LINUX.ORG.RU
есть кто из ижевска?
Наушники на улицу для плеера
1 2
Ответ на: комментарий от Dark_SavanT

Тем не менее, ты не сказал как избежать ситуации с левым/подставным вторым доменом.

У тебя проблемы с логикой. Попробую объяснить почему (хотя сомневаюсь, что поймешь :-)). Рассматриваем ситуацию - рабочая станция на линуксе, настроен sssd для коннекта на LDAP-сервер.

Чтобы прикинуться другим пользователем, по твоему мнению достаточно создать фиктивный домен, из которого SSSD возьмет сфабрикованную информацию? А вот хрен - для того, чтобы это сделать, тебе потребуется права root, а если ты их имеешь - машина УЖЕ скомпрометирована и эскалация привилегий уже произошла. Просто подсунуть свой LDAP-сервер ты также не сможешь - ты не знаешь пароля машины и ключа сертификата истиного сервера. Если ты можешь их узнать - у тебя опять таки УЖЕ есть рут и машина УЖЕ скомпрометирована.

Итого, чтобы скомпрометировать путем «левого/подставного домена», машина уже должна быть скомпрометирована (злоумышленник должен уже иметь права root).

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

ты где нашёл хоть слово про linux? я про win системы. Linux в ldap мне загонять не доводилось и вероятнее всего в обозримом будущем не придётся.

Dark_SavanT ★★★★★
()
Ответ на: комментарий от Dark_SavanT

А никакой разницы. Чтобы ввести систему в домен нужны права администратора. А если они есть у злоумышленника - система скомпрометирована. Всё.

no-dashi ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
есть кто из ижевска?
Talks
Наушники на улицу для плеера