Re: nfs e sudo: furo de segurança???
Marcos Vinicius Lazarini wrote: Thadeu Penna wrote: Olá André, André Carezia wrote: O "sudo" não é o problema aqui. Se sua instalação NIS pede a senha do usuário quando você faz "su" na conta "root", então você pode nos contar como fez isso... :-) tjpp:zoloft|~> sudo su - operador /* sem senha */ [EMAIL PROTECTED]:~$ sudo grep tjpp /etc/sudoers tjppALL=NOPASSWD:ALL Não é assim que ocorre nas suas máquinas ??? Bom, aqui não acontece isso, mas é pq não tenho essa linha no sudo. Se o problema é ela, é só remove-la. Agora se a máquina não é sua e vc não tem controle, tanto faz o cara usar o sudo ou usar su direto. Não é tanto faz: o André tem razão. Se o cara usar o sudo pede a senha do usuário, mas se o cara virar root, aí f . Mas afinal, o problema foi resolvido? Não. A saída é desistir do NFS. Ainda não tive tempo de testar mas as soluções que eu estou pensando são: AFS (mais complicado porém mais confiável) shfs O problema do AFS é se o usuário quiser montar, ele vai ter que instalar o AFS na máquina também e vai me encher o saco para isto: eu não sou pago para ser admin, apenas quebro o galho aqui :) -- ___ _ .''`. | |_ _. _| _ |_) _ ._ ._ _. : :' : | | |(_|(_|(/_|_| | (/_| || |(_| `. `'` Linux User #50500`- Prof.Adjunto - Instituto de Física ---Debian- Universidade Federal Fluminense Alpha/i386 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Thadeu Penna wrote: Olá André, André Carezia wrote: O "sudo" não é o problema aqui. Se sua instalação NIS pede a senha do usuário quando você faz "su" na conta "root", então você pode nos contar como fez isso... :-) Juro que é isto que acontece aqui: zoloft é a máquina cliente (cut & paste exceto os comentários) tjpp:zoloft|~> su - operador Password: /* password do usuário operador */ [EMAIL PROTECTED]:~$ logout tjpp:zoloft|~> su - operador Password: /* senha de root da zoloft */ su: Authentication failure Sorry. tjpp:zoloft|~> sudo su - operador /* sem senha */ [EMAIL PROTECTED]:~$ sudo grep tjpp /etc/sudoers tjppALL=NOPASSWD:ALL Não é assim que ocorre nas suas máquinas ??? Bom, aqui não acontece isso, mas é pq não tenho essa linha no sudo. Se o problema é ela, é só remove-la. Agora se a máquina não é sua e vc não tem controle, tanto faz o cara usar o sudo ou usar su direto. Mas afinal, o problema foi resolvido? -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Thadeu Penna wrote: > Juro que é isto que acontece aqui: > zoloft é a máquina cliente (cut & paste exceto os comentários) > tjpp:zoloft|~> su - operador > Password: /* password do usuário operador */ > [EMAIL PROTECTED]:~$ logout Perfeito. Mas você disse que mesmo "como root na máquina cliente", teria que digitar a senha do usuário. Você não deu exemplo disso. Seria algo assim: thor:~# whoami root thor:~# su - acarezia [EMAIL PROTECTED]:~$ whoami acarezia Certo? -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
E GFS? (era Re: AFS: alguém tem testemunhos ? era ,Re: nfs e sudo: furo de segurança???)
Aproveitando a discussão: aguém já usou o GFS (ex-Sistina, agora da RedHat) ? -- Feng Sian (feng dot sian at interchange dot com dot br) Interchange Serviços SA +55 11 2123 2382
Re: nfs e sudo: furo de segurança???
Olá André, André Carezia wrote: Thadeu Penna wrote: Lembre-se que na minha primeira mensagem disse que estava usando NIS. Mesmo como root na máquina cliente você teria que saber a senha do usuário no servidor, [...] Não, não teria. Esse é justamente o problema que estamos discutindo e que é conhecido há muito tempo da comunidade. O "sudo" não é o problema aqui. Se sua instalação NIS pede a senha do usuário quando você faz "su" na conta "root", então você pode nos contar como fez isso... :-) Juro que é isto que acontece aqui: zoloft é a máquina cliente (cut & paste exceto os comentários) tjpp:zoloft|~> su - operador Password: /* password do usuário operador */ [EMAIL PROTECTED]:~$ logout tjpp:zoloft|~> su - operador Password: /* senha de root da zoloft */ su: Authentication failure Sorry. tjpp:zoloft|~> sudo su - operador /* sem senha */ [EMAIL PROTECTED]:~$ sudo grep tjpp /etc/sudoers tjppALL=NOPASSWD:ALL Não é assim que ocorre nas suas máquinas ??? -- ___ _ .''`. | |_ _. _| _ |_) _ ._ ._ _. : :' : | | |(_|(_|(/_|_| | (/_| || |(_| `. `'` Linux User #50500`- Prof.Adjunto - Instituto de Física ---Debian- Universidade Federal Fluminense Alpha/i386 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Thadeu Penna wrote: >Lembre-se que na minha primeira mensagem disse que estava usando NIS. >Mesmo como root na máquina cliente você teria que saber a senha do usuário >no servidor, [...] > Não, não teria. Esse é justamente o problema que estamos discutindo e que é conhecido há muito tempo da comunidade. O "sudo" não é o problema aqui. Se sua instalação NIS pede a senha do usuário quando você faz "su" na conta "root", então você pode nos contar como fez isso... :-) -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
On Thu, 3 Mar 2005, Marcos Vinicius Lazarini wrote: > Thadeu Penna wrote: > > Marcos Lazarini wrote: > > > > > Meu... ainda nao consegui captar Em todo o caso, tentei fazer o que vc > > > disse: > > > > > > > > > [EMAIL PROTECTED]:~$ su - rodrigo > > > Password: > > > [EMAIL PROTECTED]:~$ > > > > > > [EMAIL PROTECTED]:~$ sudo su - rodrigo > > > > > > We trust you have received the usual lecture from the local System > > > Administrator. It usually boils down to these three things: > > > > > > #1) Respect the privacy of others. > > > #2) Think before you type. > > > #3) With great power comes great responsibility. > > > > > > Password: > > > laza is not in the sudoers file. This incident will be reported. > > > > Pois é, se você é root, coloque o laza no sudoers como ALL=NOPASSWD:ALL. > > Ai, você entra como rodrigo, sem conhecer a senha do rodrigo (aliás, sem > > senha nenhuma). Como eu disse antes, a máquina é do usuário, portanto não > > posso pensar em retirar o sudo... > > Bom, mas se eu sei a senha de root, não precisa de sudo. :-) é só fazer um > 'su -' seguido de um 'su fulano' que o resultado é o mesmo. > > Pra mim, vc choveu no molhado, isto é: o sudo é pra rodar um comando sem > precisar a senha do admin. E é isso o que aconteceu. Ainda nao consegui > entender a sua surpresa... > Lembre-se que na minha primeira mensagem disse que estava usando NIS. Mesmo como root na máquina cliente você teria que saber a senha do usuário no servidor, e isto não tem como você saber É diferente fazer su - rodrigo ( aqui preciso da senha do rodrigo e não tenho como modificar ) e sudo su - rodrigo (aqui não preciso de senhas). > Outra coisa: colocando isso no sudo, é praticamente o mesmo que dar a senha de > root ao usuário. Existe um admin tonto o suficiente pra dar tamanhos poderes > ao usuário (exceto no kurumin ;-))? Sim, o próprio usuário: a máquina é dele!! > > > Desculpe, mas nao consigo parar de pensar numa analogia: se vc colocar uma > senha vazia para o root, vc vai poder logar com totais poderes de admin apenas > digitando 'root' e apertando enter duas vezes no login prompt! > :-) > Não coloquei senha vazia de root, o sudo é que foi configurado para ser NOPASSWD... -- ___ _ .''`. | |_ _. _| _ |_) _ ._ ._ _. : :' : | | |(_|(_|(/_|_| | (/_| || |(_| `. `'` Linux User #50500`- Prof.Adjunto - Instituto de Física ---Debian- Universidade Federal Fluminense Alpha/i386
Re: nfs e sudo: furo de segurança???
Thadeu Penna wrote: Marcos Lazarini wrote: Meu... ainda nao consegui captar Em todo o caso, tentei fazer o que vc disse: [EMAIL PROTECTED]:~$ su - rodrigo Password: [EMAIL PROTECTED]:~$ [EMAIL PROTECTED]:~$ sudo su - rodrigo We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility. Password: laza is not in the sudoers file. This incident will be reported. Pois é, se você é root, coloque o laza no sudoers como ALL=NOPASSWD:ALL. Ai, você entra como rodrigo, sem conhecer a senha do rodrigo (aliás, sem senha nenhuma). Como eu disse antes, a máquina é do usuário, portanto não posso pensar em retirar o sudo... Bom, mas se eu sei a senha de root, não precisa de sudo. :-) é só fazer um 'su -' seguido de um 'su fulano' que o resultado é o mesmo. Pra mim, vc choveu no molhado, isto é: o sudo é pra rodar um comando sem precisar a senha do admin. E é isso o que aconteceu. Ainda nao consegui entender a sua surpresa... Outra coisa: colocando isso no sudo, é praticamente o mesmo que dar a senha de root ao usuário. Existe um admin tonto o suficiente pra dar tamanhos poderes ao usuário (exceto no kurumin ;-))? Desculpe, mas nao consigo parar de pensar numa analogia: se vc colocar uma senha vazia para o root, vc vai poder logar com totais poderes de admin apenas digitando 'root' e apertando enter duas vezes no login prompt! :-) -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Marcos Lazarini wrote: Humm, acho que nao entendi o problema... protecoes? que protecoes? Isso seria o mesmo que fazer a seq. abaixo? $ su ... # su - operador Não, pois aí pede-se não a senha do root mas a do usuário operador ;) Foi surpresa pra mim também.. Meu... ainda nao consegui captar Em todo o caso, tentei fazer o que vc disse: [EMAIL PROTECTED]:~$ su - rodrigo Password: [EMAIL PROTECTED]:~$ [EMAIL PROTECTED]:~$ sudo su - rodrigo We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility. Password: laza is not in the sudoers file. This incident will be reported. Pois é, se você é root, coloque o laza no sudoers como ALL=NOPASSWD:ALL. Ai, você entra como rodrigo, sem conhecer a senha do rodrigo (aliás, sem senha nenhuma). Como eu disse antes, a máquina é do usuário, portanto não posso pensar em retirar o sudo... -- ___ _ .''`. | |_ _. _| _ |_) _ ._ ._ _. : :' : | | |(_|(_|(/_|_| | (/_| || |(_| `. `'` Linux User #50500`- Prof.Adjunto - Instituto de Física ---Debian- Universidade Federal Fluminense Alpha/i386 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: AFS: alguém tem testemunhos ? era ,Re: nfs e sudo: furo de segurança???
Marcos Vinicius Lazarini wrote: Thadeu Penna wrote: Estou lendo sobre o AFS em http://openafs.org/ Pelo site é rápido e seguro (quanto a autenticação)... Alguém recomenda ? Se nao me engano, o AFS era o mais avançado, já apresentando uma certa estabilidade, que ainda não estava tão presente no Coda, muito menos no Intermezzo. O Intermezzo é um "fork" do Coda mas o desenvolvimento de ambos parece parado desde 2001/2003. Vou testar o shfs que citei na outra mensagem... -- ___ _ .''`. | |_ _. _| _ |_) _ ._ ._ _. : :' : | | |(_|(_|(/_|_| | (/_| || |(_| `. `'` Linux User #50500`- Prof.Adjunto - Instituto de Física ---Debian- Universidade Federal Fluminense Alpha/i386 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Achei algo que deve resolver o problema de autenticação, mas preciso testar a performance. O legal é que pode funcionar como nfs comum (preservando o uid/gid) ou exigir a senha para montar algum volume: http://shfs.sourceforge.net/index.html -- ___ _ .''`. | |_ _. _| _ |_) _ ._ ._ _. : :' : | | |(_|(_|(/_|_| | (/_| || |(_| `. `'` Linux User #50500`- Prof.Adjunto - Instituto de Física ---Debian- Universidade Federal Fluminense Alpha/i386 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Marcos Lazarini wrote: [...] Pessoal, perdão pelas msgs duplicadas - mas estava usando o webmail no momento e mesmo o navegador acusando timeout, as msgs acabaram sendo enviadas. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Thadeu Penna wrote: > On Tue, 1 Mar 2005, Marcos Vinicius Lazarini wrote: > >>Thadeu Penna wrote: >>>Imagine a seguinte situação (testei aqui): >>>a) exporte um volume por NFS com root_squash (default) >>>b) monte na máquina cliente >>>c) alguém com acesso de root na cliente tenta apagar seus arquivos >>> su >>> # rm teste.dat >>> rm: imposível remover `teste.dat': Permissão negada >>> excelente.. o root_squash funciona >>>d) su - operador não funciona (operador é uma conta no NIS) >>>e) mas sudo su - operador, quebra todas as proteções :( >>Humm, acho que nao entendi o problema... protecoes? que protecoes? Isso seria o mesmo que fazer a seq. abaixo? >>$ su >>... >># su - operador > > > Não, pois aí pede-se não a senha do root mas a do usuário operador ;) Foi surpresa pra mim também.. Meu... ainda nao consegui captar Em todo o caso, tentei fazer o que vc disse: [EMAIL PROTECTED]:~$ su - rodrigo Password: [EMAIL PROTECTED]:~$ [EMAIL PROTECTED]:~$ sudo su - rodrigo We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility. Password: lazarini is not in the sudoers file. This incident will be reported. [EMAIL PROTECTED]:~$ Estou fazendo alguma coisa errada? não consigo furar o esquema... Será que seu /etc/sudoers não está com problemas? Veja meu /etc/sudoers (BTW, a permissão dele é 440): - # /etc/sudoers # # This file MUST be edited with the 'visudo' command as root. # # See the man page for details on how to write a sudoers file. # # Host alias specification # User alias specification # Cmnd alias specification # User privilege specification rootALL=(ALL) ALL - Em ultimo caso, remova o sudo... :-) >>Se vc está desconfiado, talvez seja mais interessante fazer uma experiencia e >>montar as particoes via SMBFS ou então limitar acesso de root no cliente (atraves do próprio sudo, ou adjacencias) - isso se a máquina nao for um laptop do usuário. > > > O problema é que pode ser um laptop do usuário :( Pois é bom, ai fica dificil - pra evitar isso, só colocando ele numa outra sub-rede, ou numa faixa de IPs que o /etc/exports não autoriza. Mas ai o usuário legitmo fica impedido ai temos um impasse, que não sei como resolver. -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Thadeu Penna wrote: > On Tue, 1 Mar 2005, Marcos Vinicius Lazarini wrote: > >>Thadeu Penna wrote: >>>Imagine a seguinte situação (testei aqui): >>>a) exporte um volume por NFS com root_squash (default) >>>b) monte na máquina cliente >>>c) alguém com acesso de root na cliente tenta apagar seus arquivos >>> su >>> # rm teste.dat >>> rm: imposível remover `teste.dat': Permissão negada >>> excelente.. o root_squash funciona >>>d) su - operador não funciona (operador é uma conta no NIS) >>>e) mas sudo su - operador, quebra todas as proteções :( >>Humm, acho que nao entendi o problema... protecoes? que protecoes? Isso seria o mesmo que fazer a seq. abaixo? >>$ su >>... >># su - operador > > > Não, pois aí pede-se não a senha do root mas a do usuário operador ;) Foi surpresa pra mim também.. Meu... ainda nao consegui captar Em todo o caso, tentei fazer o que vc disse: [EMAIL PROTECTED]:~$ su - rodrigo Password: [EMAIL PROTECTED]:~$ [EMAIL PROTECTED]:~$ sudo su - rodrigo We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility. Password: lazarini is not in the sudoers file. This incident will be reported. [EMAIL PROTECTED]:~$ Estou fazendo alguma coisa errada? não consigo furar o esquema... Será que seu /etc/sudoers não está com problemas? Veja meu /etc/sudoers (BTW, a permissão dele é 440): - # /etc/sudoers # # This file MUST be edited with the 'visudo' command as root. # # See the man page for details on how to write a sudoers file. # # Host alias specification # User alias specification # Cmnd alias specification # User privilege specification rootALL=(ALL) ALL - Em ultimo caso, remova o sudo... :-) >>Se vc está desconfiado, talvez seja mais interessante fazer uma experiencia e >>montar as particoes via SMBFS ou então limitar acesso de root no cliente (atraves do próprio sudo, ou adjacencias) - isso se a máquina nao for um laptop do usuário. > > > O problema é que pode ser um laptop do usuário :( Pois é bom, ai fica dificil - pra evitar isso, só colocando ele numa outra sub-rede, ou numa faixa de IPs que o /etc/exports não autoriza. Mas ai o usuário legitmo fica impedido ai temos um impasse, que não sei como resolver. -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Thadeu Penna wrote: > On Tue, 1 Mar 2005, Marcos Vinicius Lazarini wrote: > >>Thadeu Penna wrote: >>>Imagine a seguinte situação (testei aqui): >>>a) exporte um volume por NFS com root_squash (default) >>>b) monte na máquina cliente >>>c) alguém com acesso de root na cliente tenta apagar seus arquivos >>> su >>> # rm teste.dat >>> rm: imposível remover `teste.dat': Permissão negada >>> excelente.. o root_squash funciona >>>d) su - operador não funciona (operador é uma conta no NIS) >>>e) mas sudo su - operador, quebra todas as proteções :( >>Humm, acho que nao entendi o problema... protecoes? que protecoes? Isso seria o mesmo que fazer a seq. abaixo? >>$ su >>... >># su - operador > > > Não, pois aí pede-se não a senha do root mas a do usuário operador ;) Foi surpresa pra mim também.. Meu... ainda nao consegui captar Em todo o caso, tentei fazer o que vc disse: [EMAIL PROTECTED]:~$ su - rodrigo Password: [EMAIL PROTECTED]:~$ [EMAIL PROTECTED]:~$ sudo su - rodrigo We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility. Password: laza is not in the sudoers file. This incident will be reported. [EMAIL PROTECTED]:~$ Estou fazendo alguma coisa errada? não consigo furar o esquema... Será que seu /etc/sudoers não está com problemas? Veja meu /etc/sudoers (BTW, a permissão dele é 440): - # /etc/sudoers # # This file MUST be edited with the 'visudo' command as root. # # See the man page for details on how to write a sudoers file. # # Host alias specification # User alias specification # Cmnd alias specification # User privilege specification rootALL=(ALL) ALL - Em ultimo caso, remova o sudo... :-) >>Se vc está desconfiado, talvez seja mais interessante fazer uma experiencia e >>montar as particoes via SMBFS ou então limitar acesso de root no cliente (atraves do próprio sudo, ou adjacencias) - isso se a máquina nao for um laptop do usuário. > > > O problema é que pode ser um laptop do usuário :( Pois é bom, ai fica dificil - pra evitar isso, só colocando ele numa outra sub-rede, ou numa faixa de IPs que o /etc/exports não autoriza. Mas ai o usuário legitmo fica impedido ai temos um impasse, que não sei como resolver. -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: AFS: alguém tem testemunhos ? era ,Re: nfs e sudo: furo de segurança???
Thadeu Penna wrote: Estou lendo sobre o AFS em http://openafs.org/ Pelo site é rápido e seguro (quanto a autenticação)... Alguém recomenda ? P.S. estou provocando o Igor a falar sobre o CodaFS e ele nada até agora ;) Olha, minha memória já não é mais a mesma, mas eu lembro que havia uma sequencia, composta de {AFS, Coda}, Intermezzo. A sequencia era ordenada decescentemente por estabilidade e maturidade do código (e funcionalidades tbm). Estou falando isso pq, afinal, convenhamos que ficar brincando com o sistema de arquivos (de disco ou de rede) não é algo que seja muito interessante num sistema em produção (afinal, ninguem gosta de por o seu arquivo 'na reta' :-) O Próprio NFS do linux foi considerado 'unstable' (no sentido literal) por um bom tempo... Se nao me engano, o AFS era o mais avançado, já apresentando uma certa estabilidade, que ainda não estava tão presente no Coda, muito menos no Intermezzo. Boa sorte nas aventuras! -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
André Carezia wrote: Marcos Vinicius Lazarini wrote: Bom, mas o mesmo FAQ fala mais ou menos o que eu disse: http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#weakness [...] Kerberos uses a principal's password (encryption key) as the fundamental proof of identity. If a user's Kerberos password is stolen by an attacker, then the attacker can impersonate that user with impunity. Isso não significa que o atacante consegue ver as senhas "em claro", nem que elas estão armazenadas em algum local. Não estou querendo prolongar mais a discussão, nem defender nem atacar kerberos (nem sou especialista, nem cheguei a usar isso), mas acho q vc está pensando apenas no cliente kerberos. Vc cortou a segunda frase do FAQ que, apesar de ambígua, tenta esclarecer: 'Como o KDC tem todas as senhas para todos os 'principals' de um domínio, se um host do KDC é comprometido, então todo o domínio é comprometido'. KDC = Key Distribution Center, ou "Kerberos server" No caso do linux tradicional, as senhas são cifradas em MD5, o que demanda busca exaustiva e/ou via dicionário para quebrar uma senha por força bruta. A resposta do FAQ não é explicita, falando exatamente o comportamento do kerberor nesse ponto (até pq não seria interessante que eles falassem diretamente isso), então não dá pra saber. Assim, tirem suas próprias conclusões E as mandem pra lista! :-) Mas o Kerberos 4 apresentava algumas falhas de segurança, que a versão 5 parece ter corrigido. O artigo do Bellovin é bastante ilustrativo: http://www.cs.jhu.edu/~astubble/600.412/s-c-papers/kerberos.pdf Com certeza melhorias foram introduzidas, afinal é o percurso natural dos programas. Alias, nem sei qual versão eu estudei na faculdade... -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Marcos Vinicius Lazarini wrote: > Bom, mas o mesmo FAQ fala mais ou menos o que eu disse: > http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#weakness > > [...] > Kerberos uses a principal's password (encryption key) as the > fundamental proof of identity. If a user's Kerberos password is stolen > by an attacker, then the attacker can impersonate that user with > impunity. Isso não significa que o atacante consegue ver as senhas "em claro", nem que elas estão armazenadas em algum local. Mas o Kerberos 4 apresentava algumas falhas de segurança, que a versão 5 parece ter corrigido. O artigo do Bellovin é bastante ilustrativo: http://www.cs.jhu.edu/~astubble/600.412/s-c-papers/kerberos.pdf -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Pra mim o problema tá no sudo. Sudo eh coisa do diabo, tira ele dos seus clientes. On Wed, 02 Mar 2005 17:08:29 -0300, Marcos Vinicius Lazarini <[EMAIL PROTECTED]> wrote: > André Carezia wrote: > > > Marcos Vinicius Lazarini wrote: > > > > > >>André Carezia wrote: > >> > >> > >>>Thadeu Penna wrote: > >>> > >>> > >>> > Do NFS Administration Guide da Sun > > http://docs.sun.com/app/docs/doc/802-1963/6i5v8k26q?a=view > >>> > >>> > >>> > >>>Agora ficou interessante. A senha do usuário (que não está disponível > >>>via "su") é usada como parte do processo de embaralhamento e > >>>desembaralhamento de cada pacote RPC. > >>> > >>>Mas eu suponho que o Kerberos seja um concorrente à altura. Se for, é > >>>aberto e com implementação para Linux. O pacote Debian > >>>"kernel-image-2.6.8-2-686" vem com os módulos "auth_rpcgss" e > >>>"rpcsec_gss_krb5": > >>> > >>>http://www.citi.umich.edu/projects/nfsv4/linux/ > >>>http://packages.debian.org/testing/base/kernel-image-2.6.8-2-686 > >> > >> > >>A unica crítica do kerberos é que as senhas precisam ficar arquivadas > >>_em claro_ no servidor; ou seja, qquer pessoa com acesso root na > >>máquina conseguirá todas as senhas instantaneamente. > > > > > > O FAQ do Kerberos diz que o que é armazenado é uma chave DES derivada da > > senha: > > http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#pwconvert > > Bom, mas o mesmo FAQ fala mais ou menos o que eu disse: > http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#weakness > > [...] > Kerberos uses a principal's password (encryption key) as the fundamental > proof of identity. If a user's Kerberos password is stolen by an attacker, > then the attacker can impersonate that user with impunity. > Since the KDC holds all of the passwords for all of the principals in a > realm, if host security on the KDC is compromised, then the entire realm is > compromised. > [...] > KDC = The term "Kerberos server" generally refers to the Key Distribution > Center, or the KDC for short. > > Então, apesar de ser derivada do DES, ainda há algum problema. Eu lembro que > por construção, o kerberos tinha essa característica. Mas são tantos > tiquetes e outras coisas q andam pra cima e pra baixo que eu não me lembro > mais os detalhes. É, na verdade, não são só os detalhes que eu não lembro, > mas esse 'problema' do kerberos isso eu lembro!! :-) > > -- > Marcos > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > >
Re: nfs e sudo: furo de segurança???
André Carezia wrote: Marcos Vinicius Lazarini wrote: André Carezia wrote: Thadeu Penna wrote: Do NFS Administration Guide da Sun http://docs.sun.com/app/docs/doc/802-1963/6i5v8k26q?a=view Agora ficou interessante. A senha do usuário (que não está disponível via "su") é usada como parte do processo de embaralhamento e desembaralhamento de cada pacote RPC. Mas eu suponho que o Kerberos seja um concorrente à altura. Se for, é aberto e com implementação para Linux. O pacote Debian "kernel-image-2.6.8-2-686" vem com os módulos "auth_rpcgss" e "rpcsec_gss_krb5": http://www.citi.umich.edu/projects/nfsv4/linux/ http://packages.debian.org/testing/base/kernel-image-2.6.8-2-686 A unica crítica do kerberos é que as senhas precisam ficar arquivadas _em claro_ no servidor; ou seja, qquer pessoa com acesso root na máquina conseguirá todas as senhas instantaneamente. O FAQ do Kerberos diz que o que é armazenado é uma chave DES derivada da senha: http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#pwconvert Bom, mas o mesmo FAQ fala mais ou menos o que eu disse: http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#weakness [...] Kerberos uses a principal's password (encryption key) as the fundamental proof of identity. If a user's Kerberos password is stolen by an attacker, then the attacker can impersonate that user with impunity. Since the KDC holds all of the passwords for all of the principals in a realm, if host security on the KDC is compromised, then the entire realm is compromised. [...] KDC = The term "Kerberos server" generally refers to the Key Distribution Center, or the KDC for short. Então, apesar de ser derivada do DES, ainda há algum problema. Eu lembro que por construção, o kerberos tinha essa característica. Mas são tantos tiquetes e outras coisas q andam pra cima e pra baixo que eu não me lembro mais os detalhes. É, na verdade, não são só os detalhes que eu não lembro, mas esse 'problema' do kerberos isso eu lembro!! :-) -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
André Carezia wrote: Thadeu Penna wrote: Do NFS Administration Guide da Sun http://docs.sun.com/app/docs/doc/802-1963/6i5v8k26q?a=view Mas eu suponho que o Kerberos seja um concorrente à altura. Se for, é aberto e com implementação para Linux. O pacote Debian "kernel-image-2.6.8-2-686" vem com os módulos "auth_rpcgss" e "rpcsec_gss_krb5": http://www.citi.umich.edu/projects/nfsv4/linux/ http://packages.debian.org/testing/base/kernel-image-2.6.8-2-686 Eu não posso usar o 2.6 enquanto não sair o patch do openMosix :( -- ___ _ .''`. | |_ _. _| _ |_) _ ._ ._ _. : :' : | | |(_|(_|(/_|_| | (/_| || |(_| `. `'` Linux User #50500`- Prof.Adjunto - Instituto de Física ---Debian- Universidade Federal Fluminense Alpha/i386 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Marcos Vinicius Lazarini wrote: > André Carezia wrote: > >> Thadeu Penna wrote: >> >> >>> Do NFS Administration Guide da Sun >>> >>> http://docs.sun.com/app/docs/doc/802-1963/6i5v8k26q?a=view >> >> >> >> Agora ficou interessante. A senha do usuário (que não está disponível >> via "su") é usada como parte do processo de embaralhamento e >> desembaralhamento de cada pacote RPC. >> >> Mas eu suponho que o Kerberos seja um concorrente à altura. Se for, é >> aberto e com implementação para Linux. O pacote Debian >> "kernel-image-2.6.8-2-686" vem com os módulos "auth_rpcgss" e >> "rpcsec_gss_krb5": >> >> http://www.citi.umich.edu/projects/nfsv4/linux/ >> http://packages.debian.org/testing/base/kernel-image-2.6.8-2-686 > > > A unica crítica do kerberos é que as senhas precisam ficar arquivadas > _em claro_ no servidor; ou seja, qquer pessoa com acesso root na > máquina conseguirá todas as senhas instantaneamente. O FAQ do Kerberos diz que o que é armazenado é uma chave DES derivada da senha: http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#pwconvert -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
André Carezia wrote: Thadeu Penna wrote: Do NFS Administration Guide da Sun http://docs.sun.com/app/docs/doc/802-1963/6i5v8k26q?a=view Agora ficou interessante. A senha do usuário (que não está disponível via "su") é usada como parte do processo de embaralhamento e desembaralhamento de cada pacote RPC. Mas eu suponho que o Kerberos seja um concorrente à altura. Se for, é aberto e com implementação para Linux. O pacote Debian "kernel-image-2.6.8-2-686" vem com os módulos "auth_rpcgss" e "rpcsec_gss_krb5": http://www.citi.umich.edu/projects/nfsv4/linux/ http://packages.debian.org/testing/base/kernel-image-2.6.8-2-686 A unica crítica do kerberos é que as senhas precisam ficar arquivadas _em claro_ no servidor; ou seja, qquer pessoa com acesso root na máquina conseguirá todas as senhas instantaneamente. -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Thadeu Penna wrote: > > Do NFS Administration Guide da Sun > > http://docs.sun.com/app/docs/doc/802-1963/6i5v8k26q?a=view Agora ficou interessante. A senha do usuário (que não está disponível via "su") é usada como parte do processo de embaralhamento e desembaralhamento de cada pacote RPC. Mas eu suponho que o Kerberos seja um concorrente à altura. Se for, é aberto e com implementação para Linux. O pacote Debian "kernel-image-2.6.8-2-686" vem com os módulos "auth_rpcgss" e "rpcsec_gss_krb5": http://www.citi.umich.edu/projects/nfsv4/linux/ http://packages.debian.org/testing/base/kernel-image-2.6.8-2-686 []s, -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Do NFS Administration Guide da Sun http://docs.sun.com/app/docs/doc/802-1963/6i5v8k26q?a=view Secure NFS The NFS environment is a powerful and convenient way to share file systems on a network of different computer architectures and operating systems. However, the same features that make sharing file systems through NFS operation convenient also pose some security problems. An NFS server authenticates a file request by authenticating the computer making the request, but not the user when using UNIX authentication. When using UNIX authentication, a client user can run su and impersonate the owner of a file. If DES authentication is used, the NFS server will authenticate the user, making this sort of impersonation much harder. André Carezia wrote: Thadeu Penna wrote: Não, mas quando se trata de Linux e NFS. Solaris tem o secure-nfs. Mas o sNFS continua sendo feito para autenticar *máquinas*, não usuários. A autenticação é mais robusta, pois se baseia em criptografia de chave pública (DES). Somente o "root" pode montar compartilhamentos sNFS. Um usuário "root" na máquina-cliente, usando "su", continua tendo acesso completo a qualquer arquivo pertencente a qualquer usuário que esteja na base de dados (/etc/passwd ou NIS). -- ___ _ .''`. | |_ _. _| _ |_) _ ._ ._ _. : :' : | | |(_|(_|(/_|_| | (/_| || |(_| `. `'` Linux User #50500`- Prof.Adjunto - Instituto de Física ---Debian- Universidade Federal Fluminense Alpha/i386 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Thadeu Penna wrote: >Não, mas quando se trata de Linux e NFS. Solaris tem o secure-nfs. > > Mas o sNFS continua sendo feito para autenticar *máquinas*, não usuários. A autenticação é mais robusta, pois se baseia em criptografia de chave pública (DES). Somente o "root" pode montar compartilhamentos sNFS. Um usuário "root" na máquina-cliente, usando "su", continua tendo acesso completo a qualquer arquivo pertencente a qualquer usuário que esteja na base de dados (/etc/passwd ou NIS). -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
AFS: alguém tem testemunhos ? era ,Re: nfs e sudo: furo de segurança???
Estou lendo sobre o AFS em http://openafs.org/ Pelo site é rápido e seguro (quanto a autenticação)... Alguém recomenda ? P.S. estou provocando o Igor a falar sobre o CodaFS e ele nada até agora ;) Bruno de Oliveira Schneider wrote: A última versão do NFS (acho que é NFSv4) utiliza autenticação ao invés de confiar nas máquinas clientes, e já começa a aparecer em outras distros. Não tenho detalhes, mas sugiro uma pesquisa na rede. -- ___ _ .''`. | |_ _. _| _ |_) _ ._ ._ _. : :' : | | |(_|(_|(/_|_| | (/_| || |(_| `. `'` Linux User #50500`- Prof.Adjunto - Instituto de Física ---Debian- Universidade Federal Fluminense Alpha/i386 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
A última versão do NFS (acho que é NFSv4) utiliza autenticação ao invés de confiar nas máquinas clientes, e já começa a aparecer em outras distros. Não tenho detalhes, mas sugiro uma pesquisa na rede.
Re: nfs e sudo: furo de segurança???
On Tue, 1 Mar 2005, André Carezia wrote: > Marcos Vinicius Lazarini wrote: > > >> acesso como root, mas tenho esta preocupação... > > > > Mesmo que do jeito normal isso não seja possivel, sei que é muito > > facil vc furar o esquema de proteção do NFS se vc for root no cliente. > > É assim mesmo, e tem que ser, quando se trata de Unix e NFS: > http://nfs.sourceforge.net/nfs-howto/security.html > Não, mas quando se trata de Linux e NFS. Solaris tem o secure-nfs. > SMBFS é uma alternativa interessante, orientada para montar > compartilhamentos de /usuário/. O NFS foi pensado para compartilhamento > entre /máquinas/, onde nenhum usuário comum teria acesso de "root". > Concordo. Uma saída/remendo possível é exportar apenas os diretórios dos usuários de cada máquina, mas aí eu teria que fixar os IPs e perder a flexibilidade do DHCP.. > Ou então você pode usar algo mais moderno, como o sistema de arquivos de > rede Coda, que tem inclusive pacotes para Debian: > http://www.coda.cs.cmu.edu/index.html > http://www.coda.cs.cmu.edu/mirrors.html E alguém já usou o Coda ou o Intermezzo ?? -- ___ _ .''`. | |_ _. _| _ |_) _ ._ ._ _. : :' : | | |(_|(_|(/_|_| | (/_| || |(_| `. `'` Linux User #50500`- Prof.Adjunto - Instituto de Física ---Debian- Universidade Federal Fluminense Alpha/i386
Re: nfs e sudo: furo de segurança???
On Tue, 1 Mar 2005, Marcos Vinicius Lazarini wrote: > Thadeu Penna wrote: > > Imagine a seguinte situação (testei aqui): > > a) exporte um volume por NFS com root_squash (default) > > b) monte na máquina cliente > > c) alguém com acesso de root na cliente tenta apagar seus arquivos > >su > ># rm teste.dat > >rm: imposível remover `teste.dat': Permissão negada > >excelente.. o root_squash funciona > > d) su - operador não funciona (operador é uma conta no NIS) > > e) mas sudo su - operador, quebra todas as proteções :( > > Humm, acho que nao entendi o problema... protecoes? que protecoes? > Isso seria o mesmo que fazer a seq. abaixo? > $ su > ... > # su - operador > Não, pois aí pede-se não a senha do root mas a do usuário operador ;) Foi surpresa pra mim também.. > > Se vc está desconfiado, talvez seja mais interessante fazer uma experiencia e > montar as particoes via SMBFS ou então limitar acesso de root no cliente > (atraves do próprio sudo, ou adjacencias) - isso se a máquina nao for um > laptop do usuário. O problema é que pode ser um laptop do usuário :( -- ___ _ .''`. | |_ _. _| _ |_) _ ._ ._ _. : :' : | | |(_|(_|(/_|_| | (/_| || |(_| `. `'` Linux User #50500`- Prof.Adjunto - Instituto de Física ---Debian- Universidade Federal Fluminense Alpha/i386
Re: nfs e sudo: furo de segurança???
Marcos Vinicius Lazarini wrote: > [...] > >> Eu gostaria de exportar alguns volumes para máquinas que outros terão >> acesso como root, mas tenho esta preocupação... > > Mesmo que do jeito normal isso não seja possivel, sei que é muito > facil vc furar o esquema de proteção do NFS se vc for root no cliente. É assim mesmo, e tem que ser, quando se trata de Unix e NFS: http://nfs.sourceforge.net/nfs-howto/security.html > Se vc está desconfiado, talvez seja mais interessante fazer uma > experiencia e montar as particoes via SMBFS [...] SMBFS é uma alternativa interessante, orientada para montar compartilhamentos de /usuário/. O NFS foi pensado para compartilhamento entre /máquinas/, onde nenhum usuário comum teria acesso de "root". Ou então você pode usar algo mais moderno, como o sistema de arquivos de rede Coda, que tem inclusive pacotes para Debian: http://www.coda.cs.cmu.edu/index.html http://www.coda.cs.cmu.edu/mirrors.html []s, -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: nfs e sudo: furo de segurança???
Thadeu Penna wrote: Imagine a seguinte situação (testei aqui): a) exporte um volume por NFS com root_squash (default) b) monte na máquina cliente c) alguém com acesso de root na cliente tenta apagar seus arquivos su # rm teste.dat rm: imposível remover `teste.dat': Permissão negada excelente.. o root_squash funciona d) su - operador não funciona (operador é uma conta no NIS) e) mas sudo su - operador, quebra todas as proteções :( Humm, acho que nao entendi o problema... protecoes? que protecoes? Isso seria o mesmo que fazer a seq. abaixo? $ su ... # su - operador Eu gostaria de exportar alguns volumes para máquinas que outros terão acesso como root, mas tenho esta preocupação... Mesmo que do jeito normal isso não seja possivel, sei que é muito facil vc furar o esquema de proteção do NFS se vc for root no cliente. Se vc está desconfiado, talvez seja mais interessante fazer uma experiencia e montar as particoes via SMBFS ou então limitar acesso de root no cliente (atraves do próprio sudo, ou adjacencias) - isso se a máquina nao for um laptop do usuário. -- Marcos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
nfs e sudo: furo de segurança???
Imagine a seguinte situação (testei aqui): a) exporte um volume por NFS com root_squash (default) b) monte na máquina cliente c) alguém com acesso de root na cliente tenta apagar seus arquivos su # rm teste.dat rm: imposível remover `teste.dat': Permissão negada excelente.. o root_squash funciona d) su - operador não funciona (operador é uma conta no NIS) e) mas sudo su - operador, quebra todas as proteções :( Eu gostaria de exportar alguns volumes para máquinas que outros terão acesso como root, mas tenho esta preocupação... -- ___ _ .''`. | |_ _. _| _ |_) _ ._ ._ _. : :' : | | |(_|(_|(/_|_| | (/_| || |(_| `. `'` Linux User #50500`- Prof.Adjunto - Instituto de Física ---Debian- Universidade Federal Fluminense Alpha/i386 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]