Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от opennews (??), 12-Янв-21, 12:35 | ||
После 10 лет разработки состоялся релиз механизма управления теневыми паролями... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от Аноним (1), 12-Янв-21, 12:35 | ||
Самый лучший механизм!! | ||
Ответить | Правка | Наверх | Cообщить модератору |
15. "Выпуск механизма управления теневыми паролями tcb 1.2" | +6 +/– | |
Сообщение от кек (?), 12-Янв-21, 13:13 | ||
оно и видно. 2 человека скачало. | ||
Ответить | Правка | Наверх | Cообщить модератору |
95. "Выпуск механизма управления теневыми паролями tcb 1.2" | +5 +/– | |
Сообщение от Michael Shigorin (ok), 13-Янв-21, 14:45 | ||
> оно и видно. 2 человека скачало. | ||
Ответить | Правка | Наверх | Cообщить модератору |
112. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от VITAlya (?), 29-Янв-21, 22:23 | ||
ХАХАХА, вы расскажите тогда что они в дистрибутивах по умолчанию делают тогда? ИЛИ У МЕНЯ ДИСТРИБУТИВ ЗАВЕДОМО ПОДМЕНЕН? | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от КО (?), 12-Янв-21, 14:40 | ||
Самый глупый аноним! | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
43. "Выпуск механизма управления теневыми паролями tcb 1.2" | +3 +/– | |
Сообщение от Аноним (43), 12-Янв-21, 17:24 | ||
Самый глупый это Fractal. Хотя он не аноним. | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от dimcha (??), 12-Янв-21, 12:41 | ||
> Обработчик /etc/shadow всегда получает доступ сразу ко всем хэшам паролей | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "Выпуск механизма управления теневыми паролями tcb 1.2" | +3 +/– | |
Сообщение от kmeaw (?), 12-Янв-21, 12:49 | ||
В случае tcb можно запускать обработчик под тем пользователем, чей пароль мы хотим проверить. | ||
Ответить | Правка | Наверх | Cообщить модератору |
|
46. "Выпуск механизма управления теневыми паролями tcb 1.2" | +3 +/– | |
Сообщение от Анонимный Аноним (?), 12-Янв-21, 17:32 | ||
> Ну так что мешает сказать что хочу пароль рута | ||
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору |
81. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от aa (?), 13-Янв-21, 07:42 | ||
процесс запускается с правами пользователя, которого указал злоумешленник (при этом он ещё даже никак не авторизовался в системе) | ||
Ответить | Правка | Наверх | Cообщить модератору |
83. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Анонимленьлогиниться (?), 13-Янв-21, 11:09 | ||
Ооо это реально так?? | ||
Ответить | Правка | Наверх | Cообщить модератору |
91. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Аноним (91), 13-Янв-21, 12:50 | ||
Для понимания "какие пользователи существуют" достаточно грепнуть /etc/passwd, который всегда world readable. | ||
Ответить | Правка | Наверх | Cообщить модератору |
104. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Анонимленьлогиниться (?), 14-Янв-21, 15:30 | ||
> Для понимания "какие пользователи существуют" достаточно грепнуть /etc/passwd, который | ||
Ответить | Правка | Наверх | Cообщить модератору |
92. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от Аноним (92), 13-Янв-21, 12:53 | ||
Как ты запустишь из-под себя процесс под uid другого пользователя без поднятия своих прав до рута? А когда у тебя уже рут, то какая разница что там будет. | ||
Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору |
94. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от aa (?), 13-Янв-21, 14:39 | ||
дак вот тут и предлагают - надо попробовать авторизаваться под любым другим пользователем, при этом автоматом запустится процесс проверки пароля - так как пароль хранится в файле доступным только этому другому пользователю, то и права у процесса его будут. А дальше нам нужна лишь уязвимость в этом процессе, для эксплуатации. | ||
Ответить | Правка | Наверх | Cообщить модератору |
98. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от solardiz (ok), 13-Янв-21, 15:43 | ||
Да, при аутентификации произвольного пользователя tcb не помогает. Он помогает при повторной аутентификации уже зашедшего в систему пользователя - команда passwd(1), вспомогательные утилиты *chkpwd при разблокировке сеанса, например, в X или screen. В Owl, благодаря в том числе tcb нам удалось полностью избавиться от SUID root программ в системе. | ||
Ответить | Правка | Наверх | Cообщить модератору |
106. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от йцук (?), 16-Янв-21, 12:03 | ||
> Owl, благодаря в том числе tcb нам удалось полностью избавиться от | ||
Ответить | Правка | Наверх | Cообщить модератору |
107. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от solardiz (ok), 16-Янв-21, 17:17 | ||
> А как с пингами решили? | ||
Ответить | Правка | Наверх | Cообщить модератору |
99. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от fi (ok), 13-Янв-21, 17:17 | ||
да, можно перебирать пользователей - но это проще обнаружить чем скаченый весь shadow - в котором подбирать пароль будет проще - кто-нибудь да лажанется. | ||
Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору |
100. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от Аноним (100), 13-Янв-21, 17:37 | ||
> но кто мешает указать того же рута? | ||
Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору |
9. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от x3who (?), 12-Янв-21, 12:52 | ||
PAM и NSS модули? | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
21. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Аноним (21), 12-Янв-21, 14:01 | ||
Написано же для системные пользователи в отдельной группе с нужными правами | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
27. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от Аноним (27), 12-Янв-21, 14:43 | ||
>> параметры сохраняются в файле /etc/tcb/user/shadow, где каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---" , а /etc/tcb/user/ user:auth "drwx--s---" и /etc/tcb/user/shadow - user:auth "-rw-r-----"). | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
4. "Выпуск механизма управления теневыми паролями tcb 1.2" | –7 +/– | |
Сообщение от Гимли (?), 12-Янв-21, 12:41 | ||
> Ключевым отличием tcb от /etc/shadow является уход от использования общего файла со всеми хэшами паролей в пользу разнесения хэшей паролей по отдельным каталогам и файлам. | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "Выпуск механизма управления теневыми паролями tcb 1.2" | –9 +/– | |
Сообщение от x3who (?), 12-Янв-21, 12:53 | ||
> для этого понадобилось 10 лет? | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от Аноним (23), 12-Янв-21, 14:28 | ||
Использовать клиент-серверную СУБД для хранения паролей локалхоста нерационально. Использовать что-то, типа SQLite - проблема будет та же, что и с /etc/shadow. | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Выпуск механизма управления теневыми паролями tcb 1.2" | –3 +/– | |
Сообщение от Аноним (27), 12-Янв-21, 14:45 | ||
А что, в макоси так и сделано. И, в принципе, это рационально в плане масштабируемости: один и тот же механизм используется и для локальной, и для удалённой аутентификации. | ||
Ответить | Правка | Наверх | Cообщить модератору |
52. "Выпуск механизма управления теневыми паролями tcb 1.2" | +3 +/– | |
Сообщение от Анонимный Аноним (?), 12-Янв-21, 18:08 | ||
> Очень скоро, уже в этом столетии, разработчики откроют для себя возможность хранения данных в базах этих самых данных. | ||
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору |
55. "Выпуск механизма управления теневыми паролями tcb 1.2" | +4 +/– | |
Сообщение от YetAnotherOnanym (ok), 12-Янв-21, 19:51 | ||
Ненене! База данных - это чтобы обязательно в файлах на диске хранилась каша, в которой невозможно ничего прочесть ни текстовым, ни hex редактором, а только с помощью запроса через специальную программу. | ||
Ответить | Правка | Наверх | Cообщить модератору |
70. "Выпуск механизма управления теневыми паролями tcb 1.2" | –3 +/– | |
Сообщение от Аноним (-), 13-Янв-21, 01:48 | ||
Твой /etc/shadow станет полной тыквой при одном бэд секторе под ним. И ничем тебе его текстовость не поможет. | ||
Ответить | Правка | Наверх | Cообщить модератору |
84. "Выпуск механизма управления теневыми паролями tcb 1.2" | +3 +/– | |
Сообщение от Анонимленьлогиниться (?), 13-Янв-21, 11:14 | ||
Много что станет, и что?? Вам поименно перечислить файлы, бэд сектор в которых не даст системе загрузится для входа в нее? Боюсь пальцев не хватит. | ||
Ответить | Правка | Наверх | Cообщить модератору |
88. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от охохо (?), 13-Янв-21, 12:36 | ||
Отличная причина сменить пароли. | ||
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору |
87. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от охохо (?), 13-Янв-21, 12:35 | ||
текстовый редактор, hex редактор - тоже специальные программы (: | ||
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору |
110. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от x3who (?), 17-Янв-21, 14:41 | ||
> Представьте себе, файл /etc/shadow - тоже "база этих самых данных". Сюрприз, да? | ||
Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору |
69. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Аноним (-), 13-Янв-21, 01:46 | ||
> откроют для себя возможность хранения данных в базах этих самых данных. | ||
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору |
82. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от Аноним (82), 13-Янв-21, 10:04 | ||
AD всего лишь проприетарный LDAP с расширениями. Зато пд юниксами этих ваших directory service было столько, что считать устанешь. И все несовместимые. | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "Выпуск механизма управления теневыми паролями tcb 1.2" | +6 +/– | |
Сообщение от solardiz (ok), 12-Янв-21, 16:58 | ||
> для этого понадобилось 10 лет? | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
54. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от Гимли (?), 12-Янв-21, 19:03 | ||
Был не прав, прошу прощения, и благодарю за развёрнутый и внятный ответ. | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Выпуск механизма управления теневыми паролями tcb 1.2" | –4 +/– | |
Сообщение от Аноним (5), 12-Янв-21, 12:48 | ||
Сомнительно, у пользователя не должно быть прав на запись в системные каталоги. А blowfish вроде старенький, уже лет 15 как считается совсем не секурным. | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Выпуск механизма управления теневыми паролями tcb 1.2" | –2 +/– | |
Сообщение от Аноним (5), 12-Янв-21, 12:50 | ||
Хотя по поводу blowfish я в курсе что там только недавно от md5 (md4) отошли, лучше посмотреть на luks с его argon2. | ||
Ответить | Правка | Наверх | Cообщить модератору |
66. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от Аноним (-), 13-Янв-21, 01:39 | ||
Что тут еще за эксперты в крипто? А какие собственно атаки известны на blowfish? Он не рекомендуется к использованию - но в основном из-за тайминг атак и того факта что сам по себе он относительно тормозной. Современное крипто просто использует другие подходы, типа ARX от DJB, не завязаное на массивы/sbox (у которых проблемы с кэшом vs тайминги). Но этот класс атак имеет ограниченную применимость. | ||
Ответить | Правка | Наверх | Cообщить модератору |
71. "Выпуск механизма управления теневыми паролями tcb 1.2" | –1 +/– | |
Сообщение от Аноним (5), 13-Янв-21, 02:20 | ||
Кто-то и 3des до последнего использовал. И md4 хватит всем для паролей. Зависимость от васянокриптолибы тоже такое. Почему нельзя взять что-то надёжное и доверенное? | ||
Ответить | Правка | Наверх | Cообщить модератору |
49. "Выпуск механизма управления теневыми паролями tcb 1.2" | +5 +/– | |
Сообщение от solardiz (ok), 12-Янв-21, 17:50 | ||
> Сомнительно, у пользователя не должно быть прав на запись в системные каталоги. | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
67. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Аноним (-), 13-Янв-21, 01:42 | ||
А разве blowfish не использует массивы для пермутации? И если да - у этого на процессорах с кэшом заведомо есть проблемы с тайминг атаками. Сам автор его не советует. | ||
Ответить | Правка | Наверх | Cообщить модератору |
72. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от solardiz (ok), 13-Янв-21, 02:20 | ||
Насчет cache timing, да, есть такое. Вот только в bcrypt эта же особенность существенно повышает стоимость offline атак на хеши, так что получается своеобразный security vs. security trade-off. Реально пока что cache timing атаки in the wild не встретишь (потому что не практично), а вот offline атаки на хеши - везде, как только хеши утекут. Аналогичный trade-off присутствует и для более современных схем хеширования паролей - например, из-за него существуют Argon 2i, 2d, и 2id - разный баланс между cache timing safety и защитой от offline атак. | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Выпуск механизма управления теневыми паролями tcb 1.2" | –5 +/– | |
Сообщение от x3who (?), 12-Янв-21, 12:48 | ||
Сомнительное нововведение. Если в случае /etc/shadow юзер не имеет доступа к своему паролю и может его только вводить или менять, с tcb первый попавшийся троян унесёт хеш пароля в свой ботнет. | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от Аноним (11), 12-Янв-21, 12:56 | ||
Иерархия /etc/tcb доступна на чтение только группе shadow. Что бы поменять или посмотреть пароль пользователь должен как-то войти в группу shadow или запустить утилиту которая сделает setgid. В этом плане всё почти также, как с обычным /etc/shadow, но с защитой от дыр в утилитах и библиотеках. | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Выпуск механизма управления теневыми паролями tcb 1.2" | –2 +/– | |
Сообщение от x3who (?), 12-Янв-21, 13:00 | ||
/etc/tcb/user/ и /etc/tcb/user/shadow - -rw-r----- user:auth | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от Аноним (11), 12-Янв-21, 13:16 | ||
Внутрь /etc/tcb вас не пустит без группы shadow. | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от x3who (?), 12-Янв-21, 13:56 | ||
Да, пропустил этот момент | ||
Ответить | Правка | Наверх | Cообщить модератору |
36. "Выпуск механизма управления теневыми паролями tcb 1.2" | –2 +/– | |
Сообщение от gogo (?), 12-Янв-21, 16:55 | ||
Да это бред. | ||
Ответить | Правка | Наверх | Cообщить модератору |
58. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от анон (?), 12-Янв-21, 21:19 | ||
бинарь с sgid shadow, не рут | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "Выпуск механизма управления теневыми паролями tcb 1.2" | –3 +/– | |
Сообщение от Катафалкер (?), 12-Янв-21, 16:55 | ||
В /etc/tcb не пустит, а в /etc/tcb/$USERNAME/ пустит. | ||
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору |
40. "Выпуск механизма управления теневыми паролями tcb 1.2" | +3 +/– | |
Сообщение от solardiz (ok), 12-Янв-21, 17:17 | ||
Нет, и в /etc/tcb/$USERNAME/ тоже не пустит. | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от lockywolf (ok), 12-Янв-21, 12:56 | ||
Как без NIS-то? | ||
Ответить | Правка | Наверх | Cообщить модератору |
18. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от mos87 (ok), 12-Янв-21, 13:27 | ||
именно НИС? yp? | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Выпуск механизма управления теневыми паролями tcb 1.2" | –2 +/– | |
Сообщение от Корец (?), 12-Янв-21, 13:13 | ||
Файл shadow от обычного пользователя прочитать невозможно. То есть теперь любая прогамма сможет узнать пароль текущего пользователя? | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от pda (?), 12-Янв-21, 14:11 | ||
Нет. Нужен ещё баг или плохая настройка, которая даст пользователю права группы shadow. Но и в этом случае, унести можно будет хэш только текущего пользователя. | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Выпуск механизма управления теневыми паролями tcb 1.2" | –2 +/– | |
Сообщение от Аноним (17), 12-Янв-21, 13:19 | ||
То есть теперь любая программа получает доступ к файлу пароля текущего пользователя и может его изменить? | ||
Ответить | Правка | Наверх | Cообщить модератору |
48. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от solardiz (ok), 12-Янв-21, 17:34 | ||
> То есть теперь любая программа получает доступ к файлу пароля текущего пользователя | ||
Ответить | Правка | Наверх | Cообщить модератору |
19. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от flkghdfgklh (?), 12-Янв-21, 13:30 | ||
Что-то список на https://repology.org/project/tcb/versions напоминает мне список живых детей Mandrake просто. То есть оно и в Альте, и в Магеи и в прочих PCLinuxOS. То есть это не альтовая идея его заюзать, а скорее всего унаследовано в давние годы из Mandrake еще. | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Аноним (27), 12-Янв-21, 14:51 | ||
По ссылкам не ходим принципиально? | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Выпуск механизма управления теневыми паролями tcb 1.2" | –1 +/– | |
Сообщение от flkghdfgklh (?), 12-Янв-21, 16:21 | ||
Ты прочитало, что я написал? Дело не в Альте. Оно и в Магеи, и в PCLinuxOS, и в Rosa. | ||
Ответить | Правка | Наверх | Cообщить модератору |
35. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от solardiz (ok), 12-Янв-21, 16:35 | ||
Это логичная теория, но она ошибочна. tcb в Owl и ALT с 2001, а в Mandriva с 2009. | ||
Ответить | Правка | Наверх | Cообщить модератору |
51. "Выпуск механизма управления теневыми паролями tcb 1.2" | –1 +/– | |
Сообщение от flkghdfgklh (?), 12-Янв-21, 18:04 | ||
Забавно. | ||
Ответить | Правка | Наверх | Cообщить модератору |
74. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от mikhailnov (ok), 13-Янв-21, 02:25 | ||
Наличие в репозитории ROSA не означает, что он используется по умолчанию, по умолчанию он не используется очень давно: http://lists.rosalab.ru/pipermail/rosa-devel/2013-March/0045... | ||
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору |
26. "Выпуск механизма управления теневыми паролями tcb 1.2" | –2 +/– | |
Сообщение от КО (?), 12-Янв-21, 14:40 | ||
Походу угнали tcb, давайте доверяйте пароли | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Выпуск механизма управления теневыми паролями tcb 1.2" | –1 +/– | |
Сообщение от parad (ok), 12-Янв-21, 14:59 | ||
получается файл с паролем можно будет переписать незаметно для пользователя и залогинится на его тачку? | ||
Ответить | Правка | Наверх | Cообщить модератору |
32. "Выпуск механизма управления теневыми паролями tcb 1.2" | –2 +/– | |
Сообщение от Аноним (32), 12-Янв-21, 15:37 | ||
> переписать незаметно для пользователя и залогинится на его тачку? | ||
Ответить | Правка | Наверх | Cообщить модератору |
47. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от solardiz (ok), 12-Янв-21, 17:33 | ||
> получается файл с паролем можно будет переписать незаметно для пользователя | ||
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору |
31. "Выпуск механизма управления теневыми паролями tcb 1.2" | –4 +/– | |
Сообщение от Аноним (-), 12-Янв-21, 15:05 | ||
> в Openwall GNU/*/Linux, ALT Linux и Mageia. | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Аноним (33), 12-Янв-21, 16:17 | ||
> Но вот вопрос - лицензия BSD, а то что это используется в самих BSD ну ни слова. | ||
Ответить | Правка | Наверх | Cообщить модератору |
78. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от Michael Shigorin (ok), 13-Янв-21, 07:27 | ||
Эээ... а я-то тут при чём, разве что как юзер? Глянул авторов коммитов в альтовом tcb.git -- сплошь команда Openwall, включая ldv@altlinux. :-) | ||
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору |
111. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Аноним (111), 20-Янв-21, 18:00 | ||
Важным свойством control является то, что установленные настройки сохраняются при обновлении пакетов. | ||
Ответить | Правка | Наверх | Cообщить модератору |
39. "Выпуск механизма управления теневыми паролями tcb 1.2" | –4 +/– | |
Сообщение от Аноним (39), 12-Янв-21, 17:16 | ||
> /etc/tcb/user/shadow - user:auth "-rw-r-----" | ||
Ответить | Правка | Наверх | Cообщить модератору |
42. "Выпуск механизма управления теневыми паролями tcb 1.2" | –3 +/– | |
Сообщение от Аноним (39), 12-Янв-21, 17:22 | ||
> Выходит с tcb любой процесс пользователя может сменить его пароль, даже JS скрипт с бровзера. ;) И пользователь следующий раз в систему не зайдет :)))) | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от solardiz (ok), 12-Янв-21, 17:29 | ||
Нет. Из текста новости: каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---". Пользователь не может поменять пароль не зная старого. Также, JavaScript в браузере не имеет прямого доступа к файлам пользователя. | ||
Ответить | Правка | Наверх | Cообщить модератору |
50. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от winorun (?), 12-Янв-21, 18:02 | ||
Не занимайся ерундой. Человек не способный прочитать текст новости твой комментарий читать не будет. | ||
Ответить | Правка | Наверх | Cообщить модератору |
65. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от Аноним (-), 13-Янв-21, 01:35 | ||
> JavaScript в браузере не имеет прямого доступа к файлам пользователя. | ||
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору |
76. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от solardiz (ok), 13-Янв-21, 02:37 | ||
> В этом месте глухой permission deined для пользователя по поводу даже чтения /etc/shadow - фича. | ||
Ответить | Правка | Наверх | Cообщить модератору |
89. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Аноним (89), 13-Янв-21, 12:36 | ||
> ограничившись их повышением до группы shadow) при запуске утилиты passwd. Например, параметры сохраняются в файле /etc/tcb/user/shadow, где каталог /etc/tcb принадлежит root:shadow и имеет права "drwx--x---" | ||
Ответить | Правка | Наверх | Cообщить модератору |
96. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от Michael Shigorin (ok), 13-Янв-21, 14:52 | ||
> Надо смотреть реализацию, действительноли у пользователей нет по умолчанию | ||
Ответить | Правка | Наверх | Cообщить модератору |
103. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Аноним (103), 14-Янв-21, 08:29 | ||
>Очевидно, тот же, если список групп не изменялся параллельно чем-либо ещё. | ||
Ответить | Правка | Наверх | Cообщить модератору |
41. Скрыто модератором | –2 +/– | |
Сообщение от Аноним (41), 12-Янв-21, 17:18 | ||
Ответить | Правка | Наверх | Cообщить модератору |
57. Скрыто модератором | –7 +/– | |
Сообщение от Aytishnik.com (ok), 12-Янв-21, 21:10 | ||
Ответить | Правка | Наверх | Cообщить модератору |
60. Скрыто модератором | +2 +/– | |
Сообщение от Аноним (60), 12-Янв-21, 21:53 | ||
Ответить | Правка | Наверх | Cообщить модератору |
63. Скрыто модератором | –1 +/– | |
Сообщение от Аноним (63), 13-Янв-21, 01:26 | ||
Ответить | Правка | Наверх | Cообщить модератору |
75. Скрыто модератором | +1 +/– | |
Сообщение от mikhailnov (ok), 13-Янв-21, 02:32 | ||
Ответить | Правка | Наверх | Cообщить модератору |
80. Скрыто модератором | +/– | |
Сообщение от Michael Shigorin (ok), 13-Янв-21, 07:40 | ||
Ответить | Правка | Наверх | Cообщить модератору |
90. Скрыто модератором | +/– | |
Сообщение от mikhailnov (ok), 13-Янв-21, 12:45 | ||
Ответить | Правка | Наверх | Cообщить модератору |
64. Скрыто модератором | –2 +/– | |
Сообщение от Аноним (63), 13-Янв-21, 01:29 | ||
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору |
79. Скрыто модератором | +/– | |
Сообщение от Michael Shigorin (ok), 13-Янв-21, 07:33 | ||
Ответить | Правка | Наверх | Cообщить модератору |
61. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Ne01eX (ok), 13-Янв-21, 00:12 | ||
>>Openwall GNU/*/Linux | ||
Ответить | Правка | Наверх | Cообщить модератору |
73. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от solardiz (ok), 13-Янв-21, 02:21 | ||
Не нашел чего в чем? | ||
Ответить | Правка | Наверх | Cообщить модератору |
62. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Аноним (63), 13-Янв-21, 01:24 | ||
> The source code of the tcb suite can be browsed via CVSweb | ||
Ответить | Правка | Наверх | Cообщить модератору |
102. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от solardiz (ok), 14-Янв-21, 03:47 | ||
Кстати, в ALT tcb уже давно в git https://packages.altlinux.org/en/sisyphus/srpms/tcb/gears/repos включая upstream-ветку http://git.altlinux.org/people/ldv/packages/tcb.git?p=tcb.gi... | ||
Ответить | Правка | Наверх | Cообщить модератору |
85. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от InuYasha (??), 13-Янв-21, 11:16 | ||
Граждане! Храните аккаунты в сберегательном лдапе! Если, конечно, он у вас есть. ) | ||
Ответить | Правка | Наверх | Cообщить модератору |
86. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от InuYasha (??), 13-Янв-21, 11:18 | ||
Пора выйти из shadow - время хранить пароли. (тм) | ||
Ответить | Правка | Наверх | Cообщить модератору |
93. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от Mr. Sneer (?), 13-Янв-21, 13:54 | ||
В HP-UX 11.31/11.23 у нас оно использовалось, всегда думал, что это чисто особенность HP-UX. | ||
Ответить | Правка | Наверх | Cообщить модератору |
97. "Выпуск механизма управления теневыми паролями tcb 1.2" | +2 +/– | |
Сообщение от solardiz (ok), 13-Янв-21, 15:14 | ||
HP-UX действительно умеет размещать хеши по файлам в /tcb и имеет схожие утилиты конвертирования туда-сюда при включении-выключении trusted режима. Он умел/имел это еще до реализации нашего tcb в Owl, и мы не случайно используем то же название tcb для каталога. Но на этом внешняя схожесть заканчивается и начинаются принципиальные отличия. HP-UX не использует свой /tcb для безопасности сверх того что позволяет /etc/shadow. Как я понимаю, исторически у них /tcb появился как первый и когда-то единственный способ password shadowing - не в trusted режиме хеши лежали прямо в /etc/passwd, а поддержка /etc/shadow появилась позже чем поддержка /tcb. (Конвертировал когда-то свой HP-UX 10.20 туда-сюда, наблюдал это дело.) В этот же trusted режим они привязали и поддержку bigcrypt (которым лучше не пользоваться) - видимо, формально удовлетворяли требования сертификации. Зачем они вообще раскидали хеши по отдельным файлам если сами это никак для безопасности не используют (всё равно запись только от root, команда passwd(1) - SUID root), я могу только гадать, и моя догадка в том что это потенциально позволяет применять MAC, что опять же могло быть нужно для сертификации на какой-нибудь уровень, и что реально никто не делает. В нашем же tcb выставлены другие права доступа, что учтено в нашей libtcb (недоверие к содержимому каталогов при доступе от root) и что позволило снизить привилегии passwd(1) (и в Owl полностью избавиться от SUID root программ). | ||
Ответить | Правка | Наверх | Cообщить модератору |
101. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Michael Shigorin (ok), 14-Янв-21, 00:04 | ||
> Но на этом внешняя схожесть заканчивается и начинаются принципиальные отличия. | ||
Ответить | Правка | Наверх | Cообщить модератору |
105. "Выпуск механизма управления теневыми паролями tcb 1.2" | +1 +/– | |
Сообщение от Аноним (105), 15-Янв-21, 11:23 | ||
Зачем? | ||
Ответить | Правка | Наверх | Cообщить модератору |
108. "Выпуск механизма управления теневыми паролями tcb 1.2" | –1 +/– | |
Сообщение от solardiz (ok), 16-Янв-21, 17:26 | ||
Для снижения опасности возможных уязвимостей в passwd(1), chage(1) и программах (раз)блокировки текущего сеанса по паролю, а также используемом ими специфичном системном коде (PAM). Также, если в дистрибутиве удалось избавиться и от остальных общедоступных SUID root программ (как удалось нам), для снижения опасности возможных уявзимостей в низкоуровневом системном коде, используемом при запуске программ (некоторые части динамического линкера, libc, ядра - во всех из которых исторически бывали уязвимости). | ||
Ответить | Правка | Наверх | Cообщить модератору |
109. "Выпуск механизма управления теневыми паролями tcb 1.2" | +/– | |
Сообщение от Аноним (32), 16-Янв-21, 23:09 | ||
Слишком много сказочных фраз, а по сути будет пердёж на месте с новыми дырами. | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |