LINUX.ORG.RU

История изменений

Исправление KivApple, (текущая версия) :

1) Зависит от наличия подключению к интернету и набора запущенных сервисов. Скажем, если запущен какой-нибудь рутовый демон с 0-day уязвимостью, то можно его поломать и слить /etc/shadow. В идеальном случае, когда уязвимого софта не запущено (а неуязвимый настроен корректно) достать /etc/shadow удалённо невозможно в принципе. Также можно просто выдернуть интернет-кабель и компьютер станет абсолютно устойчивым к удалённым атакам любого рода.

2) Зависит от стойкости пароля для расшифровки и отсутствия математических дырок в алгоритме шифрования. Вероятность последнего весьма мала, потому что там всё достаточно вылизано. Так что надо просто ставить надёжные пароли, а не qwerty.

3) Никак. /etc/shadow вытягивают с помощью root-прав. Однако получить их можно и не вводя пароль root. Например, с помощью уязвимости в приложении, которое имеет root-права. Или уязвимости в ядре.

4) Зависит от ситуации. На самом деле главная задача смены паролей не та, что ты думаешь. Скажем, кто-нибудь подсмотрит, как юзер вводит пароль. Или ломанёт его компьютер и поставит кейлоггер. Или юзер сам доверит пароль третьему лицу. Регулярная смена паролей сделает время, которое злоумышленник сможет использовать с пользой, минимальным. Эта мера нужна в первую очередь для организаций, где невозможно гарантировать, что все пользователи будут идеально соблюдать правила безопасности. Этакая принудиловка. Для домашнего компьютера мера сомнительная.

Исходная версия KivApple, :

1) Зависит от наличия подключению к интернету и набора запущенных сервисов. Скажем, если запущен какой-нибудь рутовый демон с 0-day уязвимостью, то можно его поломать и слить /etc/shadow. В идеальном случае, когда уязвимого софта не запущено (а неуязвимый настроен корректно) достать /etc/shadow удалённо невозможно в принципе.

2) Зависит от стойкости пароля для расшифровки и отсутствия математических дырок в алгоритме шифрования. Вероятность последнего весьма мала, потому что там всё достаточно вылизано. Так что надо просто ставить надёжные пароли, а не qwerty.

3) Никак. /etc/shadow вытягивают с помощью root-прав. Однако получить их можно и не вводя пароль root. Например, с помощью уязвимости в приложении, которое имеет root-права. Или уязвимости в ядре.

4) Зависит от ситуации. На самом деле главная задача смены паролей не та, что ты думаешь. Скажем, кто-нибудь подсмотрит, как юзер вводит пароль. Или ломанёт его компьютер и поставит кейлоггер. Или юзер сам доверит пароль третьему лицу. Регулярная смена паролей сделает время, которое злоумышленник сможет использовать с пользой, минимальным. Эта мера нужна в первую очередь для организаций, где невозможно гарантировать, что все пользователи будут идеально соблюдать правила безопасности. Этакая принудиловка. Для домашнего компьютера мера сомнительная.