shaddow

0

3

Из https://www.opennet.ru/opennews/art.shtml?num=54391

Ключевым отличием tcb от /etc/shadow является уход от использования общего файла со всеми хэшами паролей в пользу разнесения хэшей паролей по отдельным каталогам и файлам. При подобной организации хранения операции с паролями можно выполнять без повышения прав, а процесс, осуществляющий обработку учётных данных, ограничен учётной записью отдельного пользователя. Обработчик /etc/shadow всегда получает доступ сразу ко всем хэшам паролей, т.е. уязвимость в утилите passwd позволит изменить любой пароль.

Код, имеющий доступ к /etc/shadow проверен десятилетиями. Разнесение хешей по отдельным файлам, с правом чтения своих хешей самими пользователями, может привести к их утечке и дальнейшему подбору на чём-то вроде John the Ripper. Так в чём же тут профит?

Ссылка

←	Rockstar одобряют социального пингвина

Конгратулирую AP с перерождением и переосмыслением проекта.

→

Разнесение хешей по отдельным файлам, с правом чтения своих хешей самими пользователями

Откуда вот вы берётесь? Только честно? На ЛОРе же посылают к окулисту с 199... не помню какого года. А воз и ныне там.

«Для проверки паролей системным процессом доступ предоставляется через помещение процесса в группы „shadow“ и „auth“, при том, что доступ к иерархии /etc/tcb ограничен только членам группы shadow. Например, параметры сохраняются в файле /etc/tcb/user/shadow, где каталог /etc/tcb принадлежит root:shadow и имеет права „drwx--x---“ , а /etc/tcb/user/ user:auth „drwx--s---“ и /etc/tcb/user/shadow - user:auth »-rw-r-----"). "

Для пользователя ничего не поменяется. (В следующий раз глаза на продажу изымем. Потому что они явно не используются.)

atrus ★★★★★
(12.01.21 15:27:46 MSK)

Ответ на: комментарий от atrus 12.01.21 15:27:46 MSK

В следующий раз глаза на продажу изымем.

Ай, зачем, дорогой, такое фуфло хочешь впарить, да?
Хорошие давай.

imul ★★★★★
(12.01.21 15:31:14 MSK)

Ответ на: комментарий от imul 12.01.21 15:31:14 MSK

Не ну текст-то он видит, раз новость прочитал. Так что глаза рабочие. Он дальше читать не захотел. Превышен лимит SMS/твитта...

atrus ★★★★★
(12.01.21 15:32:05 MSK)

Ссылка

Ответ на: комментарий от atrus 12.01.21 15:27:46 MSK

Для пользователя ничего не поменяется.

Расскажи как же тогда реализовано следующее?

При подобной организации хранения операции с паролями можно выполнять без повышения прав, а процесс, осуществляющий обработку учётных данных, ограничен учётной записью отдельного пользователя.

Да и сбавь тон, хамством ты ничего не докажешь.

hummer ★
(12.01.21 15:33:59 MSK) автор топика

Ответ на: комментарий от hummer 12.01.21 15:33:59 MSK

Ну на opennet же в камментах отвечают и разжёвывают.

Но если надо повторить здесь, то утилита, которой нужен хеш пользователя имеет владельцем группу shadow и setgid. Т.е. при запуске становится не user:user, а user:shadow и получает доступ на чтение к /etc/tcb.

А ваши скрипты и программы, если root вас зачем-то не засунул в shadow доступа туда не получат.

atrus ★★★★★
(12.01.21 15:39:48 MSK)

Ответ на: комментарий от atrus 12.01.21 15:39:48 MSK

утилита, которой нужен хеш пользователя имеет владельцем группу shadow и setgid. Т.е. при запуске становится не user:user, а user:shadow и получает доступ на чтение к /etc/tcb

Теперь понятно.

hummer ★
(12.01.21 16:00:29 MSK) автор топика

Ссылка

Решето!

(просто давно хотел такое написать)

~~Shulman~~ ☆
(12.01.21 16:14:49 MSK)

Ссылка

Код, имеющий доступ к /etc/shadow проверен десятилетиями.

Прости, это не так работает.

hateyoufeel ★★★★★
(12.01.21 21:02:17 MSK)

/etc/shadow - как и юзеры в /etc/passwd - не нужны. Есть sssd с которым общение идет через сокет и который, в принципе, может работать вообще без рутовых привилегий.

Nastishka ★★★★★
(13.01.21 00:24:38 MSK)