The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск механизма управления теневыми паролями tcb 1.2

12.01.2021 12:31

Спустя 10 лет с прошлого выпуска, состоялся релиз механизма управления теневыми паролями tcb 1.2, выступающего в роли альтернативы традиционной для Linux схемы /etc/shadow. Пакет tcb применяется для хранения базы паролей в дистрибутивах Openwall GNU/*/Linux, ALT Linux и Mageia. Код проекта распространяется под лицензией BSD.

Ключевым отличием tcb от /etc/shadow является уход от использования общего файла со всеми хешами паролей в пользу разнесения хешей паролей по отдельным каталогам и файлам. При подобной организации хранения операции с паролями можно выполнять без повышения прав до root, а процесс, осуществляющий обработку учётных данных, ограничен учётной записью отдельного пользователя. Для сравнения, в традиционном механизме /etc/shadow его обработчик всегда получает доступ сразу ко всем хешам паролей, т.е. уязвимость в утилите passwd позволит изменить любой пароль.

В tcb каждый файл включает только хеш одного пользователя и размещается в каталоге, принадлежащем этому пользователю (но в то же время недоступном пользователю непосредственно), что позволяет обойтись без повышения привилегий до уровня root (ограничившись их повышением до группы shadow) при запуске утилиты passwd. Например, параметры сохраняются в файле /etc/tcb/user/shadow, где каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---" , а /etc/tcb/user/ - user:auth "drwx--s---" и /etc/tcb/user/shadow - user:auth "-rw-r-----". При этом группа shadow сама по себе предоставляет доступ на чтение хеша только текущего пользователя, а добавление к ней группы auth - на чтение хешей всех пользователей.

Пакет включает в себя PAM-модуль pam_tcb, NSS модуль libnss_tcb и общую для данных модулей библиотеку libtcb. Замены модулей PAM и NSS достаточно для работы со схемой tcb штатных утилит, таких как passwd, и системных сервисов. Используемый в tcb универсальный интерфейс к механизмам хешировния паролей, исходно реализованный в виде патчей к Glibc в crypt_blowfish, теперь поддерживается также в библиотеке libxcrypt, которая поставляется по умолчанию в Fedora Linux вместо libcrypt. Это позволяет использовать вместе с tcb штатную системную библиотеку Glibc без применения дополнительных патчей, а также использовать поддерживаемые в libxcrypt современные механизмы хеширования паролей, включая yescrypt.

Из улучшений в выпуске tcb 1.2 отмечается поддержка libxcrypt и новых версий Glibc, поддержка интернационализации в pam_tcb (i18n) и прекращение поддержки устаревшего механизма NIS/NIS+. Большая часть изменений подготовлена Дмитрием Левиным из команды ALT Linux.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Выпуск модуля LKRG 0.8 для защиты от эксплуатации уязвимостей в ядре Linux
  3. OpenNews: Обновление схемы хеширования паролей yescrypt 1.1.0
  4. OpenNews: Выпуск John the Ripper 1.9.0-jumbo-1 с поддержкой FPGA
  5. OpenNews: Представлен systemd-homed для управления переносимыми домашними каталогами
  6. OpenNews: Обновление сборки Openwall GNU/*/Linux
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/54391-tcb
Ключевые слова: tcb, openwall
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (102) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:35, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Самый лучший механизм!!
     
     
  • 2.15, кек (?), 13:13, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    оно и видно. 2 человека скачало.
     
     
  • 3.95, Michael Shigorin (ok), 14:45, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > оно и видно. 2 человека скачало.

    Поколение лайков...

    Вы вообще пытались головой подумать -- кому именно надо "скачивать"?

     
  • 2.25, КО (?), 14:40, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Самый глупый аноним!
     
     
  • 3.43, Аноним (43), 17:24, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Самый глупый это Fractal. Хотя он не аноним.
     

  • 1.3, dimcha (??), 12:41, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Обработчик /etc/shadow всегда получает доступ сразу ко всем хэшам паролей

    а tcb не имеет такой возможности совсем? Как он будет проверять хэши тогда при логине?

     
     
  • 2.7, kmeaw (?), 12:49, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В случае tcb можно запускать обработчик под тем пользователем, чей пароль мы хотим проверить.
     
     
     
    Часть нити удалена модератором

  • 4.46, Анонимный Аноним (?), 17:32, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ну так что мешает сказать что хочу пароль рута

    Сказать-то ничего не мешает, а вот получить - мешают недостаточные права доступа к файлу с паролем рута. У процесса (если не от рута проверка, есс-но) есть доступ только к своему файлу со своим же паролем на уровне тупо файловой системы. Хош - меняй, хош - проверяй. Но только свой.

     
     
  • 5.81, aa (?), 07:42, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    процесс запускается с правами пользователя, которого указал злоумешленник (при этом он ещё даже никак не авторизовался в системе)
    то есть вся "улучшенная защита" строится на том, что пользователь вводит свой логин, а не чужой, что по-моему очень наивно.
     
     
  • 6.83, Анонимленьлогиниться (?), 11:09, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ооо это реально так??
    Тогда да, смешно. Получается можно заставить его менять uid на самых разных пользователей в системе (еще небось из-за тайминга или чего-либо еще это использовать как утечку для понимания, какие пользователи существуют, а какие нет?)
     
     
  • 7.91, Аноним (91), 12:50, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для понимания "какие пользователи существуют" достаточно грепнуть /etc/passwd, который всегда world readable.
     
     
  • 8.104, Анонимленьлогиниться (?), 15:30, 14/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Речь про получение этого удаленно, не имея аккаунта ... текст свёрнут, показать
     
  • 6.92, Аноним (92), 12:53, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как ты запустишь из-под себя процесс под uid другого пользователя без поднятия своих прав до рута? А когда у тебя уже рут, то какая разница что там будет.
     
     
  • 7.94, aa (?), 14:39, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    дак вот тут и предлагают - надо попробовать авторизаваться под любым другим пользователем, при этом автоматом запустится процесс проверки пароля - так как пароль хранится в файле доступным только этому другому пользователю, то и права у процесса его будут. А дальше нам нужна лишь уязвимость в этом процессе, для эксплуатации.
    В классике этот процесс запускался от рута чтобы прочитать шадоу пароли, тут - от указанного, но кто мешает указать того же рута?
    То есть отличий в безопасности - ноль - и то и то можно запустить от рута. Остается лишь надеятся на отсутствие дыр.
     
     
  • 8.98, solardiz (ok), 15:43, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, при аутентификации произвольного пользователя tcb не помогает Он помогает п... текст свёрнут, показать
     
     
  • 9.106, йцук (?), 12:03, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А как с пингами решили От обычного пользователя не попинговать ... текст свёрнут, показать
     
     
  • 10.107, solardiz (ok), 17:17, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Добавили поддержку ограниченных ICMP сокетов в ядро В upstream, как я помню, на... большой текст свёрнут, показать
     
  • 8.99, fi (ok), 17:17, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    да, можно перебирать пользователей - но это проще обнаружить чем скаченый весь s... текст свёрнут, показать
     
  • 8.100, Аноним (100), 17:37, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Например, настройки системы, запрещающие логин рута Остаётся только sudo, но дл... текст свёрнут, показать
     
  • 2.9, x3who (?), 12:52, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    PAM и NSS модули?
     
  • 2.21, Аноним (21), 14:01, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Написано же для системные пользователи в отдельной группе с нужными правами
     
  • 2.27, Аноним (27), 14:43, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> параметры сохраняются в файле /etc/tcb/user/shadow, где каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---" , а /etc/tcb/user/ user:auth "drwx--s---" и /etc/tcb/user/shadow - user:auth "-rw-r-----").

    У группы auth есть доступ только на чтение.

     

  • 1.4, Гимли (?), 12:41, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    > Ключевым отличием tcb от /etc/shadow является уход от использования общего файла со всеми хэшами паролей в пользу разнесения хэшей паролей по отдельным каталогам и файлам.

    для этого понадобилось 10 лет?
    > Из улучшений в выпуске tcb 1.2 отмечается поддержка libxcrypt и новых версий Glibc

    новых 2010-2021?

     
     
  • 2.10, x3who (?), 12:53, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • –9 +/
    > для этого понадобилось 10 лет?

    Очень скоро, уже в этом столетии, разработчики откроют для себя возможность хранения данных в базах этих самых данных.

     
     
  • 3.23, Аноним (23), 14:28, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Использовать клиент-серверную СУБД для хранения паролей локалхоста нерационально. Использовать что-то, типа SQLite - проблема будет та же, что и с /etc/shadow.
     
     
  • 4.28, Аноним (27), 14:45, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А что, в макоси так и сделано. И, в принципе, это рационально в плане масштабируемости: один и тот же механизм используется и для локальной, и для удалённой аутентификации.
     
  • 3.52, Анонимный Аноним (?), 18:08, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Очень скоро, уже в этом столетии, разработчики откроют для себя возможность хранения данных в базах этих самых данных.

    Представьте себе, файл /etc/shadow - тоже "база этих самых данных". Сюрприз, да? Или Вы считаете базами данных только реляционные с поддержкой SQL? Спешу Вас разочаровать, мир баз данных огромен и разнообразен и уж никак не ограничивается реляционными. И не всегда структура обрабатываемых данных хорошо "ложится" на реляционную модель. Извратиться, конечно, можно по всякому, но зачем, если есть другие виды баз данных, которые могут более соответствовать особенностям обрабатываемых данных. Да что я Вам лекцию читаю, собственно...

     
     
  • 4.55, YetAnotherOnanym (ok), 19:51, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ненене! База данных - это чтобы обязательно в файлах на диске хранилась каша, в которой невозможно ничего прочесть ни текстовым, ни hex редактором, а только с помощью запроса через специальную программу.
    И чтобы эта каша обязательно превращалась в тыкву при малейшем сбое.
     
     
  • 5.70, Аноним (-), 01:48, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Твой /etc/shadow станет полной тыквой при одном бэд секторе под ним. И ничем тебе его текстовость не поможет.
     
     
  • 6.84, Анонимленьлогиниться (?), 11:14, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Много что станет, и что?? Вам поименно перечислить файлы, бэд сектор в которых не даст системе загрузится для входа в нее? Боюсь пальцев не хватит.

    Рейд, бэкапы, вот это все, не? А еще какая там вероятность что бэд сектор упадет именно на shadow? Ну и наконец, тссссс! "/etc/shadow-"

     
  • 6.88, охохо (?), 12:36, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Отличная причина сменить пароли.
     
  • 5.87, охохо (?), 12:35, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    текстовый редактор, hex редактор - тоже специальные программы (:
     
  • 4.110, x3who (?), 14:41, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Представьте себе, файл /etc/shadow - тоже "база этих самых данных". Сюрприз, да?

    Ну ты прям глаза мне раскрыл.

    > Или Вы считаете базами данных только реляционные с поддержкой SQL? Спешу Вас разочаровать, мир баз данных огромен и разнообразен и уж никак не ограничивается реляционными.

    Кроме поддержки SQL некоторые СУБД предоставляют гарантии консистентности данных, транзакционный доступ, бэкапы, представления (view), управление доступом к данным и т.д.

    > И не всегда структура обрабатываемых данных хорошо "ложится" на реляционную модель.

    На реляционную модель ложится всё.

     
  • 3.69, Аноним (-), 01:46, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > откроют для себя возможность хранения данных в базах этих самых данных.

    MS еще в прошлом веке вроде открыл. AD это называется. И говорят что их недавно через все это классно поадминили - на всю компанию.

    Так что бойтесь своих желаний... представляете себе чего получается когда хакер до сервера с этой бд дорывается? Правильно - SUPERGOD MODE. По всей компании. Можно зобанить админов, перехватить ВСЕ компьютеры, а потом поржать представляя как админы ЭТО будут пытаться чинить.

     
     
  • 4.82, Аноним (82), 10:04, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    AD всего лишь проприетарный LDAP с расширениями. Зато пд юниксами этих ваших directory service было столько, что считать устанешь. И все несовместимые.
     
  • 2.38, solardiz (ok), 16:58, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > для этого понадобилось 10 лет?

    Нет, это было в первой же версии в 2001 году. Именно потому что всё главное уже было, а багов почти не было, и не требовались частые выпуски новых версий.

    > новых 2010-2021?

    Нет, новых это начиная с версии 2.26, выпущенной в августе 2017, в случае сборки glibc без опции --enable-obsolete-nsl. В tcb в ALT это исправили в 2018 (выкинув поддержку NIS/NIS+ вслед за аналогичным изменением в glibc). Теперь мы наконец добрались сделать релиз на случай переиспользования tcb где-либо еще, что начиная с 2018 же стало проще и актуальнее благодаря libxcrypt.

     
     
  • 3.54, Гимли (?), 19:03, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Был не прав, прошу прощения, и благодарю за развёрнутый и внятный ответ.
     

  • 1.5, Аноним (5), 12:48, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Сомнительно, у пользователя не должно быть прав на запись в системные каталоги. А blowfish вроде старенький, уже лет 15 как считается совсем не секурным.
     
     
  • 2.8, Аноним (5), 12:50, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Хотя по поводу blowfish я в курсе что там только недавно от md5 (md4) отошли, лучше посмотреть на luks с его argon2.
     
     
  • 3.66, Аноним (-), 01:39, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что тут еще за эксперты в крипто? А какие собственно атаки известны на blowfish? Он не рекомендуется к использованию - но в основном из-за тайминг атак и того факта что сам по себе он относительно тормозной. Современное крипто просто использует другие подходы, типа ARX от DJB, не завязаное на массивы/sbox (у которых проблемы с кэшом vs тайминги). Но этот класс атак имеет ограниченную применимость.
     
     
  • 4.71, Аноним (5), 02:20, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кто-то и 3des до последнего использовал. И md4 хватит всем для паролей. Зависимость от васянокриптолибы тоже такое. Почему нельзя взять что-то надёжное и доверенное?
     
  • 2.49, solardiz (ok), 17:50, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Их и нету Из текста новости каталог etc tcb принадлежит root shadow и имеет п... большой текст свёрнут, показать
     
     
  • 3.67, Аноним (-), 01:42, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А разве blowfish не использует массивы для пермутации? И если да - у этого на процессорах с кэшом заведомо есть проблемы с тайминг атаками. Сам автор его не советует.
     
     
  • 4.72, solardiz (ok), 02:20, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Насчет cache timing, да, есть такое. Вот только в bcrypt эта же особенность существенно повышает стоимость offline атак на хеши, так что получается своеобразный security vs. security trade-off. Реально пока что cache timing атаки in the wild не встретишь (потому что не практично), а вот offline атаки на хеши - везде, как только хеши утекут. Аналогичный trade-off присутствует и для более современных схем хеширования паролей - например, из-за него существуют Argon 2i, 2d, и 2id - разный баланс между cache timing safety и защитой от offline атак.
     

  • 1.6, x3who (?), 12:48, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Сомнительное нововведение. Если в случае /etc/shadow  юзер не имеет доступа к своему паролю и может его только вводить или менять, с tcb первый попавшийся троян унесёт хеш пароля в свой ботнет.
     
     
  • 2.11, Аноним (11), 12:56, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Иерархия /etc/tcb доступна на чтение только группе shadow. Что бы поменять или посмотреть пароль пользователь должен как-то войти в группу shadow или запустить утилиту которая сделает setgid. В этом плане всё почти также, как с обычным /etc/shadow, но с защитой от дыр в утилитах и библиотеках.
     
     
  • 3.13, x3who (?), 13:00, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    /etc/tcb/user/ и /etc/tcb/user/shadow - -rw-r----- user:auth
     
     
  • 4.16, Аноним (11), 13:16, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Внутрь /etc/tcb вас не пустит без группы shadow.
     
     
  • 5.20, x3who (?), 13:56, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, пропустил этот момент
     
     
  • 6.36, gogo (?), 16:55, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да это бред.
    Чтобы запустить процесс от имени user:shadow все равно нужны манипуляции от рута.
    Как же тогда "привилегии не повышаются"?

     
     
  • 7.58, анон (?), 21:19, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    бинарь с sgid shadow, не рут
     
  • 5.37, Катафалкер (?), 16:55, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В /etc/tcb не пустит, а в /etc/tcb/$USERNAME/ пустит.
     
     
  • 6.40, solardiz (ok), 17:17, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Нет, и в /etc/tcb/$USERNAME/ тоже не пустит.
     

  • 1.12, lockywolf (ok), 12:56, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как без NIS-то?

    Я пользовался.

     
     
  • 2.18, mos87 (ok), 13:27, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    именно НИС? yp?
    ну теперь не будет и хорошо)
     

  • 1.14, Корец (?), 13:13, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Файл shadow от обычного пользователя прочитать невозможно. То есть теперь любая прогамма сможет узнать пароль текущего пользователя?
     
     
  • 2.22, pda (?), 14:11, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет. Нужен ещё баг или плохая настройка, которая даст пользователю права группы shadow. Но и в этом случае, унести можно будет хэш только текущего пользователя.
     

  • 1.17, Аноним (17), 13:19, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    То есть теперь любая программа получает доступ к файлу пароля текущего пользователя и может его изменить?
     
     
  • 2.48, solardiz (ok), 17:34, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > То есть теперь любая программа получает доступ к файлу пароля текущего пользователя
    > и может его изменить?

    Нет. Из текста новости: каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---". Пользователь не может поменять пароль не зная старого.

     

  • 1.19, flkghdfgklh (?), 13:30, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то список на https://repology.org/project/tcb/versions напоминает мне список живых детей Mandrake просто. То есть оно и в Альте, и в Магеи и в прочих PCLinuxOS. То есть это не альтовая идея его заюзать, а скорее всего унаследовано в давние годы из Mandrake еще.
     
     
  • 2.29, Аноним (27), 14:51, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    По ссылкам не ходим принципиально?

    >> After 10 years since the previous release, we've just released version
    >> 1.2 of tcb, the alternative password shadowing scheme we had introduced
    >> in Owl.  tcb is currently in use in ALT Linux distributions and Mageia.

     
     
  • 3.34, flkghdfgklh (?), 16:21, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты прочитало, что я написал? Дело не в Альте. Оно и в Магеи, и в PCLinuxOS, и в Rosa.
    Все перечисленное это дети Mandrake

    Оно во всех живых ныне детишках и внучишках Mandrake Linux. Так что есть основание считать, что оно было там, потому и в наследничках живет

    Или ты не знало, что Alt форкался от Mandrake?

     
     
  • 4.35, solardiz (ok), 16:35, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это логичная теория, но она ошибочна. tcb в Owl и ALT с 2001, а в Mandriva с 2009.
     
     
  • 5.51, flkghdfgklh (?), 18:04, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Забавно.
    Но реально выглядит так, словно из Мандрейка пришло
    Просто большинство местных детишек и не знают, и не помнят, что Альт вырос из Мандрейка, единицы тут тех кто те времена застал.

    Но ок, верю, что смешное сов падение

     
  • 4.74, mikhailnov (ok), 02:25, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Наличие в репозитории ROSA не означает, что он используется по умолчанию, по умолчанию он не используется очень давно: http://lists.rosalab.ru/pipermail/rosa-devel/2013-March/004525.html
    А в Mandriva появился в 2009: https://annvix.com/blog/mandriva-linux-20090-released-today
    В Росу был просто унаследован.
     

  • 1.26, КО (?), 14:40, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Походу угнали tcb, давайте доверяйте пароли
     
  • 1.30, parad (ok), 14:59, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    получается файл с паролем можно будет переписать незаметно для пользователя и залогинится на его тачку?
     
     
  • 2.32, Аноним (32), 15:37, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > переписать незаметно для пользователя и залогинится на его тачку?

    Для этого всё и делается. То в системде появятся носимые пароли на флэшке, то вот это чудо...

     
  • 2.47, solardiz (ok), 17:33, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > получается файл с паролем можно будет переписать незаметно для пользователя

    Нет. Из текста новости: каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---". Пользователь не может поменять пароль не зная старого.

     

  • 1.31, Аноним (-), 15:05, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > в Openwall GNU/*/Linux, ALT Linux и Mageia.

    Г-н(не подумайте плохого) Ши - мои поздравления! Альт откинул конкурентов, таких как Роса и Астра далеко и надолго.
    Но вот вопрос - лицензия BSD, а то что это используется в самих BSD ну ни слова. И в Linux потащили эту же лицензию. Как то не по GPL-ному это?

     
     
  • 2.33, Аноним (33), 16:17, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Но вот вопрос - лицензия BSD, а то что это используется в самих BSD ну ни слова.

    BSDшники уже в курсе, чем пользуются? Или очередная инсайдерская опеннетная инфа?

     
  • 2.78, Michael Shigorin (ok), 07:27, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эээ... а я-то тут при чём, разве что как юзер?  Глянул авторов коммитов в альтовом tcb.git -- сплошь команда Openwall, включая ldv@altlinux. :-)

    А схема и впрямь элегантная; и ещё поражён тем, как Александр терпеливо делает "зри в /etc/tcb" за такое множество сходу рванувших низлагать.

    PS: кто не видел http://altlinux.org/control -- гляньте; перекликается именно по красоте и простоте, ну и полезности для простого сисадмина.  /etc/control.d/functions -- чуть больше четырёх килобайт. (PPS: и это тоже Owl/ALT)

     
     
  • 3.111, Аноним (111), 18:00, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Важным свойством control является то, что установленные настройки сохраняются при обновлении пакетов.
     

  • 1.39, Аноним (39), 17:16, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > /etc/tcb/user/shadow - user:auth "-rw-r-----"

    Выходит с tcb любой процесс пользователя может сменить его пароль, даже JS скрипт с бровзера. ;) И пользователь следующий раз в систему не зайдет :))))

    А с нашим /etc/shadow только через утилиту passwd, но с привелегиями...

     
     
  • 2.42, Аноним (39), 17:22, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Выходит с tcb любой процесс пользователя может сменить его пароль, даже JS скрипт с бровзера. ;) И пользователь следующий раз в систему не зайдет :))))

    Пользователь Вася не зайдет в свою систему, зато крекер Вова, сменивший пароль посредством вирусного JS скрипта который исполнился в бровзере, сразу получает удаленный доступ к аккаунту Васи с известным Вове паролем!

     
     
  • 3.45, solardiz (ok), 17:29, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет. Из текста новости: каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---". Пользователь не может поменять пароль не зная старого. Также, JavaScript в браузере не имеет прямого доступа к файлам пользователя.
     
     
  • 4.50, winorun (?), 18:02, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не занимайся ерундой. Человек не способный прочитать текст новости твой комментарий читать не будет.
     
  • 4.65, Аноним (-), 01:35, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > JavaScript в браузере не имеет прямого доступа к файлам пользователя.

    Не совсем верно, были баги когда таки имел. А там еще модное апи какое-то для доступа в ФС, так что новых багов для кражи файлов эти вебвредители явно добавят. В этом месте глухой permission deined для пользователя по поводу даже чтения /etc/shadow - фича.

    А читануть хэш пароля и вгрузить его в кластер GPU атакующий таким макаром сможет? И хрен с ней с заменой тогда.

     
     
  • 5.76, solardiz (ok), 02:37, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В этом месте глухой permission deined для пользователя по поводу даже чтения /etc/shadow - фича.

    Эта фича сохраняется и при использовании /etc/tcb.

     
     
  • 6.89, Аноним (89), 12:36, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > ограничившись их повышением до группы shadow) при запуске утилиты passwd. Например, параметры сохраняются в файле /etc/tcb/user/shadow, где каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---"

    Надо смотреть реализацию, действительноли у пользователей нет по умолчанию группы shadow, и пользователь получает группу shadow  только после ввода старого пароля, и только на процесс passwd.

    grep shadow /etc/group
    grep shadow /etc/gshadow
    newgrp shadow
    newgrp - shadow
    ...

    А какие права у вас на
    ls -l /bin/passwd
    ls -l /usr/bin/newgrp

    И вывод команды groups:
    groups
    passwd меняем пароль
    groups

     
     
  • 7.96, Michael Shigorin (ok), 14:52, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Надо смотреть реализацию, действительноли у пользователей нет по умолчанию
    > группы shadow

    Можно, конечно, и её давать при заведении -- но это уж расстараться надо.

    > и пользователь получает группу shadow  только после ввода старого пароля,
    > и только на процесс passwd. [...] А какие права у вас на
    > ls -l /bin/passwd
    > ls -l /usr/bin/newgrp

    [CODE]$ ls -l /usr/bin/{passwd,newgrp}  
    -rwx------ 1 root root   98792 сен 22 10:54 /usr/bin/newgrp
    -rwx--s--x 1 root shadow 18472 мар 29  2019 /usr/bin/passwd
    # control passwd
    tcb
    # control newgrp
    restricted[/CODE]

    > И вывод команды groups:
    > groups
    > passwd меняем пароль
    > groups

    Очевидно, тот же, если список групп не изменялся параллельно чем-либо ещё.

    Вы же правда различаете _инициализацию_ его при порождении процесса и _изменение_ во время его жизни? :)

     
     
  • 8.103, Аноним (103), 08:29, 14/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не очевидно, откуда мне было знать вашу реализацию повышения привилегий до групп... текст свёрнут, показать
     

  • 1.41, Аноним (41), 17:18, 12/01/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –2 +/
     
  • 1.57, Aytishnik.com (ok), 21:10, 12/01/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –7 +/
     
     
  • 2.60, Аноним (60), 21:53, 12/01/2021 Скрыто модератором
  • +2 +/
     
     
  • 3.63, Аноним (63), 01:26, 13/01/2021 Скрыто модератором
  • –1 +/
     
     
  • 4.75, mikhailnov (ok), 02:32, 13/01/2021 Скрыто модератором
  • +1 +/
     
     
  • 5.80, Michael Shigorin (ok), 07:40, 13/01/2021 Скрыто модератором
  • +/
     
     
  • 6.90, mikhailnov (ok), 12:45, 13/01/2021 Скрыто модератором
  • +/
     
  • 3.64, Аноним (63), 01:29, 13/01/2021 Скрыто модератором
  • –2 +/
     
     
  • 4.79, Michael Shigorin (ok), 07:33, 13/01/2021 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (7)

  • 1.61, Ne01eX (ok), 00:12, 13/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>Openwall GNU/*/Linux

    Сколько не копался в исходниках и пакетах, так и не нашёл...

     
     
  • 2.73, solardiz (ok), 02:21, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не нашел чего в чем?
     

  • 1.62, Аноним (63), 01:24, 13/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > The source code of the tcb suite can be browsed via CVSweb

    Охренеть, лич-король собственной персоной. Мешок костей!

     
     
  • 2.102, solardiz (ok), 03:47, 14/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, в ALT tcb уже давно в git https://packages.altlinux.org/en/sisyphus/srpms/tcb/gears/repos включая upstream-ветку http://git.altlinux.org/people/ldv/packages/tcb.git?p=tcb.git;a=shortlog;h=re
    Сам же upstream проект в CVS исторически (git'а еще не было), но тоже переезжает на git вместе с рядом других.
     

  • 1.85, InuYasha (??), 11:16, 13/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Граждане! Храните аккаунты в сберегательном лдапе! Если, конечно, он у вас есть. )
     
     
  • 2.86, InuYasha (??), 11:18, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пора выйти из shadow - время хранить пароли. (тм)
     

  • 1.93, Mr. Sneer (?), 13:54, 13/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    В HP-UX 11.31/11.23 у нас оно использовалось, всегда думал, что это чисто особенность HP-UX.
     
     
  • 2.97, solardiz (ok), 15:14, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    HP-UX действительно умеет размещать хеши по файлам в /tcb и имеет схожие утилиты конвертирования туда-сюда при включении-выключении trusted режима. Он умел/имел это еще до реализации нашего tcb в Owl, и мы не случайно используем то же название tcb для каталога. Но на этом внешняя схожесть заканчивается и начинаются принципиальные отличия. HP-UX не использует свой /tcb для безопасности сверх того что позволяет /etc/shadow. Как я понимаю, исторически у них /tcb появился как первый и когда-то единственный способ password shadowing - не в trusted режиме хеши лежали прямо в /etc/passwd, а поддержка /etc/shadow появилась позже чем поддержка /tcb. (Конвертировал когда-то свой HP-UX 10.20 туда-сюда, наблюдал это дело.) В этот же trusted режим они привязали и поддержку bigcrypt (которым лучше не пользоваться) - видимо, формально удовлетворяли требования сертификации. Зачем они вообще раскидали хеши по отдельным файлам если сами это никак для безопасности не используют (всё равно запись только от root, команда passwd(1) - SUID root), я могу только гадать, и моя догадка в том что это потенциально позволяет применять MAC, что опять же могло быть нужно для сертификации на какой-нибудь уровень, и что реально никто не делает. В нашем же tcb выставлены другие права доступа, что учтено в нашей libtcb (недоверие к содержимому каталогов при доступе от root) и что позволило снизить привилегии passwd(1) (и в Owl полностью избавиться от SUID root программ).
     
     
  • 3.101, Michael Shigorin (ok), 00:04, 14/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Но на этом внешняя схожесть заканчивается и начинаются принципиальные отличия.

    Спасибо, наконец-то уяснил для себя; добавил на страничку http://altlinux.org/tcb со ссылкой на Ваш комментарий.

     

  • 1.105, Аноним (105), 11:23, 15/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зачем?
     
     
  • 2.108, solardiz (ok), 17:26, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для снижения опасности возможных уязвимостей в passwd(1), chage(1) и программах (раз)блокировки текущего сеанса по паролю, а также используемом ими специфичном системном коде (PAM). Также, если в дистрибутиве удалось избавиться и от остальных общедоступных SUID root программ (как удалось нам), для снижения опасности возможных уявзимостей в низкоуровневом системном коде, используемом при запуске программ (некоторые части динамического линкера, libc, ядра - во всех из которых исторически бывали уязвимости).
     
     
  • 3.109, Аноним (32), 23:09, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Слишком много сказочных фраз, а по сути будет пердёж на месте с новыми дырами.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру