abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 18:44 | Bezpečnostní upozornění

Twitter upozornil, že pokud se uživatel Twitteru přihlašoval ve Firefoxu na sdíleném nebo veřejném počítači, tak po odhlášení se z Twitteru mohla na disku zůstat nakešovaná citlivá data, a proto toto kešování pro Firefox zakázal. Reakce Mozilly: Twitter by měl prostě dodržovat standardy.

Ladislav Hagara | Komentářů: 4
včera 17:44 | Zajímavý článek

Článek na Jitsi je věnován bezpečnosti a soukromí uživatelů při používání videokonferenčního softwaru Jitsi Meet. Doporučuje se zamyslet nad názvem místnosti. Upozorňuje, že místnost existuje, pouze pokud se v ní někdo nachází. V případě nastavení hesla, je toto heslo s ukončením místnosti zapomenuto a při opětovném použití místnosti je nutno jej opět zadat.

Ladislav Hagara | Komentářů: 2
včera 06:00 | IT novinky

Na Indiegogo byla spuštěna kampaň na podporu chytrého telefonu a kapesního počítače Astro Slide 5G Transformer od společnosti Planet Computers. Požadovaná částka 180 000 eur byla vybrána během 4 hodin. Stejně jako u předchozích zařízení Gemini PDA a Cosmo Communicator od této společnosti je slíbená podpora Linuxu.

Ladislav Hagara | Komentářů: 18
3.4. 19:22 | Zajímavý software

CryptPad je svobodný online kancelářský balík. Zdrojové kódy jsou k dispozici na GitHubu pod licencí AGPL-3.0. Oficiální instance nově nabízí 1 GB prostoru. Mozilla Foundation tento týden věnovala projektu 10 000 $.

Ladislav Hagara | Komentářů: 2
3.4. 18:22 | Nová verze

Byla vydána finální beta verze Ubuntu 20.04 LTS s kódovým názvem Focal Fossa. Přehled novinek v poznámkách k vydání. Dle plánu by Ubuntu 20.04 mělo vyjít 23. dubna 2020.

Ladislav Hagara | Komentářů: 4
3.4. 17:22 | Nová verze

Vyšel XCP-ng 8.1 (seznam změn), alternativní sestavení Citrix Hypervisor (dříve XenServer), tedy serverová distribuce hypervizoru Xen (4.13), toolstacku XAPI a systému CentOS v privilegované doméně. XCP-ng na rozdíl od bezplatné verze Citrix Hypervisoru nemá četná omezení funkcionality, vývojáři ale nabízejí i komerční podporu. Novinkou (zatím) pouze v XCP-ng je možnost zálohovat VM včetně aktuálního stavu jejich paměti; funkce je integrována také v administračním nástroji Xen Orchestra.

Fluttershy, yay! | Komentářů: 0
2.4. 17:55 | Nová verze

Byl vydán LineageOS ve verzi 17.1. LineageOS (Wikipedie) je svobodný operační systém pro chytré telefony, tablety a set-top boxy založený na Androidu. Jedná se o nástupce CyanogenModu. LineageOS 17.1 je založený na Androidu 10.

Ladislav Hagara | Komentářů: 12
2.4. 17:22 | Zajímavý projekt

Lukasz Erecinski na blogu Pine64 oznámil možnost předobjednání telefonu PinePhone v edici UBports Community Edition. Telefon bude mít speciální kryt s logem a nápisem UBports Edition. Základní deska bude podle nového schématu (v1.2) vylepšená podle zpětné vazby od majitelů BraveHeart edice. Bude mít FCC i CE certifikace.

joejoe | Komentářů: 3
2.4. 15:33 | IT novinky

Společnost Cloudflare před dvěma lety spustila DNS resolver 1.1.1.1. Včera spustila 1.1.1.1 pro rodiny aneb nové resolvery 1.1.1.2 (2606:4700:4700::1112) a 1.1.1.3 (2606:4700:4700::1113) blokující stránky s malwarem a obsahem pro dospělé. Dnes se omluvila, že nechtěně blokovala také LGBTQIA+ stránky.

Ladislav Hagara | Komentářů: 42
2.4. 14:55 | Nová verze

Společnost Red Hat oznámila vydání Red Hat Enterprise Linuxu 7.8, který přináší vedle nových vlastností a oprav chyb také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
Chodíte do práce?
 (25%)
 (2%)
 (4%)
 (2%)
 (48%)
 (14%)
 (5%)
Celkem 122 hlasů
 Komentářů: 4, poslední 2.4. 14:20
Rozcestník
MIG Alley is the name given by U.S. Air Force pilots to the northwestern portion of North Korea "MIG Alley" is the name given by U.S. Air Force pilots to the northwestern portion of North Korea, where the Yalu River empties into the Yellow Sea. During the Korean War, it was the site of numerous dogfights between U.S. fighter jets and those of the Communist forces, particularly the Soviet Union. The North American F-86 Sabre and the Soviet-built Mikoyan-Gurevich MiG-15 were the aircraft used throughout most of the conflict, with the area's nickname derived from the latter. Because it was the site of the first large-scale jet-vs-jet air battles, MIG Alley is considered the birthplace of jet fighter combat.
Aktuální zápisy

www.AutoDoc.Cz

Nejsou aliasy potenciálně nebezpečné?

31.10.2011 16:30 | Přečteno: 1565× | Linux | poslední úprava: 31.10.2011 17:07

Po dlouhé době jsem překonal vlastní lenost a editoval .bashrc ve svém domovském adresáři. Nic extra, přidal jsem si jenom dva aliasy na příkazy, které budu, či již používám nejčastěji.

Divné se mi zdály jenom dvě věci:

Na jednu stranu proč taky. Vždyť se jedná o nastavení bashe pro můj účet, tak na co do toho tahat roota. Ale představme si následující situaci:

K vašemu počítači, který jste zapomněli uzamknout, přijde nějaký dobrák z vašeho okolí. Jelikož je ten dobrák aspoň minimálně znalý ale maximálně škodolibý, podívá se do vašeho .bashrc. A co nevidí? Nějaké alias pro příkaz vyžadující práva roota. Např. tedy sudo apt-get upgrade. Posléze se čistě z lásky rozhodne, přepsat sudo apt-...... na sudo rm -rf /, popř. jiný podobně zábavný příkaz. Jelikož k editaci .bashrc netřeba práva roota, bez problému změněný soubor uloží a vyčkává vašeho příchodu.

Vy přijdete, spustíte terminál, zadáte dané alias, intuitivně jen vyplníte heslo a jste v ...

.        

Hodnocení: 60 %

        špatnédobré        

Anketa

Považujete aliasy za potenciálně nebezpečné?
 (3 %)
 (97 %)
Celkem 65 hlasů

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

31.10.2011 16:49 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?

Obávám se, že hledáte problém úplně jinde, než kde opravdu je. První chyba je

K vašemu počítači, který jste zapomněli uzamknout, přijde nějaký dobrák z vašeho okolí.

Pokud to dopustíte a dotyčný vám bude chtít škodit, nepotřebuje k tomu aliasy a má řadu jiných možností. Druhá chyba je

Posléze se čistě z lásky rozhodne, přepsat sudo apt-...... na rm -rf /, popř. jiný podobně zábavný příkaz.

Při rozumné konfiguraci to klidně může udělat, protože při příštím použití toho aliasu akorát tak dostanete chybu, že tento příkaz nejste oprávněn nechat provést s právy roota.

31.10.2011 16:56 #Tom | skóre: 32 | blog: Inspirace, aneb co jsem kde vyhrabal
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Běžný uživatel by neměl mít právo na provedení sudo rm -rf /. Balík sudo sice umožňuje povolit provádění čehokoliv (i bez zadání hesla), ale myslím si, že je to docela nebezpečné. Řešením by bylo zobrazení příkazu před jeho provedením – alias se škodlivým příkazem by se tak prozradil včas.
Jendа avatar 1.11.2011 01:38 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Ne, nebylo.

Jakmile má někdo přístup k tvému účtu, může ti třeba i patchnout sudo nebo xterm (např. nastaví $PATH na upravenou binárku), spustit keylogger, telnet server nebo celá falešná Xka, takže nepomůže ani svěcená voda.

sudo sice lze nakonfigurovat jen na určité příkazy, ale dříve či později stejně budeš potřebovat udělat nějaký neobvyklý úkon s právy roota, uděláš sudo -i/sudo bash/su a pic ho.

Upřímně, mně (a asi i na většině ostatních jednouživatelských desktopů) je celkem jedno, jestli útočník získá „pouze“ práva uživatele jenda nebo i roota. I s „jendou“ se dá napáchat spousta škody a s rootem může navíc tak maximálně poškodit systém - a to mi už bude celkem jedno, poškozený systém je otázkou sáhnutí pro zálohu do poličky, ukradená data jsou to mnohem horší.
Kdo říká, že jeden běžný člověk nemůže změnit svět, tak asi nikdy nejedl syrového netopýra.
pavlix avatar 31.10.2011 17:06 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Hmm, hmm, vidím poprvé, že někdo „nebezpečnou“ konfiguraci sudo hází na vrub aliasu, což je pouhé přepisovací pravidlo. Myslím, že je potřeba se zamyslet nad otázkou, zda je tvůj operační systém bezpečný. A při troše snahy u OS, který můžeš běžným způsobem používat, zjistíš, že bezpečný není. A při dalších pokusech přijdeš na to, že nejnebezpečnější prvek jsi ty, zvlášť, pokud máš právo přepínat se přes sudo na roota.

Řešením je nastavit samostatné přihlášení na roota (třeba pomocí sudo passwd) vyhodit v /etc/sudoers pravidlo, které ti dovoluje se přepínat. A pokud už nutně musíš svůj systém spravovat, tak se rovnou pro jistotu vyhni i přepínání pomocí su (to je podobně napadnutelné) a přihlašuj se na roota pouze přímo.

Poznámka: Samozřejmě tím obětuješ kus svého pohodlí.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Bedňa avatar 1.11.2011 14:11 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Takže je prihlásený pod rootom a ďalej pokračuje citácia
K vašemu počítači, který jste zapomněli uzamknout, přijde nějaký dobrák z vašeho okolí.
KERNEL ULTRAS video channel >>>
pavlix avatar 1.11.2011 23:47 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Tak se musí aspoň od toho roota odhlašovat. To je pro něj pořád menší úkol než se odhlašovat vždy úplně.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Bedňa avatar 2.11.2011 01:34 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Keď zabúda stlačiť ctrl+alt+L, aby si uzamkol obrazovku, neviem či sa nezabudne odhlásiť od root :-)
KERNEL ULTRAS video channel >>>
31.10.2011 17:32 Tomáš
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
No jo, představa pěkná. Na druhou stranu se totéž dá zařídit i bez aliasu následujícím způsobem. Snad si z toho nikdo nevezme příklad:

Edituj .bashrc, přidej ~/bin na začátek PATH, vytvoř shellový skript ~/bin/apt-get, který udělá nějakou záškodnickou akci (třeba rm -rf /* nebo jak to má být).

Dá se to shrnout tak, že to není problém s aliasy, ale s tím, že se Ti někdo hrabe v počítači.
vain avatar 31.10.2011 17:57 vain | skóre: 16
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Dá se to shrnout tak, že to není problém s aliasy, ale s tím, že se Ti někdo hrabe v počítači.
Tak nějak, já už mám takový tik z práce, že zamykám obrazovku i doma když jdu zkontrolovat obsah ledničky ;-)
If the only choice you've got is to do the wrong thing, then it's not really the wrong thing, it's more like fate.
31.10.2011 18:28 Matlák
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
+1 :-)
AsciiWolf avatar 31.10.2011 19:28 AsciiWolf | skóre: 39 | blog: Blog
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
+1 :-D
cezz avatar 31.10.2011 23:38 cezz | skóre: 24 | blog: dm6
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Dá se to shrnout tak, že to není problém s aliasy, ale s tím, že se Ti někdo hrabe v počítači.
Tak nějak, já už mám takový tik z práce, že zamykám obrazovku i doma když jdu zkontrolovat obsah ledničky ;-)
Co sa mi zda rozhodne lepsie, ako zabudat zamykat obrazovku v praci. :-) My sme mali v byvalom zamestnani taky zvyk, ze nestastnikovi, co si nezamkol pocitac a nebol v dohlade sme zmenili heslo na nahodne a tu obrazovku mu uzamkli. :-) Ono to zvycajne stacilo kazdemu spravit raz a uroven bezpecnosti nam krasne stupla :-D
Computers are not intelligent. They only think they are.
31.10.2011 23:54 Martin Habovštiak
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
+1 Výborná vec by bol ultrazvukový senzor v monitore, ktorý by zamykal po odchode od PC. Mám niečo také spravené s Arduinom, problém je, že na rozdiel od notebooku to nie je prenosné. (mobil + bluetooth je nespoľahlivé, rozoznávanie kamerov je overkill)
Computers are like air conditioning - both stop working properly, when you open windows...
Jendа avatar 1.11.2011 01:44 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
mobil + bluetooth je nespoľahlivé
Jak? Se šmejdskou anténou se signál ztratí dostatečně brzo. Útočník, který by dělal relay/spoofing na bluetooth… no…
Kdo říká, že jeden běžný člověk nemůže změnit svět, tak asi nikdy nejedl syrového netopýra.
Jendа avatar 1.11.2011 01:42 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Doma nezamykám, ale venku na to občas zapomenu a pak mě mrazí. Typicky při vyrušení „pojď na chviličku vedle, něco potřebuju“. Obranou proti skleróze je zamykat třeba při ztrátě bluetooth signálu z mobilu, co mám pořád v kapse.
Kdo říká, že jeden běžný člověk nemůže změnit svět, tak asi nikdy nejedl syrového netopýra.
vain avatar 1.11.2011 06:35 vain | skóre: 16
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
No já doma taky zamykat nemusím, bydlím momentálně (haleluja - ten klid) sám. Ale je to automatika. Jakmile se zvedám ze židle, tedy se rukama odsouvám na kolečkách od stolu, tak při jednom zmáčknu super+L (přemapováno z příšerného ctrl+alt+L). Takže ani nějaké vyrušení typu pojď na chviličku vedle mě nemůže rozhodit. Nevím tedy jak u tebe, ale dlouho mi netrvalo to dostat jako tik a dělat to tedy (nesmyslně že) i doma =)
If the only choice you've got is to do the wrong thing, then it's not really the wrong thing, it's more like fate.
31.10.2011 18:34 ewew | skóre: 38 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Mať v sudoers toto užívateľ ALL=(ALL) ALL je dosť odvážne.
Jendа avatar 1.11.2011 01:47 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Předpokládám, že se tedy na roota přihlašuješ pouze přímo na tty.
Kdo říká, že jeden běžný člověk nemůže změnit svět, tak asi nikdy nejedl syrového netopýra.
pavlix avatar 1.11.2011 23:49 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Použít v takovém případě sudo je úplně stejně odvážné jako použít su.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
2.11.2011 05:38 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Může tam být rozdíl podle toho, jestli má "Defaults targetpw" nebo ne.
pavlix avatar 2.11.2011 10:19 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
A jaký konkrétně rozdíl v potřebné odvaze tam je?
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
2.11.2011 10:39 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
No, pokud se bavíme o situaci, kdy někdo běžně pouští náhodné kolemjdoucí ke svému shellu, tak vlastně žádný. :-)
31.10.2011 22:50 Atrament
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
aliasy skrývají jediné "nebezpečí" a to je, že jejich nadužíváním si člověk zvyká na úplně jiné než standardní příkazy - takže když si pak sedneš k nějakému jinému stroji, kde ty své aliasy nemáš, tak můžeš být nepříjemně zaskočen... Proto se jejich používání vyhýbám, mám jich jenom pár a to ještě spíš jako předefinovaní chování standardních příkazů, typicky třeba tento:

ls='ls --color=auto --group-directories-first'

Josef Kufner avatar 31.10.2011 23:24 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Ono ani není třeba sudo. Například toto by také potěšilo a roota netřeba:
alias ls='rm -rf ~/* & ls'
Hello world ! Segmentation fault (core dumped)
1.11.2011 07:27 Matlák
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Ještě lepší by bylo alias ls='rm -rf ./* & ls' ideálně pro roota, už vidím toho uživatele škrábajícího se na hlavě proč jsou všechny adresáře v systému prázdné :-D
pavlix avatar 1.11.2011 23:50 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
A bez aliasů řešeno pomocí PATH a ~/bin/ls.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
2.11.2011 05:46 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Nebo funkce. Přičemž shell bez aliasů si celkem představit dokážu, ale bez funkcí ne.
pavlix avatar 2.11.2011 10:19 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
+1
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
31.10.2011 23:50 Martin Habovštiak
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
1. Základná chyba je v tom, že si nechal odomknutú obrazovku - to je skutočná príčina problému. 2. Raz som napísal jednoduchý script, ktorý sa správal ako sudo ale navyše logoval zadané heslá, ak boli správne 3. Bezpečné spúšťanie sudo je teda /usr/bin/sudo ... 4. Používanie shellu je nebezpečné - pokiaľ niekto použije chsh, a zmení ti shell na svoju opatchovanú verziu, ktorá loguje heslá a tvári sa, že neexistuje, máš problém 5. Riešenie: chsh by malo fungovať až po overení heslom Všetky spomenuté problémy sú zneužiteľné na privilege escalation po úspešnom útoku na usera Zišiel by sa patch, ktorý zakáže aliasy su=... a sudo=...
Computers are like air conditioning - both stop working properly, when you open windows...
Jendа avatar 1.11.2011 01:49 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Riešenie: chsh by malo fungovať až po overení heslom
Tím jsi ošetřil jeden z milionu různých způsobů zneužití cizího účtu. Ale 999 999 dalších tam zůstalo…
Kdo říká, že jeden běžný člověk nemůže změnit svět, tak asi nikdy nejedl syrového netopýra.
xkucf03 avatar 1.11.2011 16:42 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nejsou aliasy potenciálně nebezpečné?
Kdyby sis ten alias pro update/upgrade neudělal, tak stejně budeš dávat sudo nebo su – tudíž ti útočník udělá alias překrývající tyhle příkazy, takže si nijak nepomůžeš. Z toho plyne jediné: nepouštět cizí osoby k počítači resp. svému účtu.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.