LINUX.ORG.RU
решено ФорумTalks

tcb вместо /etc/shaddow

 , ,


0

3

Из https://www.opennet.ru/opennews/art.shtml?num=54391

Ключевым отличием tcb от /etc/shadow является уход от использования общего файла со всеми хэшами паролей в пользу разнесения хэшей паролей по отдельным каталогам и файлам. При подобной организации хранения операции с паролями можно выполнять без повышения прав, а процесс, осуществляющий обработку учётных данных, ограничен учётной записью отдельного пользователя. Обработчик /etc/shadow всегда получает доступ сразу ко всем хэшам паролей, т.е. уязвимость в утилите passwd позволит изменить любой пароль.

Код, имеющий доступ к /etc/shadow проверен десятилетиями. Разнесение хешей по отдельным файлам, с правом чтения своих хешей самими пользователями, может привести к их утечке и дальнейшему подбору на чём-то вроде John the Ripper. Так в чём же тут профит?


Разнесение хешей по отдельным файлам, с правом чтения своих хешей самими пользователями

Откуда вот вы берётесь? Только честно? На ЛОРе же посылают к окулисту с 199... не помню какого года. А воз и ныне там.

«Для проверки паролей системным процессом доступ предоставляется через помещение процесса в группы „shadow“ и „auth“, при том, что доступ к иерархии /etc/tcb ограничен только членам группы shadow. Например, параметры сохраняются в файле /etc/tcb/user/shadow, где каталог /etc/tcb принадлежит root:shadow и имеет права „drwx--x---“ , а /etc/tcb/user/ user:auth „drwx--s---“ и /etc/tcb/user/shadow - user:auth »-rw-r-----"). "

Для пользователя ничего не поменяется. (В следующий раз глаза на продажу изымем. Потому что они явно не используются.)

atrus ★★★★★ ()
Ответ на: комментарий от atrus

В следующий раз глаза на продажу изымем.

Ай, зачем, дорогой, такое фуфло хочешь впарить, да?
Хорошие давай.

imul ★★★★★ ()
Ответ на: комментарий от imul

Не ну текст-то он видит, раз новость прочитал. Так что глаза рабочие. Он дальше читать не захотел. Превышен лимит SMS/твитта...

atrus ★★★★★ ()
Ответ на: комментарий от atrus

Для пользователя ничего не поменяется.

Расскажи как же тогда реализовано следующее?

При подобной организации хранения операции с паролями можно выполнять без повышения прав, а процесс, осуществляющий обработку учётных данных, ограничен учётной записью отдельного пользователя.

Да и сбавь тон, хамством ты ничего не докажешь.

hummer ()
Ответ на: комментарий от hummer

Ну на opennet же в камментах отвечают и разжёвывают.

Но если надо повторить здесь, то утилита, которой нужен хеш пользователя имеет владельцем группу shadow и setgid. Т.е. при запуске становится не user:user, а user:shadow и получает доступ на чтение к /etc/tcb.

А ваши скрипты и программы, если root вас зачем-то не засунул в shadow доступа туда не получат.

atrus ★★★★★ ()
Ответ на: комментарий от atrus

утилита, которой нужен хеш пользователя имеет владельцем группу shadow и setgid. Т.е. при запуске становится не user:user, а user:shadow и получает доступ на чтение к /etc/tcb

Теперь понятно.

hummer ()

Решето!

(просто давно хотел такое написать)

Shulman ()

/etc/shadow - как и юзеры в /etc/passwd - не нужны. Есть sssd с которым общение идет через сокет и который, в принципе, может работать вообще без рутовых привилегий.

Nastishka ★★★★★ ()
Ответ на: комментарий от Nastishka

Есть sssd с которым общение идет через сокет и который, в принципе, может работать вообще без рутовых привилегий.

Это пока в нём дыру не найдут лол

hateyoufeel ★★★★★ ()
Ответ на: комментарий от hateyoufeel

Оно теоретически да, но чем такие вещи проще и дубовее, тем менее вероятно, что там что-то не так окажется.

praseodim ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)