Re: securite et default users
On Fri, 19 Jan 2001, Francois Deppierraz wrote: > Voici, une fois de plus, la preuve qu'il ne faut PAS utiliser de mot > de passes trop simples. :) -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question.
Re: securite et default users
On Thu, Jan 18, 2001 at 02:28:10PM +0100, Marc SCHAEFER wrote: >defian:/home/schaefer# egrep bsmtp /etc/shadow /etc/passwd >/etc/shadow:bsmtp:Os7K58BCXvU1c:11340:0:9:7::: >/etc/passwd:bsmtp:x:1004:1004:BSMTP test user,,,:/home/bsmtp:/bin/bash > PS: travail laissé à l'auditoire: casser le mot de passe de l'utilisateur > bsmtp. Avec Crack cela doit pouvoir se faire assez vite. En effet, ce fut court. francois@gollum:/tmp$ /usr/sbin/john passwd Loaded 1 password (Standard DES [48/64 4K]) demo (bsmtp) guesses: 1 time: 0:00:00:00 100% (2) c/s: 9779 trying: allen - truck francois@gollum:/tmp$ Voici, une fois de plus, la preuve qu'il ne faut PAS utiliser de mot de passes trop simples. -- Francois Deppierraz <[EMAIL PROTECTED]> Nimag Networks Sàrl - www.nimag.net Phone +41 21 847 00 75 - Fax +41 21 847 00 77 PGP Key ID: 9D283BC9 -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question.
RE: securite et default users
Merci c'est plus clair. stef > Mais comment savoir si ils ont un password (et lequel). Si il y a un Je crois qu'on va faire un exemple pratique: Compte bloqué: defian:/home/schaefer# passwd -S uucp uucp L 08/17/1999 0 9 7 -1 defian:/home/schaefer# egrep uucp /etc/shadow /etc/passwd /etc/shadow:uucp:*:10820:0:9:7::: /etc/passwd:uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh Compte actif, avec un mot de passe: defian:/home/schaefer# passwd -S bsmtp bsmtp P 01/18/2001 0 9 7 -1 defian:/home/schaefer# egrep bsmtp /etc/shadow /etc/passwd /etc/shadow:bsmtp:Os7K58BCXvU1c:11340:0:9:7::: /etc/passwd:bsmtp:x:1004:1004:BSMTP test user,,,:/home/bsmtp:/bin/bash Maintenant sabotons ce compte en introduisant, dans le champ du mot de passe, un caractère ne figurant pas dans l'alphabet considéré (cf plus bas), p.ex l'étoile (on plus on change le nombre de caractères). defian:/home/schaefer# passwd -S bsmtp bsmtp L 01/18/2001 0 9 7 -1 Maintenant remettons un mot de passe et utilisons l'option -l de passwd: defian:/home/schaefer# passwd -l bsmtp Password changed. defian:/home/schaefer# passwd -S bsmtp bsmtp L 01/18/2001 0 9 7 -1 defian:/home/schaefer# egrep bsmtp /etc/shadow /etc/passwd /etc/shadow:bsmtp:!RwUttjcgBIpoI:11340:0:9:7::: /etc/passwd:bsmtp:x:1004:1004:BSMTP test user,,,:/home/bsmtp:/bin/bash PS: travail laissé à l'auditoire: casser le mot de passe de l'utilisateur bsmtp. Avec Crack cela doit pouvoir se faire assez vite. cf man 5 passwd [ ... ] The password field may not be filled if shadow passwords have been enabled. If shadow passwords are being used, the encrypted password will be found in /etc/shadow. The encryped password consists of 13 characters from the 64 character alphabet a thru z, A thru Z, 0 thru 9, . and /. Refer to crypt(3) for details on how this string is inter preted. [ ... ] (donc p.ex. * n'est pas un caractère valide). man 5 shadow [ ... ] The password field must be filled. The encryped password consists of 13 to 24 characters from the 64 character alphabet a thru z, A thru Z, 0 thru 9, . and /. Refer to crypt(3) for details on how this string is interpreted. [ ... ] man 1 passwd [ ... ] Account maintenance User accounts may be locked and unlocked with the -l and -u flags. The -l option disables an account by changing the password to a value which matches no possible encrypted value. The -u option re-enables an account by changing the password back to its previous value. [ ... ] The account status may be given with the -S option. The status information consists of 6 parts. The first part indicates if the user account is locked (L), has no pass word (NP), or has a usable password (P). The second part gives the date of the last password change. The next four parts are the minimum age, maximum age, warning period, and inactivity period for the password. [ ... ] -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question.
Re: securite et default users
> >> Tant qu'ils sont lockés dans /etc/shadow c'est bon (si tu as les shadow > >> passwords, sinon * dans /etc/passwd). > > > Mais comment savoir si ils ont un password (et lequel). Si il y a un > > password alors > > qqun chez redhat le connait ;-). Ma question, indirecte, est de savoir quel > > user peut > > etre disable par mes soins ... Par exemple je pense que disabler apache ou > > news > > n'est pas recommandable. Finalement entre disabler et une * dans passwd le > > plus > > "sure" est de disabler (ou esk je me trompe ?) > > ben dans shadow s'est locke s'il y a un '*' ou '+' (je ne me rappelle > plus) dans le champ password. du coup, peu importe le mot de passe > qu'on rentre, il sera toujours refuse. > si je fais un cat de shadow, j'ai par exemple : apache:!!:11236:0:9:7::: (compte enable d'apres linuxconf) operator:*:11236:0:9:7::11235: (compte disable) stef:tuf2E4Tt$ZrVitnlMH3Kl9qPrVreves:11236:0:9:7::: par contre je vois aussi mon access perso et root qui ont bel et bien un password crypte (cherchez pas j'ai bricole celui que j'ai mis dans l'email). Je peux faire un su sur les deux... alors je me demande lequel est le mieux. Au moins ce qui me rassure c'est que par defaut il n'y ait pas de pass et donc pas de possibilite de se logger avec un pass par default (genre compaq ...). stef -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question.
Re: securite et default users
On Thu, 18 Jan 2001 [EMAIL PROTECTED] wrote: > Mais comment savoir si ils ont un password (et lequel). Si il y a un Je crois qu'on va faire un exemple pratique: Compte bloqué: defian:/home/schaefer# passwd -S uucp uucp L 08/17/1999 0 9 7 -1 defian:/home/schaefer# egrep uucp /etc/shadow /etc/passwd /etc/shadow:uucp:*:10820:0:9:7::: /etc/passwd:uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh Compte actif, avec un mot de passe: defian:/home/schaefer# passwd -S bsmtp bsmtp P 01/18/2001 0 9 7 -1 defian:/home/schaefer# egrep bsmtp /etc/shadow /etc/passwd /etc/shadow:bsmtp:Os7K58BCXvU1c:11340:0:9:7::: /etc/passwd:bsmtp:x:1004:1004:BSMTP test user,,,:/home/bsmtp:/bin/bash Maintenant sabotons ce compte en introduisant, dans le champ du mot de passe, un caractère ne figurant pas dans l'alphabet considéré (cf plus bas), p.ex l'étoile (on plus on change le nombre de caractères). defian:/home/schaefer# passwd -S bsmtp bsmtp L 01/18/2001 0 9 7 -1 Maintenant remettons un mot de passe et utilisons l'option -l de passwd: defian:/home/schaefer# passwd -l bsmtp Password changed. defian:/home/schaefer# passwd -S bsmtp bsmtp L 01/18/2001 0 9 7 -1 defian:/home/schaefer# egrep bsmtp /etc/shadow /etc/passwd /etc/shadow:bsmtp:!RwUttjcgBIpoI:11340:0:9:7::: /etc/passwd:bsmtp:x:1004:1004:BSMTP test user,,,:/home/bsmtp:/bin/bash PS: travail laissé à l'auditoire: casser le mot de passe de l'utilisateur bsmtp. Avec Crack cela doit pouvoir se faire assez vite. cf man 5 passwd [ ... ] The password field may not be filled if shadow passwords have been enabled. If shadow passwords are being used, the encrypted password will be found in /etc/shadow. The encryped password consists of 13 characters from the 64 character alphabet a thru z, A thru Z, 0 thru 9, . and /. Refer to crypt(3) for details on how this string is inter preted. [ ... ] (donc p.ex. * n'est pas un caractère valide). man 5 shadow [ ... ] The password field must be filled. The encryped password consists of 13 to 24 characters from the 64 character alphabet a thru z, A thru Z, 0 thru 9, . and /. Refer to crypt(3) for details on how this string is interpreted. [ ... ] man 1 passwd [ ... ] Account maintenance User accounts may be locked and unlocked with the -l and -u flags. The -l option disables an account by changing the password to a value which matches no possible encrypted value. The -u option re-enables an account by changing the password back to its previous value. [ ... ] The account status may be given with the -S option. The status information consists of 6 parts. The first part indicates if the user account is locked (L), has no pass word (NP), or has a usable password (P). The second part gives the date of the last password change. The next four parts are the minimum age, maximum age, warning period, and inactivity period for the password. [ ... ] -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question.
Re: securite et default users
> <[EMAIL PROTECTED]> writes: >> Tant qu'ils sont lockés dans /etc/shadow c'est bon (si tu as les shadow >> passwords, sinon * dans /etc/passwd). > Mais comment savoir si ils ont un password (et lequel). Si il y a un > password alors > qqun chez redhat le connait ;-). Ma question, indirecte, est de savoir quel > user peut > etre disable par mes soins ... Par exemple je pense que disabler apache ou > news > n'est pas recommandable. Finalement entre disabler et une * dans passwd le > plus > "sure" est de disabler (ou esk je me trompe ?) ben dans shadow s'est locke s'il y a un '*' ou '+' (je ne me rappelle plus) dans le champ password. du coup, peu importe le mot de passe qu'on rentre, il sera toujours refuse. tom -- in a world without fences and walls, who needs gates and windows? -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question.
Re: securite et default users
> On Thu, 18 Jan 2001 [EMAIL PROTECTED] wrote: > > > Hier soir je me promenais dans /etc ... et j'ai fait un p'tit cat passwd ... > > Tant qu'ils sont lockés dans /etc/shadow c'est bon (si tu as les shadow > passwords, sinon * dans /etc/passwd). > > Par contre un compte de ce genre avec un mot de passe me semble dangereux. Mais comment savoir si ils ont un password (et lequel). Si il y a un password alors qqun chez redhat le connait ;-). Ma question, indirecte, est de savoir quel user peut etre disable par mes soins ... Par exemple je pense que disabler apache ou news n'est pas recommandable. Finalement entre disabler et une * dans passwd le plus "sure" est de disabler (ou esk je me trompe ?) stef > > > -- > http://www-internal.alphanet.ch/linux-leman/ avant de poser > une question. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question.
Re: securite et default users
On Thu, 18 Jan 2001 [EMAIL PROTECTED] wrote: > Hier soir je me promenais dans /etc ... et j'ai fait un p'tit cat passwd ... Tant qu'ils sont lockés dans /etc/shadow c'est bon (si tu as les shadow passwords, sinon * dans /etc/passwd). Par contre un compte de ce genre avec un mot de passe me semble dangereux. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question.
securite et default users
Bonjour, Hier soir je me promenais dans /etc ... et j'ai fait un p'tit cat passwd ... Et la une p'tite question m'est venue a l'esprit (tit tac tic tac)... Tout ces users qui sont la par defaut, sont "enables" avec pour certains un bash... je n'en connais pas les mots de passe (je suppose qu'il sont shadowisw)... est ce qu'ils sont un danger potentiel (p.ex sur ma redhat je doute l'importance de "Games" pour le systeme). Lesquels dois je garder, etc. Stef -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question.
