abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 21:11 | Nová verze

Vyšla nová verze 1.4.0 nástroje pro připojení ke vzdálené ploše Remmina. Mezi změnami figurují např. opravy autentizace přes SSH nebo nakládání se schránkou při připojení přes RDP. Sestavení dostupná z PPA pro Ubuntu skončí ve prospěch Flatpaku a Snapu.

Fluttershy, yay! | Komentářů: 4
21.2. 16:33 | Komunita

Google zveřejnil seznam 200 organizací přijatých do letošního Google Summer of Code (GSoC). Dle plánu se studenti přihlašují od 16. do 31. března. Vydělat si mohou od 3 000 do 6 600 dolarů. V Česku a na Slovensku 3 600 dolarů. Další informace v často kladených otázkách (FAQ). K dispozici jsou také statistiky z minulých let.

Ladislav Hagara | Komentářů: 1
21.2. 15:55 | IT novinky

Ve věku 74 let zemřel Lawrence Tesler. V 70. letech pracoval v Xerox PARC a posléze odešel do Apple. Zabýval se především zjednodušováním uživatelských rozhraní, byl odpůrcem modality a přispěl k prosazení moderního způsobu označování a kopírování textu – myší a klávesovými zkratkami (kombinace s XCV) – v raných Apple Human Interface Guidelines. Dále se podílel např. na vývoji Smalltalku a souvisejícího přenosného počítače Xerox NoteTaker nebo později PDA Apple Newton.

Fluttershy, yay! | Komentářů: 6
21.2. 13:11 | Zajímavý článek

Aktuální příspěvek What is Mobile PureOS? na stránkách společnosti Purism je věnován operačnímu systému Mobile PureOS, tj. PureOS pro mobilní zařízení a především pro telefon Librem 5. Víceméně se jedná o stabilní Debian s GNOME doplněný o balíčky phosh, phoc, libhandy, Calls, Chats a další.

Ladislav Hagara | Komentářů: 0
20.2. 19:33 | Zajímavý článek

Jozef Mlich se v příspěvku PinePhone je nové OpenMoko na svém blogu věnuje svému novému linuxovému chytrému telefonu PinePhone v edici BraveHeart: "Momentálně se pocity z tohohle zařízení dají přirovnat k BrokenMoku. Většina věcí prostě nefunguje. Minimálně ne sama od sebe. Začít se dá už u samotného hardware, kde existuje wiki stránka popisující nedostatky".

Ladislav Hagara | Komentářů: 24
20.2. 10:00 | Zajímavý projekt

Justine Haupt aktualizovala svůj open source mobilní telefon s rotační číselnicí a zveřejnila kompletní dokumentaci, vlastní kód, schémata i STL soubory pro 3D tisk. Desku plošných spojů případně i vytištěný obal lze koupit v jejím obchodu.

Ladislav Hagara | Komentářů: 40
20.2. 06:00 | IT novinky

Otevřená certifikační autorita Let's Encrypt v příspěvku na svém blogu informuje, že žádosti o vystavení certifikátů nově validuje z několika míst současně (Multi-Perspective Validation). Další informace v diskusním fóru.

Ladislav Hagara | Komentářů: 10
19.2. 13:55 | Nová verze

Byla vydána verze 15.0 na Debianu založené linuxové distribuce Untangle NG Firewall. Přehled novinek v poznámkách k vydání a ve videu na YouTube. Vyzkoušet lze (zatím neaktualizované) demo webového rozhraní.

Ladislav Hagara | Komentářů: 0
19.2. 12:11 | Pozvánky

Letošní ročník konference LinuxDays se uskuteční o víkendu 3. a 4. října, opět se potkáme v pražských Dejvicích na FIT ČVUT. Také během devátého ročníku nás budou čekat desítky přednášek, workshopy, stánky a spousta doprovodného programu. Aktuální dění můžete sledovat na Twitteru nebo Facebooku, přidat se můžete také do telegramové diskusní skupiny.

Petr Krčmář | Komentářů: 7
19.2. 10:22 | Zajímavý článek

Alexander Popov se v příspěvku na svém blogu podrobně věnuje možnostem zneužití bezpečnostní chyby CVE-2019-18683 v linuxovém podsystému V4L2. Videoukázka eskalace práv na YouTube. Chyba byla v upstreamu opravena v listopadu loňského roku. Alexander Popov se chybě věnoval ve své přednášce (pdf) na konferenci OffensiveCon 2020.

Ladislav Hagara | Komentářů: 1
Vydržela vám novoroční předsevzetí?
 (10%)
 (5%)
 (3%)
 (82%)
Celkem 185 hlasů
 Komentářů: 0
Rozcestník
MIG Alley is the name given by U.S. Air Force pilots to the northwestern portion of North Korea "MIG Alley" is the name given by U.S. Air Force pilots to the northwestern portion of North Korea, where the Yalu River empties into the Yellow Sea. During the Korean War, it was the site of numerous dogfights between U.S. fighter jets and those of the Communist forces, particularly the Soviet Union. The North American F-86 Sabre and the Soviet-built Mikoyan-Gurevich MiG-15 were the aircraft used throughout most of the conflict, with the area's nickname derived from the latter. Because it was the site of the first large-scale jet-vs-jet air battles, MIG Alley is considered the birthplace of jet fighter combat.
Aktuální zápisy

www.AutoDoc.Cz

Nejčtenější za poslední měsíc Nejkomentovanější za poslední měsíc

Nejsou aliasy potenciálně nebezpečné?

31.10.2011 16:30 | Přečteno: 1563× | Linux | poslední úprava: 31.10.2011 17:07

Po dlouhé době jsem překonal vlastní lenost a editoval .bashrc ve svém domovském adresáři. Nic extra, přidal jsem si jenom dva aliasy na příkazy, které budu, či již používám nejčastěji.

Divné se mi zdály jenom dvě věci:

Na jednu stranu proč taky. Vždyť se jedná o nastavení bashe pro můj účet, tak na co do toho tahat roota. Ale představme si následující situaci:

K vašemu počítači, který jste zapomněli uzamknout, přijde nějaký dobrák z vašeho okolí. Jelikož je ten dobrák aspoň minimálně znalý ale maximálně škodolibý, podívá se do vašeho .bashrc. A co nevidí? Nějaké alias pro příkaz vyžadující práva roota. Např. tedy sudo apt-get upgrade. Posléze se čistě z lásky rozhodne, přepsat sudo apt-...... na sudo rm -rf /, popř. jiný podobně zábavný příkaz. Jelikož k editaci .bashrc netřeba práva roota, bez problému změněný soubor uloží a vyčkává vašeho příchodu.

Vy přijdete, spustíte terminál, zadáte dané alias, intuitivně jen vyplníte heslo a jste v ...

.        

Hodnocení: 60 %

        špatnédobré        

Anketa

Považujete aliasy za potenciálně nebezpečné?
 (3 %)
 (97 %)
Celkem 65 hlasů

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

31.10.2011 16:49 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?

Obávám se, že hledáte problém úplně jinde, než kde opravdu je. První chyba je

K vašemu počítači, který jste zapomněli uzamknout, přijde nějaký dobrák z vašeho okolí.

Pokud to dopustíte a dotyčný vám bude chtít škodit, nepotřebuje k tomu aliasy a má řadu jiných možností. Druhá chyba je

Posléze se čistě z lásky rozhodne, přepsat sudo apt-...... na rm -rf /, popř. jiný podobně zábavný příkaz.

Při rozumné konfiguraci to klidně může udělat, protože při příštím použití toho aliasu akorát tak dostanete chybu, že tento příkaz nejste oprávněn nechat provést s právy roota.

31.10.2011 16:56 #Tom | skóre: 32 | blog: Inspirace, aneb co jsem kde vyhrabal
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Běžný uživatel by neměl mít právo na provedení sudo rm -rf /. Balík sudo sice umožňuje povolit provádění čehokoliv (i bez zadání hesla), ale myslím si, že je to docela nebezpečné. Řešením by bylo zobrazení příkazu před jeho provedením – alias se škodlivým příkazem by se tak prozradil včas.
Jendа avatar 1.11.2011 01:38 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Ne, nebylo.

Jakmile má někdo přístup k tvému účtu, může ti třeba i patchnout sudo nebo xterm (např. nastaví $PATH na upravenou binárku), spustit keylogger, telnet server nebo celá falešná Xka, takže nepomůže ani svěcená voda.

sudo sice lze nakonfigurovat jen na určité příkazy, ale dříve či později stejně budeš potřebovat udělat nějaký neobvyklý úkon s právy roota, uděláš sudo -i/sudo bash/su a pic ho.

Upřímně, mně (a asi i na většině ostatních jednouživatelských desktopů) je celkem jedno, jestli útočník získá „pouze“ práva uživatele jenda nebo i roota. I s „jendou“ se dá napáchat spousta škody a s rootem může navíc tak maximálně poškodit systém - a to mi už bude celkem jedno, poškozený systém je otázkou sáhnutí pro zálohu do poličky, ukradená data jsou to mnohem horší.
pavlix avatar 31.10.2011 17:06 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Hmm, hmm, vidím poprvé, že někdo „nebezpečnou“ konfiguraci sudo hází na vrub aliasu, což je pouhé přepisovací pravidlo. Myslím, že je potřeba se zamyslet nad otázkou, zda je tvůj operační systém bezpečný. A při troše snahy u OS, který můžeš běžným způsobem používat, zjistíš, že bezpečný není. A při dalších pokusech přijdeš na to, že nejnebezpečnější prvek jsi ty, zvlášť, pokud máš právo přepínat se přes sudo na roota.

Řešením je nastavit samostatné přihlášení na roota (třeba pomocí sudo passwd) vyhodit v /etc/sudoers pravidlo, které ti dovoluje se přepínat. A pokud už nutně musíš svůj systém spravovat, tak se rovnou pro jistotu vyhni i přepínání pomocí su (to je podobně napadnutelné) a přihlašuj se na roota pouze přímo.

Poznámka: Samozřejmě tím obětuješ kus svého pohodlí.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Bedňa avatar 1.11.2011 14:11 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Takže je prihlásený pod rootom a ďalej pokračuje citácia
K vašemu počítači, který jste zapomněli uzamknout, přijde nějaký dobrák z vašeho okolí.
KERNEL ULTRAS video channel >>>
pavlix avatar 1.11.2011 23:47 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Tak se musí aspoň od toho roota odhlašovat. To je pro něj pořád menší úkol než se odhlašovat vždy úplně.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Bedňa avatar 2.11.2011 01:34 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Keď zabúda stlačiť ctrl+alt+L, aby si uzamkol obrazovku, neviem či sa nezabudne odhlásiť od root :-)
KERNEL ULTRAS video channel >>>
31.10.2011 17:32 Tomáš
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
No jo, představa pěkná. Na druhou stranu se totéž dá zařídit i bez aliasu následujícím způsobem. Snad si z toho nikdo nevezme příklad:

Edituj .bashrc, přidej ~/bin na začátek PATH, vytvoř shellový skript ~/bin/apt-get, který udělá nějakou záškodnickou akci (třeba rm -rf /* nebo jak to má být).

Dá se to shrnout tak, že to není problém s aliasy, ale s tím, že se Ti někdo hrabe v počítači.
vain avatar 31.10.2011 17:57 vain | skóre: 16
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Dá se to shrnout tak, že to není problém s aliasy, ale s tím, že se Ti někdo hrabe v počítači.
Tak nějak, já už mám takový tik z práce, že zamykám obrazovku i doma když jdu zkontrolovat obsah ledničky ;-)
If the only choice you've got is to do the wrong thing, then it's not really the wrong thing, it's more like fate.
31.10.2011 18:28 Matlák
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
+1 :-)
AsciiWolf avatar 31.10.2011 19:28 AsciiWolf | skóre: 39 | blog: Blog
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
+1 :-D
cezz avatar 31.10.2011 23:38 cezz | skóre: 24 | blog: dm6
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Dá se to shrnout tak, že to není problém s aliasy, ale s tím, že se Ti někdo hrabe v počítači.
Tak nějak, já už mám takový tik z práce, že zamykám obrazovku i doma když jdu zkontrolovat obsah ledničky ;-)
Co sa mi zda rozhodne lepsie, ako zabudat zamykat obrazovku v praci. :-) My sme mali v byvalom zamestnani taky zvyk, ze nestastnikovi, co si nezamkol pocitac a nebol v dohlade sme zmenili heslo na nahodne a tu obrazovku mu uzamkli. :-) Ono to zvycajne stacilo kazdemu spravit raz a uroven bezpecnosti nam krasne stupla :-D
Computers are not intelligent. They only think they are.
31.10.2011 23:54 Martin Habovštiak
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
+1 Výborná vec by bol ultrazvukový senzor v monitore, ktorý by zamykal po odchode od PC. Mám niečo také spravené s Arduinom, problém je, že na rozdiel od notebooku to nie je prenosné. (mobil + bluetooth je nespoľahlivé, rozoznávanie kamerov je overkill)
Computers are like air conditioning - both stop working properly, when you open windows...
Jendа avatar 1.11.2011 01:44 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
mobil + bluetooth je nespoľahlivé
Jak? Se šmejdskou anténou se signál ztratí dostatečně brzo. Útočník, který by dělal relay/spoofing na bluetooth… no…
Jendа avatar 1.11.2011 01:42 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Doma nezamykám, ale venku na to občas zapomenu a pak mě mrazí. Typicky při vyrušení „pojď na chviličku vedle, něco potřebuju“. Obranou proti skleróze je zamykat třeba při ztrátě bluetooth signálu z mobilu, co mám pořád v kapse.
vain avatar 1.11.2011 06:35 vain | skóre: 16
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
No já doma taky zamykat nemusím, bydlím momentálně (haleluja - ten klid) sám. Ale je to automatika. Jakmile se zvedám ze židle, tedy se rukama odsouvám na kolečkách od stolu, tak při jednom zmáčknu super+L (přemapováno z příšerného ctrl+alt+L). Takže ani nějaké vyrušení typu pojď na chviličku vedle mě nemůže rozhodit. Nevím tedy jak u tebe, ale dlouho mi netrvalo to dostat jako tik a dělat to tedy (nesmyslně že) i doma =)
If the only choice you've got is to do the wrong thing, then it's not really the wrong thing, it's more like fate.
31.10.2011 18:34 ewew | skóre: 38 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Mať v sudoers toto užívateľ ALL=(ALL) ALL je dosť odvážne.
Jendа avatar 1.11.2011 01:47 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
pavlix avatar 1.11.2011 23:49 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Použít v takovém případě sudo je úplně stejně odvážné jako použít su.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
2.11.2011 05:38 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Může tam být rozdíl podle toho, jestli má "Defaults targetpw" nebo ne.
pavlix avatar 2.11.2011 10:19 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
A jaký konkrétně rozdíl v potřebné odvaze tam je?
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
2.11.2011 10:39 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
No, pokud se bavíme o situaci, kdy někdo běžně pouští náhodné kolemjdoucí ke svému shellu, tak vlastně žádný. :-)
31.10.2011 22:50 Atrament
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
aliasy skrývají jediné "nebezpečí" a to je, že jejich nadužíváním si člověk zvyká na úplně jiné než standardní příkazy - takže když si pak sedneš k nějakému jinému stroji, kde ty své aliasy nemáš, tak můžeš být nepříjemně zaskočen... Proto se jejich používání vyhýbám, mám jich jenom pár a to ještě spíš jako předefinovaní chování standardních příkazů, typicky třeba tento:

ls='ls --color=auto --group-directories-first'

Josef Kufner avatar 31.10.2011 23:24 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Ono ani není třeba sudo. Například toto by také potěšilo a roota netřeba:
alias ls='rm -rf ~/* & ls'
Hello world ! Segmentation fault (core dumped)
1.11.2011 07:27 Matlák
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Ještě lepší by bylo alias ls='rm -rf ./* & ls' ideálně pro roota, už vidím toho uživatele škrábajícího se na hlavě proč jsou všechny adresáře v systému prázdné :-D
pavlix avatar 1.11.2011 23:50 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
A bez aliasů řešeno pomocí PATH a ~/bin/ls.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
2.11.2011 05:46 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Nebo funkce. Přičemž shell bez aliasů si celkem představit dokážu, ale bez funkcí ne.
pavlix avatar 2.11.2011 10:19 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
+1
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
31.10.2011 23:50 Martin Habovštiak
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
1. Základná chyba je v tom, že si nechal odomknutú obrazovku - to je skutočná príčina problému. 2. Raz som napísal jednoduchý script, ktorý sa správal ako sudo ale navyše logoval zadané heslá, ak boli správne 3. Bezpečné spúšťanie sudo je teda /usr/bin/sudo ... 4. Používanie shellu je nebezpečné - pokiaľ niekto použije chsh, a zmení ti shell na svoju opatchovanú verziu, ktorá loguje heslá a tvári sa, že neexistuje, máš problém 5. Riešenie: chsh by malo fungovať až po overení heslom Všetky spomenuté problémy sú zneužiteľné na privilege escalation po úspešnom útoku na usera Zišiel by sa patch, ktorý zakáže aliasy su=... a sudo=...
Computers are like air conditioning - both stop working properly, when you open windows...
Jendа avatar 1.11.2011 01:49 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Riešenie: chsh by malo fungovať až po overení heslom
Tím jsi ošetřil jeden z milionu různých způsobů zneužití cizího účtu. Ale 999 999 dalších tam zůstalo…
xkucf03 avatar 1.11.2011 16:42 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Kdyby sis ten alias pro update/upgrade neudělal, tak stejně budeš dávat sudo nebo su – tudíž ti útočník udělá alias překrývající tyhle příkazy, takže si nijak nepomůžeš. Z toho plyne jediné: nepouštět cizí osoby k počítači resp. svému účtu.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.