Come posso mantenere i nomi utente da / etc / passwd su LINUX [duplicato]

4

Sono stato sfidato a controllare la sicurezza di un sistema su uno scenario ea dare varie aree che dobbiamo controllare. Molti dei quali erano facili da capire e fornire vulnerabilità e mitigarli. Tuttavia uno di questi è un nome utente, di cui non ho idea. Sono stato guidato e mi è stato detto di utilizzare sudo su e less / etc / passwd per visualizzare un elenco di nomi utente, abbastanza facile.

L'unica vulnerabilità potenziale è che non puoi crackare / utilizzare una password per accedere a un account se non hai un nome utente, quindi cosa potrebbe fare qualcuno per attenuarlo? Mi ha fatto perplesso per settimane.

    
posta TheJordyluke 22.03.2016 - 20:44
fonte

3 risposte

2

Potresti mitigarlo usando un server esterno (forse LDAP, Samba, NIS, ..) per l'autenticazione utente e usando un filesystem di rete (NFS, Samba, ..) per le home directory e / o rendendo quelle basato su UID anziché su nome utente.

Se decidi di implementarlo, verifica che l'autenticazione di rete non importi le voci nel file di password - IIRC, alcuni sistemi lo fanno.

Sebbene i nomi utente non siano spesso visti come un rischio, è il 50% delle informazioni necessarie in un meccanismo di autenticazione utente + password / chiave - ed è per questo che un mechamism di accesso ben educato dirà "nome utente o password errati" e non " password errata '.

Un'altra considerazione è che in alcune circostanze, un nome utente si associa facilmente a un indirizzo email, quindi può essere utilizzato da un utente malintenzionato per raccogliere dati utili.

Una considerazione più paranoica è che su una soluzione multiutente, un utente autorizzato che vuole hacker vorrebbe probabilmente lavorare con il login di qualcun altro.

    
risposta data 22.03.2016 - 21:24
fonte
1

In generale sono d'accordo che un nome utente non è considerato informazione sensibile, ma ho sentito parlare di scenari in cui non vuoi andare in giro a pubblicizzare il tuo elenco utenti.

Considera un server * nix che accetta connessioni SSH. Una buona implementazione SSH non ti dirà se l'accesso non è riuscito a causa del nome utente o della password. Senza un elenco di nomi utente, un utente malintenzionato deve indovinare entrambi nome utente e password. Certo, questi non sono l'utente di Santo-Graal root , ma non si sa mai, uno di loro potrebbe essere in sudoers . Anche concesso, un attaccante intelligente probabilmente ha altri modi per annusare i nomi utente, ma è un pensiero ...

    
risposta data 22.03.2016 - 21:13
fonte
0

Hai risposto tu stesso alla domanda, vedendo che i nomi utente sono non vulnerabili . Anche se normalmente un attaccante o un insider sarebbe interessato solo a un account, e questo è root. Potresti limitare le possibilità di visualizzare altri utenti sul sistema, ma è l'utente root che non puoi nascondere e che è l'unico rilevante.

    
risposta data 22.03.2016 - 21:00
fonte

Leggi altre domande sui tag