なぜ誰もがetc / passwdを心配しているのですか?


36

この特定のファイルの私の浮浪者マシンのコンテンツは次のとおりです。

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/us$
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
syslog:x:100:103::/home/syslog:/bin/false

悪意のある人が私の実稼働サーバーのこのファイルを取得できるのはなぜ悪いのか、誰かが私に説明できますか?


19
昔は、すべてのユーザーの暗号化されたパスワードが含まれていました-ここで:x:があります。もしそれを手に入れたら(誰でも読めるので簡単だったので、ログインが1回だけで済みます)、パスワードをブルートフォースクラッキングできます。現在、それらは/ etc / shadowに格納されており、「抜け出す」可能性はそれほど高くありませんが、同じ場合は同じ問題が発生します。
マークスミス

8
ある人にとっては、このマシン上にウェブサーバーがあると言えるでしょう。IPアドレスと組み合わせると、ハッキング可能になる可能性があります>:-D
Rinzwind

3
@MarkSmith暗号化されたパスワードが含まれていたのはいつですか?知る限りでは、ハッシュ化されたパスワードとして開始されました。確かに私が最初に1982年のUnixを使用するので
user207421

3
@funguy:www-dataユーザーは通常、Webサーバーによって使用されます。UbuntuとおそらくDebianは、このユーザーをデフォルトのApacheユーザーとして使用しました。
ライライアン

3
@funguy www-dataはデフォルトのApacheユーザーです。さらに、uucpはunix to unixコピーです。つまり、システム間でファイルをコピーします。また、「irc」と「gnat」も簡単に見つかります。
リンツウィンド

回答:


47

キーポイントは、Pentesters / white-hats / ethical hackersおよびblack-hatターゲット/etc/passwdproof of concept、システムへのアクセスを得る可能性のテスト として、にすることです。

技術的に/etc/passwdはそんなに怖くない。過去には個人データ、パスワードを保存するために使用されていましたが、最近ではもっと心配する必要があります/etc/shadow-ほとんどのLinuxシステムは最近shadow、ユーティリティスイートを使用して/etc/shadow/etc/passwd世界ではありません-読み取り可能。(pwunconvハッシュされたパスワードを実際に `/ etc / passwdに戻すコマンドを使用しない限り)。

情報の多かれ少なかれ唯一の情報はユーザー名です。あなたが持っているsshdtelnet、サーバーや脆弱なパスワードとユーザ名に、ブルートフォース攻撃の可能性があります。

ところで、あなたとまったく同じ質問が以前に聞かれました。ここで、私は単にそこにすでに言及された概念のいくつかを再説明しただけです。

ちょっとした追加:これは少し大げさですがbash、ルートシェルとして持っていることに気づきました。さて、bashさらに悪いことに、ユーザーがシェル上にあるシステム上にいると仮定します-そのユーザーはsudoerです。現在、bashが古くなっているかパッチが適用されていない場合、攻撃者はShellshockの脆弱性を悪用してデータを盗んだり、フォーク爆弾を実行してシステムを一時的に停止させたりすることができます。確かに、技術的に/etc/passwdは大したことではありませんが、攻撃者に何を試みるべきかについての情報のいくつかのアイデアを与えます

追加編集、2016年11月18日

Digital OceanでUbuntuサーバーをしばらく使用してから、私のサーバーに対するほとんどのブルートフォース攻撃がrootユーザーに対して実行されたことがわかりました-失敗したパスワードのエントリの99%/var/log/auth.logがのためrootです。/etc/password、前に述べたように、攻撃者はユーザーのリストを見ることができ、システムユーザーだけでなく、人間のユーザーも見ることができます。すべてのユーザーがセキュリティを意識しているわけではなく、常に強力なパスワードを作成するとは限らないことを忘れないでください。攻撃者が人為的ミスや自信過剰に賭けた場合、ジャックポットになる可能性が非常に高くなります。


6
+1、素晴らしい答え。これに加えて、一般に、情報は力であるとも言いたいと思います。悪名高いShellshockは別として、たとえば、実行中のプロセスに関する情報を収集することもありますが、これも悪用される可能性があります。たとえば、OPのマシンでは、Apacheが実行されていますが、それは別の潜在的なホールです。
コス

1
うーん...それでは、デフォルトのユーザー名を変更して攻撃者を混乱させることを提案しますか?
フリード

@Freedomそれは助けにはなりません。ログインを変更しても、ユーザーIDとグループIDは変わりません。たとえば、テストユーザーは次のとおりtestuser1:x:1001:1001:,,,:/home/testuser:/bin/bashです。実行後sudo usermod testuser1 -l testuser2 sudo usermod testuser1 -l testuser2 、エントリのユーザー名は異なりますが、gidとuidは同じです testuser2:x:1001:1001:,,,:/home/testuser:/bin/bash。パスワードが変更されていない場合、攻撃者は推測を行ってもシステムをクラックできます。パスワードの有効期限が切れ、時々変更されることを要求することは、より良いアプローチですが、防弾ではありません。
セルギーKolodyazhnyy

1
デフォルトのユーザー名の変更は、SSHログイン(または他のリモートログイン)を持つアカウントにとって便利です。もちろん、これらのログインのデフォルトポートを変更しています。スクリプトキディによる数十億のランダムなドライブバイスキャンをログに記録しないようにすると、より意図的な攻撃に集中できるようになります。ログイン失敗ログにカスタム名が表示されている場合、ドライブバイではなく、ログインしようとする深刻な試みであることを知っています。
デウィモーガン

11

マシンにログオンするには、ユーザー名とパスワードの両方を知っている必要があります。

/etc/passwd パスワードのハッシュを含めるために必要な情報の半分を提供するユーザーに関する情報を提供します。

ハッシュはパスワードから計算されたものです。ハッシュからパスワードを見つけることは困難ですが、その逆は困難です。両方を持っている場合は、ブルートフォースでパスワードをオフラインで見つけることができます。パスワードが見つかったら、コンピューターへの接続のみを試みてください。

ハッシュが別のファイルに保存されるため、今日のセキュリティは改善されています /etc/shadow。デフォルトでは、ほとんどのユーザーはこのを読み取ることができません。

しかし、もし私が両方/etc/passwd/etc/shadow、私はおそらくブルートフォース「辞書」攻撃を使用してパスワードを見つけることができます。私は自分のマシンでローカルにこれを行うことができるので、パスワードを見つけようとして失敗することはあまりありませんし、パスワードを知ってからもう一度マシンに接続するだけで済みます。その後、私は自由にやりたいことができます。

ウィキペディアに詳細情報があります


このブルートフォース攻撃がどのように機能するかを理解するために、ここではおそらく「レインボーテーブル」に言及する必要があるように感じます。
リックチャタム
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.