Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Выпуск механизма управления теневыми паролями tcb 1.2, opennews (??), 12-Янв-21, (0) [смотреть все] Самый лучший механизм , Аноним (1), 12:35 , 12-Янв-21, (1) +2 // оно и видно 2 человека скачало , кек (?), 13:13 , 12-Янв-21, (15) +6 // Поколение лайков Вы вообще пытались головой подумать -- кому именно надо скач, Michael Shigorin (ok), 14:45 , 13-Янв-21, (95) +5 // ХАХАХА, вы расскажите тогда что они в дистрибутивах по умолчанию делают тогда И, VITAlya (?), 22:23 , 29-Янв-21, (112) Самый глупый аноним , КО (?), 14:40 , 12-Янв-21, (25) +2 // Самый глупый это Fractal Хотя он не аноним , Аноним (43), 17:24 , 12-Янв-21, (43) +3 а tcb не имеет такой возможности совсем Как он будет проверять хэши тогда при л, dimcha (??), 12:41 , 12-Янв-21, (3) // В случае tcb можно запускать обработчик под тем пользователем, чей пароль мы хот, kmeaw (?), 12:49 , 12-Янв-21, (7) +3 // Сказать-то ничего не мешает, а вот получить - мешают недостаточные права доступа, Анонимный Аноним (?), 17:32 , 12-Янв-21, (46) +3 процесс запускается с правами пользователя, которого указал злоумешленник при э, aa (?), 07:42 , 13-Янв-21, (81) Ооо это реально так Тогда да, смешно Получается можно заставить его менять uid, Анонимленьлогиниться (?), 11:09 , 13-Янв-21, (83) Для понимания какие пользователи существуют достаточно грепнуть etc passwd, к, Аноним (91), 12:50 , 13-Янв-21, (91) Речь про получение этого удаленно, не имея аккаунта , Анонимленьлогиниться (?), 15:30 , 14-Янв-21, (104) Как ты запустишь из-под себя процесс под uid другого пользователя без поднятия с, Аноним (92), 12:53 , 13-Янв-21, (92) +1 дак вот тут и предлагают - надо попробовать авторизаваться под любым другим поль, aa (?), 14:39 , 13-Янв-21, (94) Да, при аутентификации произвольного пользователя tcb не помогает Он помогает п, solardiz (ok), 15:43 , 13-Янв-21, (98) +1 А как с пингами решили От обычного пользователя не попинговать , йцук (?), 12:03 , 16-Янв-21, (106) Добавили поддержку ограниченных ICMP сокетов в ядро В upstream, как я помню, на, solardiz (ok), 17:17 , 16-Янв-21, (107) да, можно перебирать пользователей - но это проще обнаружить чем скаченый весь s, fi (ok), 17:17 , 13-Янв-21, (99) Например, настройки системы, запрещающие логин рута Остаётся только sudo, но дл, Аноним (100), 17:37 , 13-Янв-21, (100) +1 PAM и NSS модули , x3who (?), 12:52 , 12-Янв-21, (9) Написано же для системные пользователи в отдельной группе с нужными правами, Аноним (21), 14:01 , 12-Янв-21, (21) У группы auth есть доступ только на чтение , Аноним (27), 14:43 , 12-Янв-21, (27) +2 для этого понадобилось 10 лет новых 2010-2021 , Гимли (?), 12:41 , 12-Янв-21, (4) –7 // Очень скоро, уже в этом столетии, разработчики откроют для себя возможность хран, x3who (?), 12:53 , 12-Янв-21, (10) –9 // Использовать клиент-серверную СУБД для хранения паролей локалхоста нерационально, Аноним (23), 14:28 , 12-Янв-21, (23) +2 // А что, в макоси так и сделано И, в принципе, это рационально в плане масштабиру, Аноним (27), 14:45 , 12-Янв-21, (28) –3 Представьте себе, файл etc shadow - тоже база этих самых данных Сюрприз, да , Анонимный Аноним (?), 18:08 , 12-Янв-21, (52) +3 // Ненене База данных - это чтобы обязательно в файлах на диске хранилась каша, в , YetAnotherOnanym (ok), 19:51 , 12-Янв-21, (55) +4 Твой etc shadow станет полной тыквой при одном бэд секторе под ним И ничем теб, Аноним (-), 01:48 , 13-Янв-21, (70) –3 Много что станет, и что Вам поименно перечислить файлы, бэд сектор в которых н, Анонимленьлогиниться (?), 11:14 , 13-Янв-21, (84) +3 Отличная причина сменить пароли , охохо (?), 12:36 , 13-Янв-21, (88) текстовый редактор, hex редактор - тоже специальные программы , охохо (?), 12:35 , 13-Янв-21, (87) +1 Ну ты прям глаза мне раскрыл Кроме поддержки SQL некоторые СУБД предоставляют г, x3who (?), 14:41 , 17-Янв-21, (110) MS еще в прошлом веке вроде открыл AD это называется И говорят что их недавно , Аноним (-), 01:46 , 13-Янв-21, (69) // AD всего лишь проприетарный LDAP с расширениями Зато пд юниксами этих ваших dir, Аноним (82), 10:04 , 13-Янв-21, (82) +2 Нет, это было в первой же версии в 2001 году Именно потому что всё главное уже , solardiz (ok), 16:58 , 12-Янв-21, (38) +6 // Был не прав, прошу прощения, и благодарю за развёрнутый и внятный ответ , Гимли (?), 19:03 , 12-Янв-21, (54) +1 Сомнительно, у пользователя не должно быть прав на запись в системные каталоги , Аноним (5), 12:48 , 12-Янв-21, (5) –4 // Хотя по поводу blowfish я в курсе что там только недавно от md5 md4 отошли, лу, Аноним (5), 12:50 , 12-Янв-21, (8) –2 // Что тут еще за эксперты в крипто А какие собственно атаки известны на blowfish , Аноним (-), 01:39 , 13-Янв-21, (66) +1 // Кто-то и 3des до последнего использовал И md4 хватит всем для паролей Зависимо, Аноним (5), 02:20 , 13-Янв-21, (71) –1 Их и нету Из текста новости каталог etc tcb принадлежит root shadow и имеет п, solardiz (ok), 17:50 , 12-Янв-21, (49) +5   // А разве blowfish не использует массивы для пермутации И если да - у этого на пр, Аноним (-), 01:42 , 13-Янв-21, (67)   // Насчет cache timing, да, есть такое Вот только в bcrypt эта же особенность суще, solardiz (ok), 02:20 , 13-Янв-21, (72) +1   Сомнительное нововведение Если в случае etc shadow юзер не имеет доступа к св, x3who (?), 12:48 , 12-Янв-21, (6) –5 // Иерархия etc tcb доступна на чтение только группе shadow Что бы поменять или п, Аноним (11), 12:56 , 12-Янв-21, (11) +2 // etc tcb user и etc tcb user shadow - -rw-r----- user auth, x3who (?), 13:00 , 12-Янв-21, (13) –2 // Внутрь etc tcb вас не пустит без группы shadow , Аноним (11), 13:16 , 12-Янв-21, (16) +2 Да, пропустил этот момент, x3who (?), 13:56 , 12-Янв-21, (20) +1 Да это бред Чтобы запустить процесс от имени user shadow все равно нужны манипул, gogo (?), 16:55 , 12-Янв-21, (36) –2 бинарь с sgid shadow, не рут, анон (?), 21:19 , 12-Янв-21, (58) +2 В etc tcb не пустит, а в etc tcb USERNAME пустит , Катафалкер (?), 16:55 , 12-Янв-21, (37) –3 Нет, и в etc tcb USERNAME тоже не пустит , solardiz (ok), 17:17 , 12-Янв-21, (40) +3 Как без NIS-то Я пользовался , lockywolf (ok), 12:56 , 12-Янв-21, (12) // именно НИС yp ну теперь не будет и хорошо , mos87 (ok), 13:27 , 12-Янв-21, (18) +1 Файл shadow от обычного пользователя прочитать невозможно То есть теперь любая , Корец (?), 13:13 , 12-Янв-21, (14) –2 // Нет Нужен ещё баг или плохая настройка, которая даст пользователю права группы , pda (?), 14:11 , 12-Янв-21, (22) +2 То есть теперь любая программа получает доступ к файлу пароля текущего пользоват, Аноним (17), 13:19 , 12-Янв-21, (17) –2 // Нет Из текста новости каталог etc tcb принадлежит root shadow и имеет права , solardiz (ok), 17:34 , 12-Янв-21, (48) +2 Что-то список на https repology org project tcb versions напоминает мне список, flkghdfgklh (?), 13:30 , 12-Янв-21, (19) // По ссылкам не ходим принципиально , Аноним (27), 14:51 , 12-Янв-21, (29) // Ты прочитало, что я написал Дело не в Альте Оно и в Магеи, и в PCLinuxOS, и в , flkghdfgklh (?), 16:21 , 12-Янв-21, (34) –1 // Это логичная теория, но она ошибочна tcb в Owl и ALT с 2001, а в Mandriva с 200, solardiz (ok), 16:35 , 12-Янв-21, (35) +1 Забавно Но реально выглядит так, словно из Мандрейка пришлоПросто большинство ме, flkghdfgklh (?), 18:04 , 12-Янв-21, (51) –1 Наличие в репозитории ROSA не означает, что он используется по умолчанию, по умо, mikhailnov (ok), 02:25 , 13-Янв-21, (74) +2 Походу угнали tcb, давайте доверяйте пароли, КО (?), 14:40 , 12-Янв-21, (26) –2 получается файл с паролем можно будет переписать незаметно для пользователя и за, parad (ok), 14:59 , 12-Янв-21, (30) –1 // Для этого всё и делается То в системде появятся носимые пароли на флэшке, то во, Аноним (32), 15:37 , 12-Янв-21, (32) –2 Нет Из текста новости каталог etc tcb принадлежит root shadow и имеет права , solardiz (ok), 17:33 , 12-Янв-21, (47) +2 Г-н не подумайте плохого Ши - мои поздравления Альт откинул конкурентов, таких, Аноним (-), 15:05 , 12-Янв-21, (31) –4 // BSDшники уже в курсе, чем пользуются Или очередная инсайдерская опеннетная инфа, Аноним (33), 16:17 , 12-Янв-21, (33) Эээ а я-то тут при чём, разве что как юзер Глянул авторов коммитов в альтов, Michael Shigorin (ok), 07:27 , 13-Янв-21, (78) +1 // Важным свойством control является то, что установленные настройки сохраняются пр, Аноним (111), 18:00 , 20-Янв-21, (111) Выходит с tcb любой процесс пользователя может сменить его пароль, даже JS скрип, Аноним (39), 17:16 , 12-Янв-21, (39) –4 // Пользователь Вася не зайдет в свою систему, зато крекер Вова, сменивший пароль п, Аноним (39), 17:22 , 12-Янв-21, (42) –3 // Нет Из текста новости каталог etc tcb принадлежит root shadow и имеет права , solardiz (ok), 17:29 , 12-Янв-21, (45) +1 // Не занимайся ерундой Человек не способный прочитать текст новости твой коммента, winorun (?), 18:02 , 12-Янв-21, (50) +2 Не совсем верно, были баги когда таки имел А там еще модное апи какое-то для до, Аноним (-), 01:35 , 13-Янв-21, (65) +1 Эта фича сохраняется и при использовании etc tcb , solardiz (ok), 02:37 , 13-Янв-21, (76) +1 Надо смотреть реализацию, действительноли у пользователей нет по умолчанию групп, Аноним (89), 12:36 , 13-Янв-21, (89) Можно, конечно, и её давать при заведении -- но это уж расстараться надо CODE , Michael Shigorin (ok), 14:52 , 13-Янв-21, (96) +1 Не очевидно, откуда мне было знать вашу реализацию повышения привилегий до групп, Аноним (103), 08:29 , 14-Янв-21, (103) Скрыто модератором, Аноним (41), 17:18 , 12-Янв-21, (41) –2 Скрыто модератором, Aytishnik.com (ok), 21:10 , 12-Янв-21, (57) –7 // Скрыто модератором, Аноним (60), 21:53 , 12-Янв-21, (60) +2 // Скрыто модератором, Аноним (63), 01:26 , 13-Янв-21, (63) –1 // Скрыто модератором, mikhailnov (ok), 02:32 , 13-Янв-21, (75) +1 Скрыто модератором, Michael Shigorin (ok), 07:40 , 13-Янв-21, (80) Скрыто модератором, mikhailnov (ok), 12:45 , 13-Янв-21, (90) Скрыто модератором, Аноним (63), 01:29 , 13-Янв-21, (64) –2 // Скрыто модератором, Michael Shigorin (ok), 07:33 , 13-Янв-21, (79) Сколько не копался в исходниках и пакетах, так и не нашёл , Ne01eX (ok), 00:12 , 13-Янв-21, (61) // Не нашел чего в чем , solardiz (ok), 02:21 , 13-Янв-21, (73) +2 Охренеть, лич-король собственной персоной Мешок костей , Аноним (63), 01:24 , 13-Янв-21, (62) // Кстати, в ALT tcb уже давно в git https packages altlinux org en sisyphus srpm, solardiz (ok), 03:47 , 14-Янв-21, (102) Граждане Храните аккаунты в сберегательном лдапе Если, конечно, он у вас есть , InuYasha (??), 11:16 , 13-Янв-21, (85) +1 // Пора выйти из shadow - время хранить пароли тм , InuYasha (??), 11:18 , 13-Янв-21, (86) В HP-UX 11 31 11 23 у нас оно использовалось, всегда думал, что это чисто особен, Mr. Sneer (?), 13:54 , 13-Янв-21, (93) +2 // HP-UX действительно умеет размещать хеши по файлам в tcb и имеет схожие утилиты, solardiz (ok), 15:14 , 13-Янв-21, (97) +2 // Спасибо, наконец-то уяснил для себя добавил на страничку http altlinux org tc, Michael Shigorin (ok), 00:04 , 14-Янв-21, (101) Зачем , Аноним (105), 11:23 , 15-Янв-21, (105) +1 // Для снижения опасности возможных уязвимостей в passwd 1 , chage 1 и программах , solardiz (ok), 17:26 , 16-Янв-21, (108) –1 // Слишком много сказочных фраз, а по сути будет пердёж на месте с новыми дырами , Аноним (32), 23:09 , 16-Янв-21, (109) 1,3,4,5,6,12,14,17,19,26,30,31,39,61,62,85,93,105

Сообщения

[Сортировка по времени | RSS]

	49. "Выпуск механизма управления теневыми паролями tcb 1.2"	+5 +/–
	Сообщение от solardiz (ok), 12-Янв-21, 17:50
	> Сомнительно, у пользователя не должно быть прав на запись в системные каталоги. Их и нету. Из текста новости: каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---". > А blowfish вроде старенький, уже лет 15 как считается совсем не секурным. 1. Не путайте блочный шифр Blowfish и парольный хеш bcrypt на его основе. У них совсем разные свойства. В данном контексте, речь о bcrypt. 2. Конечно, и Blowfish и bcrypt старенькие, но с ними в целом всё в порядке. Основной недостаток Blowfish как шифра в маленьком размере блока (64 бита) - см. https://sweet32.info и https://blog.cryptographyengineering.com/2016/08/24/attack-o.../ - это 2016 год. К bcrypt этот недостаток отношения не имеет. 3. tcb никак на bcrypt не завязан, он лишь использует универсальный API, который мы первоначально реализовали в crypt_blowfish (реализации bcrypt). Теперь этот API доступен в libxcrypt и позволяет tcb использовать любой из поддерживаемых в libxcrypt парольных хешей, в том числе наш yescrypt.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	67. "Выпуск механизма управления теневыми паролями tcb 1.2"	+/–
	Сообщение от Аноним (-), 13-Янв-21, 01:42
	А разве blowfish не использует массивы для пермутации? И если да - у этого на процессорах с кэшом заведомо есть проблемы с тайминг атаками. Сам автор его не советует.
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Выпуск механизма управления теневыми паролями tcb 1.2"	+1 +/–
	Сообщение от solardiz (ok), 13-Янв-21, 02:20
	Насчет cache timing, да, есть такое. Вот только в bcrypt эта же особенность существенно повышает стоимость offline атак на хеши, так что получается своеобразный security vs. security trade-off. Реально пока что cache timing атаки in the wild не встретишь (потому что не практично), а вот offline атаки на хеши - везде, как только хеши утекут. Аналогичный trade-off присутствует и для более современных схем хеширования паролей - например, из-за него существуют Argon 2i, 2d, и 2id - разный баланс между cache timing safety и защитой от offline атак.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема