Por que todo mundo está tão preocupado com o etc / passwd?

Question

Por que todo mundo está tão preocupado com o etc / passwd?

#1 resposta do Sergiy Kolodyazhnyy (48 votos)
#2 resposta do Warren Hill (11 votos)

35

Aqui está o conteúdo da minha máquina vagante deste arquivo em particular:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/us$
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
syslog:x:100:103::/home/syslog:/bin/false

Alguém poderia me explicar por que é ruim se algum malvado conseguir esse arquivo do meu servidor de produção?

security passwd-file

por funguy 31.07.2015 / 08:25

2 respostas

11

Para fazer logon em uma máquina, você precisa saber o nome de usuário e a senha.

/etc/passwd fornece informações sobre os usuários, o que lhe dá metade das informações que você precisa e usou para incluir um hash da sua senha.

Um hash é algo calculado a partir da sua senha. É difícil encontrar uma senha de um hash, mas não o contrário. Se você tiver ambos, tente tentativas de força bruta para localizar a senha off-line e tente conectar-se ao computador assim que o encontrar.

Hoje a segurança é aprimorada porque os hashes são armazenados em um arquivo diferente /etc/shadow , que por padrão não é legível pela maioria dos usuários.

Mas, se eu tivesse acesso a ambos os /etc/passwd e /etc/shadow , provavelmente encontraria sua senha usando um ataque 'dicionário' de força bruta. Como posso fazer isso localmente em minha máquina, você não notaria muitas tentativas falhas de encontrar sua senha e eu precisaria conectar-se novamente à sua máquina assim que soubesse a senha. Eu sou livre para fazer o que quiser.

Há mais informações aqui na Wikipedia

por Warren Hill 31.07.2015 / 09:10

Tags security passwd-file

Youtube - não foi possível carregar o plug-in [closed] Como posso chmod 777 todas as subpastas de / var / www?

score 48 · Accepted Answer

Tecnicamente, /etc/passwd não é tão assustador. No passado, ele era usado para armazenar dados privados, senhas obviamente, mas a partir de hoje você precisaria se preocupar mais com /etc/shadow . Por que todo pentester / white-hat, bem como o alvo black-hat /etc/passwd , é que esse arquivo é frequentemente usado como proof of concept , como um teste de possibilidade de obter acesso a um sistema.

A única informação mais ou menos sensível são os nomes de usuários. Se você tiver sshd ou telnet no servidor e um nome de usuário com senha fraca, existe um potencial para um ataque de força bruta.

A propósito, sua mesma pergunta foi feita antes . Aqui eu simplesmente reafirmei alguns dos conceitos já mencionados.

Pequena adição: isso é um pouco exagerado, mas notei que você tem bash como shell de root. Agora, suponha que você tenha um usuário no sistema que tenha bash como seu shell, e ainda pior - esse usuário é sudoer. Agora, se você estiver desatualizado ou sem correção, um invasor pode tentar explorar a vulnerabilidade do Shellshock para roubar dados ou execute uma garfo-bomba traga seu sistema temporariamente. Então, sim, tecnicamente o /etc/passwd não é grande coisa, mas dá ao atacante uma ideia de algumas das informações sobre o que tentar

Edição adicional, 18/11/2016

Tendo usado um servidor Ubuntu no Digital Ocean por um tempo, percebi que a maioria dos ataques de força bruta contra o meu servidor foi realizada por root user - 99% das entradas para senha com falha em /var/log/auth.log foram para root . /etc/password , como mencionei antes, dá ao invasor uma olhada na lista de usuários, e não apenas nos usuários do sistema, mas também nos usuários humanos, o que significa mais locais potenciais para o ataque. Vamos lembrar que nem todos os usuários são preocupados com a segurança e nem sempre criam senhas strongs, então a aposta de um invasor em erro humano ou excesso de confiança tem uma alta probabilidade de ser um grande prêmio.