করা হয়েছে কারণ হ্যাশগুলি একটি পৃথক ফাইলে সংরক্ষণ করা হয় /etc/shadowযা বেশিরভাগ ব্যবহারকারীদের দ্বারা ডিফল্টরূপে পাঠযোগ্য হয় না।

তবে, যদি আমার উভয়েরই অ্যাক্সেস থাকে /etc/passwdএবং /etc/shadowআমি সম্ভবত একটি নিষ্ঠুর শক্তি 'অভিধান' আক্রমণ ব্যবহার করে আপনার পাসওয়ার্ডটি খুঁজে পেতে পারি। যেহেতু আমি আমার মেশিনে স্থানীয়ভাবে এটি করতে পারি আপনি নিজের পাসওয়ার্ড সন্ধান করার জন্য অনেকগুলি ব্যর্থ প্রচেষ্টা লক্ষ্য করবেন না এবং পাসওয়ার্ডটি জানার পরে আমাকে কেবল আপনার মেশিনে আবার সংযুক্ত করতে হবে। আমি তখন যা খুশি তা করতে মুক্ত।

উইকিপিডিয়ায় এখানে আরও তথ্য রয়েছে


মনে হচ্ছে আপনার কীভাবে এখানে 'রেইনবো টেবিল' উল্লেখ করা উচিত কেবলমাত্র সেই বর্বর বাহিনী আক্রমণ কীভাবে কাজ করে সে সম্পর্কে কিছু ধারণা দেওয়ার জন্য।
রিক চ্যাথাম
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.