web-dev-qa-db-ja.com

なぜみんながetc / passwdをそんなに心配しているのですか?

この特定のファイルの私の浮浪者マシンのコンテンツは次のとおりです。

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/us$
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
syslog:x:100:103::/home/syslog:/bin/false

悪意のある人が私の実稼働サーバーのこのファイルを取得できるのはなぜ悪いのか、誰か説明してもらえますか?

36
funguy

重要な点は、システムへのアクセスを取得する可能性のテストとして、 Pentesters /white-hats/ethical hackersとblack-hatが/etc/passwdproof of conceptとしてターゲットにしていることです。

技術的には/etc/passwdはそれほど怖いものではありません。過去には個人データやパスワードを保存するために使用されていましたが、最近では/etc/shadowをもっと気にする必要があります-現在、ほとんどのLinuxシステムでは/etc/shadowとは異なり、shadowユーティリティスイートを使用して、/etc/passwdとは異なるハッシュおよびソルトパスワードを保持しています誰もが読めるものではありません。 (pwunconvコマンドを使用しない限り、実際にハッシュされたパスワードを `/ etc/passwdに戻します)。

情報の多かれ少なかれ唯一の情報はユーザー名です。サーバー上にsshdまたはtelnetがあり、パスワードが弱いユーザー名がある場合、ブルートフォース攻撃の可能性があります。

ちなみに、あなたとまったく同じ質問は 前に尋ねた です。ここで、私は単にそこにすでに言及された概念のいくつかを再説明しただけです。

ちょっとした追加:これは少し大げさですが、ルートシェルとしてbashを持っていることに気付きました。さらに、システムにシェルとしてbashを持っているユーザーがいると仮定します。さらに悪いことに、そのユーザーはsudoerです。現在、bashが古くなっているかパッチが適用されていない場合、攻撃者は Shellshockの脆弱性 を悪用してデータを盗んだり、 fork-bomb を実行してシステムを一時的に停止したりすることができます。はい、技術的には/etc/passwdは大したことではありませんが、攻撃者に何を試みるべきかに関するいくつかの情報を提供します

追加編集、2016/11/18

Digital OceanでUbuntuサーバーをしばらく使用してから、私のサーバーに対するほとんどのブルートフォース攻撃はrootユーザーに対して実行されました-/var/log/auth.logの失敗したパスワードのエントリの99%はrootに対してでした。 /etc/passwordは、前述したように、攻撃者がユーザーのリストを見ることができ、システムユーザーだけでなく、人間のユーザーも見ることができます。すべてのユーザーがセキュリティを意識しているわけではなく、常に強力なパスワードを作成するとは限らないため、攻撃者が人為的ミスや自信過剰に賭けた場合、ジャックポットになる可能性が非常に高いことに注意してください。

47

マシンにログオンするには、ユーザー名とパスワードの両方を知っている必要があります。

/etc/passwdは、ユーザーに関する情報を提供します。これにより、パスワードのハッシュを含めるために必要な情報の半分が提供されます。

ハッシュはパスワードから計算されたものです。ハッシュからパスワードを見つけることは困難ですが、その逆は困難です。両方を持っている場合、ブルートフォースでパスワードをオフラインで検索してみて、見つかったらコンピュータへの接続を試みることができます。

現在、ハッシュは異なるファイル/etc/shadowに保存されているため、セキュリティが向上しています。デフォルトでは、ほとんどのユーザーはこのファイルを読み取ることができません。

しかし、/etc/passwd/etc/shadowの両方にアクセスできる場合、ブルートフォースの「辞書」攻撃を使用してパスワードを見つけることができるでしょう。私は自分のマシンでローカルにこれを行うことができるので、パスワードを見つけようとして失敗することはあまりありませんし、パスワードを知ってからもう一度マシンに接続するだけで済みます。その後、私は自由にやりたいことができます。

より多くの情報があります Wikipediaで

11
Warren Hill