Как безопасно сделать «Отладочный Backdoor»

0

1

Суть: есть много пользовательская система, юзер жалуется: «у меня ошибка» проверяем под тестовым аккаунтом: не воспроизводится, задача воспроизвести ошибку под аккаунтом юзера

условие: пароль юзера спрашивать нельзя (как в лучших домах гугля), от паролей хранятся соленые хеши.

Первое решение: админ может сделать «login as <username>» со своим паролем.

Основной трабл: если угонят пароль админа (ага это само по себе плохо), то могут незаметно для всех логинится под кем угодно (очвеидно что под админом можно натворить всякого но основная задача чтобы это отражалось в логах и т.п. т.е. было заметно)

Ссылка

←	Управление железным IP-телефоном

Squid3 + Своя обвязка веб

→

Отправляйте юзеру уведомление о том, что под ним зашли от админа.

omegatype ★★★
(24.10.13 00:48:21 MSK)

Читай мастер класс по решению проблемы в последних новостях про роутеры

vasily_pupkin ★★★★★
(24.10.13 00:51:40 MSK)

Ссылка

Делал в одном проекте такую фигню: админ может залогиниться в любую учётку со своим паролём. Т.е.:

<admin>:<admin-pwd> -> admin account
<user>:<user-pwd> -> user account
<user>:<admin-pwd> -> user account

beastie ★★★★★
(24.10.13 00:59:07 MSK)

Ответ на: комментарий от beastie 24.10.13 00:59:07 MSK

ну я полагал в поле логина писать <admin_login> <user_login> просто потому что при наличии соленых хешей искать пользователя по паролю невозможно, да и фокус с одинаковыми паролями возможен

и ввести акк. админа_девелопера который и будет логиниться под кем хочет, а простому админу это не положено мол

Deleted
(24.10.13 01:02:42 MSK)

Ответ на: комментарий от omegatype 24.10.13 00:48:21 MSK

юзеры бывают нервные, хотя надо думать

Deleted
(24.10.13 01:03:01 MSK)

Ссылка

Ответ на: комментарий от Deleted 24.10.13 01:02:42 MSK

У меня там было всё гораздо запущенней. ;) Был супер-админ, были ресейлеры, которые могли иметь других ресейлеров и были простые юзвери. И каждый мог логиниться на суб-уровень принадлежащих ему пользователей со своим паролем.

beastie ★★★★★
(24.10.13 01:11:49 MSK)

Ответ на: комментарий от beastie 24.10.13 01:11:49 MSK

хм, у меня тоже есть аналог ресейлеров, это ты мысль подсказал

Deleted
(24.10.13 01:12:55 MSK)

Ответ на: комментарий от Deleted 24.10.13 01:12:55 MSK

В таком случае псевдо-код:

struct user {
        char *username;
        char *passwd;
        struct user *parent;
}

int
chckpasswd(struct user *u, char *passwd)
{
        if (strcmp(u->passwd, passwd) == 0) {
                return 0;
        else if (u->parent)
                return chckpasswd(u->parent, passwd);
        return -1;
}

beastie ★★★★★
(24.10.13 01:18:54 MSK)
Последнее исправление: beastie 24.10.13 01:19:15 MSK (всего исправлений: 1)

Ссылка

логов (трейсов пользователей) в вашей 'много пользовательской' системе нет?

~~mashina~~ ★★★★★
(24.10.13 01:30:03 MSK)

Ссылка

Админ может сделать "login as <username>" со своим паролем, но только если username находится в файле разрешенных пользователей, к которому имеет доступ на запись только root той машины, где крутится сервак.

На время тестов добавлять в файл нужного юзера, после тестов убирать.

gv ★
(24.10.13 04:30:28 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Управление железным IP-телефоном

Development

Squid3 + Своя обвязка веб

→

Похожие темы