abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 15:22 | IT novinky

Společnost PFU (divize Fujitsu) představila (prezentace v japonštině) novou generaci Happy Hacking Keyboard, řady klávesnic původně navržené Eiiči Wadou pro unixové systémy začátkem 90. let – bez nutnosti přidání dalších fyzických kláves. Nové modely (Hybrid, Hybrid Type-S a Classic) navazují na řadu Pro 2, stále je tedy vyrábí Topre a používají příslušné kapacitní spínače, všechny ale nově používají USB-C a „Hybrid“ navíc i Bluetooth.

Fluttershy, yay! | Komentářů: 0
dnes 12:22 | Pozvánky

Konference DevConf.CZ 2020, již dvanáctý ročník jedné z největších akcí zaměřených na Linux a open source ve střední Evropě, proběhne v Brně na FIT VUT od 24. do 26. ledna 2020. Zveřejněn byl program konference a spuštěna byla povinná a bezplatná registrace.

Ladislav Hagara | Komentářů: 0
včera 22:55 | Zajímavý článek

Příspěvek Prozkoumejte Česko na Wikidatech: druhý díl zajímavých Wikidata Queries na blogu Wikimedie Česká republika je volným pokračováním příspěvku Prozkoumejte Česko na Wikidatech: 10 nejlepších Queries datového žurnalisty z července 2017. Tentokrát jsou díky Wikidatům a SPARQL zobrazeny Železniční tratě v Česku, Díly pořadu Gebrian VS na mapě nebo Citace vědeckých článků – srovnání českých univerzit, na níž publikující autoři působí.

Ladislav Hagara | Komentářů: 0
včera 19:44 | Komunita

Ovlivnit Ubuntu 20.04 LTS lze vyplněním dotazníku. Více v příspěvku na blogu Ubuntu.

Ladislav Hagara | Komentářů: 0
včera 12:33 | Zajímavý článek

Na stránkách české komunity Fedory vyšel zajímavý článek o tom, jak se generují flatpakové balíčky z již existujících balíčků RPM.

KOLEGA | Komentářů: 7
včera 12:22 | Zajímavý článek

Donald Ervin Knuth, přední informatik a emeritní profesor na Stanfordově univerzitě, rozšířil svou mnohasvazkovou odbornou monografii The Art of Computer Programming (TAOCP), v českém překladu Umění programování, o Volume 4, Fascicle 5. Donald Knuth svou novou knihu představil ve své přednášce Pi and The Art of Computer Programming.

Ladislav Hagara | Komentářů: 34
8.12. 11:44 | Zajímavý článek

Arsenij Zinčenko v zápisku sdílí technické poznámky o tom, co je to „klíčenka“ (keyring) v Linuxu a v desktopovém prostředí, jak to souvisí se Secret Service a D-Bus, včetně příkladů. Význam těchto služeb spočívá v uložení a následném poskytování autentizačních údajů.

Fluttershy, yay! | Komentářů: 0
7.12. 01:44 | Nová verze

V únoru 2014 bylo hlasováním rozhodnuto, že výchozím init systémem v Debianu je systemd. V listopadu stejného roku bylo hlasováním rozhodnuto, že o podpoře dalších init systémů v Debianu není celoprojektové hlasování nutné. Po pěti letech už ale hlasování o init systémech a systemd nutné je. Vybírá se z 8 možností. Výsledek hlasování bude zveřejněn po 27. prosinci.

Ladislav Hagara | Komentářů: 22
7.12. 00:11 | Zajímavý článek

David Revoy, autor open source webového komiksu Pepper&Carrot, se rozhodl, že svůj komiks vydá také knižně a ve vlastní režii. Komiks již knižně vyšel ve francouzštině ve vydavatelství Glénat. David Revoy jej vydá v angličtině a použije pouze svobodný software. O své zkušenosti se dělí ve dvou příspěvcích na svém blogu. Z plánovaných dvou týdnů práce se staly dva měsíce. Vydání před Vánocemi se nestihne. Kontrolní výtisk má příliš jasné barvy, obrázky v knihách od Glénatu vypadají mnohem lépe, …

Ladislav Hagara | Komentářů: 1
6.12. 20:44 | IT novinky

Mezinárodní konsorcium W3C (World Wide Web Consortium) vydalo verzi 1.0 základní specifikace WebAssembly a po HTML, CSS a JavaScriptu prohlásilo WebAssembly za čtvrtý oficiální jazyk pro web.

Ladislav Hagara | Komentářů: 26
Jaké hodinky nosíte (nejčastěji)?
 (23%)
 (5%)
 (17%)
 (54%)
Celkem 531 hlasů
 Komentářů: 135, poslední 6.12. 20:54
Rozcestník

Kterak jsem zvyšoval zabezpečení

1.4.2011 14:42 | Přečteno: 1534× | Linux | poslední úprava: 1.4.2011 14:50

Řešili jsme zrovna něco se salámkem ohledně lámání hesel apod, když sem si uvědomil že root heslo na mým serveru je už nějak dlouho beze změny , tak jsem ještě u salámka otevřel terminál, mrknul sem na ssh log, sem tam nějakej pokus o zlomení ale nic úspěšnýho (snad :-D ), chvíli jsem vymýšel 16-ti znakový alfa-numerický heslo který bych si byl schopnej zapamatovat, potom jsem ho značně posílen vodkou a pivem změnil, a vrátil se z5 k diskuzi...

Včera jsem se potřeboval dostat na server kvůli úpravě ftp konfiguráku a ejhle, password mismatch, vyzkoušel jsem všechny možný kombinace y/z ž/6 apod, ale nic, tak jsem zalezl do skříně a doufal že mi na jednom z terminálů zůstal loglej root, ale to bych měl moc velký štěstí..
Tak jsem zkusil jestli náhodou nebyly erupce na slunku a nenainstaloval sem sudo...no nebyly, takže sem byl pořád v pr....
Po hodině přemýšlení, dalšího zkoušení hesel a nadávání jsem sednul ke kompu a začal googlit nějakej exploit co by se dal zneužít, a řešení bylo na světě, nebyl to exploit, omylem sem při googlení narazil na jedno slovo....a tak mě zachránil Webmin na kterej sem si ze začátku vůbec nevzpoměl, a to ho používám prakticky denně když potřebuju na serveru něco udělat a mám k dispozici jen Widle....

No a ponaučení na konec....neměnte si po flašce vodky a 5 pivech root heslo :-D

EDIT: Jinak doteď nevím kde se stala chyba, heslo bylo jenom tak náhodný abych si ho dokázal zapamatovat, napřed jsem ho napsal do termu jen tak protože salám má dost hybridní rozložení klávesnice, radši sem se zkusil hned znova lognout a bylo všechno ok....fakt nevím....        

Hodnocení: 89 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

1.4.2011 15:14 polymorf | skóre: 14 | blog: tar_zxpf
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
pri boote init=/bin/bash, potom spustit passwd, 5 minut roboty
1.4.2011 15:22 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
ehm....taky řešení, mě šlo hlavně o to nevypínat server, ale kdybych si na tohle vzpomněl tak to udělám no...
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
1.4.2011 16:04 Firzen
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
Úplně stačí vytvořit na jakémkoli liveCD uživatele s nějakým heslem, kouknout do /etc/shadow na jeho hash a tím pak přepsat hash v souboru shadow na skutečném systému. :-)
1.4.2011 16:26 Woky
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
Netusil jsem, ze jako beznej uzivatel muzes primo editovat /etc/shadow ;o/
1.4.2011 16:33 ahoj
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
Proč by nemohl editovat /etc/shadow cizího kořenu/systému?
1.4.2011 17:07 Woky
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
Pokud jsi dobre cetl, tak se chtel vyhnout restartu systemu. To uz muzes rovnou bootnout server v single modu a heslo si znovu nastavit a nepotrebujes pouzivat zadne CD.
1.4.2011 20:37 Kvakor
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
To uz muzes rovnou bootnout server v single modu a heslo si znovu nastavit a nepotrebujes pouzivat zadne CD.
Jenže single-user mód (runlevel 1) ve většině distribucí také potřebuje rootovské heslo.
2.4.2011 02:15 Woky
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
Nevim cemu tedy rikas vetsina, nicmene tvrdit neco takoveho je dost zavadejici (predpokladam, ze mluvis o Ubuntu, nebo jeho klonu, coz nereprezentuje vetsinu Tebou zminovanych distribuci). A propo, pokud by i single mod chtel zadat heslo, mas jeste moznost pouzit init=/bin/bash a opet se obejdes bez liveCD i nejakeho editovani /etc/passwd.
1.4.2011 16:51 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
To už je jednodušší ten přístup s init=
Quando omni flunkus moritati
4.4.2011 16:53 miro
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
IMHO je to drbání se levou nohou za pravým uchem. V live distribucích, se kterými jsem se setkal, je nějaká jednoduchá možnost, jak získat roota (minimálně u KNOPPIXu a SystemRescueCD). Pak stačí namountovat příslušný oddíl na HDD a chrootnout se do něj. Příkaz passwd se pak provede na shadow chrootnutého oddílu. Zkoušel jsem pouze na systémech, které měly vše kromě /home na jednom oddílu, nevím, jak by to fungovalo v případě složitěji rozděleného disku.
Salamek avatar 1.4.2011 16:30 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
a co tak u SSH zacit pouzivat klice misto hesla ? :-D myslim ze sme to tehdy taky resili, nebo alespon zrusit prihlasovani pod rootem a prilasovat se jen pod userem a z neho se pak prepnout prez SU
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
1.4.2011 16:45 Jan
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
roota zakazuju hned po instalaci SSH pokud není zakázanej rovnou, to je snad základ :)
1.4.2011 17:10 Radek Hladik | skóre: 20
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
No a já ho zase například povoluju :-) Ale jen s klíčem. Samozřejmě už se to tu všude tolíkrát řešilo, různé pro a proti, nechtěl bych se do toho znova pouštět. Jen bych rád uvedl jedno pro, které se tak často neobjevuje. Pokud máte přístup přes SSH přímo na roota, máte ho i přes SFTP. Pro windows existuje několik pěkných editorů, které podporují SFTP, takže je poměrně jendoduché pracovat s konfiguráky na dálku...

Jinak k tomu root heslu, opravdu ideální varianta je s tím init=/bin/bash
2.4.2011 02:17 Radek Hladik | skóre: 20
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
Tak to já mám zkušenost přesně opačnou. Z firmy A jsem dostal server, z firmy B hardisky, měl jsem to dát dohromady a odvézt na hosting a až to tam bude, tak si to měli z firmy A nastavit. Netušil jsem, že aby si to "zjednodušili", tak si tam dali root s heslem toor. No server jsem nainstaloval a než jsem se za 30 minut vrátil do kanceláře a řek jim, že už mužou, tak už nemohli :-) A to ten server neměl ani žádné doménové jméno, jen IP.

2.4.2011 02:18 Radek Hladik | skóre: 20
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
Ooops, patří o příspěvek níže :-)
2.4.2011 00:53 edois
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
Proboha proc? :) Vzdyt to je uplne jedno, pokud nedam na roota heslo "root" apod, tak absolutne nic nehrozi... Dokonce jsem mel (ciste z testovacich duvodu) na netu server, ze kteryho uz jsem vsechno prestehoval pryc a bylo mi uplne jedno, co tam kdo bude delat (chtel jsem to pozorovat), tak jsem nastavil SSH, aby se slo prihlasovat jako root bez hesla... Hadejte kolikrat se tam nekdo uspesne za ty dva tydny prihlasil :))
2.4.2011 01:10 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
no já nevím, na serveru kterej k něčemu je a jsou na něm osobní data apod. bych si asi nelajznul nemít heslo typu "d5Uy8Q2h6ls9d5T1"
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
4.4.2011 15:59 Sten
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
Hádej, kolikrát se tam někdo úspěšně přihlásil a následně smazal všechny záznamy, že to udělal, a pro větší zábavu tam ještě nainstaloval rootkit? :-D
1.4.2011 16:52 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
nebo alespon zrusit prihlasovani pod rootem a prilasovat se jen pod userem a z neho se pak prepnout prez SU

To tu dlouho nebylo...
Quando omni flunkus moritati
Salamek avatar 2.4.2011 02:27 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
furt je to bezpecnejsi nez povolene prihlasovani na root ucet, zkouset DDOS pouze na heslo je jednodusi nez typovat login a heslo a pak jeste typovat ono root heslo, pro lidi co nechteji pouzivat klice ale hesla je to celkem jednoduche reseni,nwm s cim mas problem
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
2.4.2011 03:05 Radek Hladik | skóre: 20
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
No já bych měl minimálně problém se slovem "typovat" :-) Nejsem nějakej jazykovej puritán, ale některé věci mě prostě praští mezi voči :-)

Ale k tématu, ono to zní rozumně, že se musí nejdříve tipovat login+heslo a pak ještě další heslo. Ovšem je tu několik ovšem...

1) stejné bezpečnosti dosáhneme jedním dlouhým heslem

2) dokonce i heslem o něco kratším, protože ho nelámeme na dvakrát (tedy nemáme mezivýsledek)

3) taháme do zabezpečení něco, co není dostatečně bezpečné. Jinak řečeno, udržujete ten login ve stejném bezpečí, jako to heslo? Nepíše se na každém xtermu, není součástí /etc/passwd v plaintextu, nechodí vám na něj mail? Nepíše se do mailů, které odesíláte? Nemáte stejný login na jiných serverech? Nejdená se o login, který by mohl být ve slovníku? Je možné správnost toho loginu ověřit opravdu pouze správným přihlášením (tedy v kombinaci s heslem)...

4) už v případě prolomení toho prvního loginu je systém kompromitován na dostatečné úrovni k provedení spousty neplech.

Ono je potřeba se nad věcmi nejprve pořádně zamyslet. Některé věci totiž zní rozumně, ale ve skutečnosti je to jen Security through obscurity. A to sice může bezpečnost zvyšovat, ale většinou pouze v malých řádech a ještě třeba jen za určitých podmínek.

4.4.2011 16:56 miro
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
Typovat = psát, to je snad jasné, ne? ;-)
2.4.2011 14:56 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
Ne, není. Mnohem bezpečnější a méně otravné je prodloužit heslo roota o jeden znak. Ostatní v #21
Quando omni flunkus moritati
4.4.2011 17:57 miro
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
Pokud chci na cílový stroj zkoušet DDOS, je mi úplně jedno, jakou kombinaci jména a hesla použiju. ;-) A ta vážnější připomínka - přijde mi, že se na to koukáte z pozice člověka, který si není příliš jist silou svého rootovského hesla. Pak je IMHO na místě jedině používání klíčů a hesla zakázat úplně. U sebe to tak mám, přestože si neskromně myslím, že moje rootovské heslo by nějaký ten pátek vydrželo.
1.4.2011 19:02 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
přihlašuju se z hodně míst a ne vždycky mám u sebe všechny věci co potřebuju...
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
1.4.2011 21:20 dnes
Rozbalit Rozbalit vše Re: Kterak jsem zvyšoval zabezpečení
To mi připomíná bezpečný sex.

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.