Forum » Pomoč in nasveti » Izguba administratorskih pravic kot sudo uporabnik
Izguba administratorskih pravic kot sudo uporabnik
lebdim ::
Lepo pozdravljeni,
pojavila se mi je težava na Ubuntuju 18-10. Pri dodajanju novega uporabniškega računa (prav tako kot administrator) sem izgubil administratorske (sudo) pravice. Tako ne morem več uporabljati ukaza sudo in v terminalu mi vrne izpis:
Kako naj sebe ("uporabnik") dodam nazaj kot sudo uporabnik?
pojavila se mi je težava na Ubuntuju 18-10. Pri dodajanju novega uporabniškega računa (prav tako kot administrator) sem izgubil administratorske (sudo) pravice. Tako ne morem več uporabljati ukaza sudo in v terminalu mi vrne izpis:
"uporabnik" ni v datoteki sudoers. Ta dogodek bo zabeležen."
Kako naj sebe ("uporabnik") dodam nazaj kot sudo uporabnik?
Invictus ::
Saj imaš geslo za root?
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
lebdim ::
Sem popravil tako, da sem na isto particijo diska še enkrat naložil Ubuntu 18.10. Sedaj dela normalno.
Gapi ::
Da se ti je dalo. su bi uporabil, potem pa visudo in uredil sueders datoteko kot je treba.
No person is rich enough,to buy back his past.
BigWhale ::
Ahem.
Gesla za root nima, ker gre za Ubuntu. Zaradi tega tudi su ne bi deloval, ker za su potrebujes geslo uporabnika.
'Pravilna' resitev bi bila: boot v single user mode, popravljanje sudoers datoteke in spet normalen boot. Ce disk ni na kak drugacen nacin zasciten pred taksnimi recmi.
Gesla za root nima, ker gre za Ubuntu. Zaradi tega tudi su ne bi deloval, ker za su potrebujes geslo uporabnika.
'Pravilna' resitev bi bila: boot v single user mode, popravljanje sudoers datoteke in spet normalen boot. Ce disk ni na kak drugacen nacin zasciten pred taksnimi recmi.
lebdim ::
Sem poskusil vse živo, tako s sudoers datoteko kot z bootom in znotraj generic mode-a naštimat po korakih, pa ni bilo nič bolje in je še vedno pisalo, da nisem sudo.
BigWhale ::
username ALL=(ALL:ALL) ALL
Tole v /etc/sudoers da pravice uporabniku 'username' za sudo.
Ce tole ne dela, potem je nekaj drugega fejst narobe. :)
Tole v /etc/sudoers da pravice uporabniku 'username' za sudo.
Ce tole ne dela, potem je nekaj drugega fejst narobe. :)
Ales ::
Ta je dobra, reinstall sistema, fixed.
Saj si rešil zadevo, ampak ko ponovno narediš isti zajeb... boš kaj, še enkrat reinstaliral sistem? Slaba stran tega je, da nisi ugotovil ne zakaj je do napake prišlo in ne, kako jo dejansko odpraviti.
Mimogrede, ni slabo imeti backup /etc mape. Pa še česa, seveda.
Saj si rešil zadevo, ampak ko ponovno narediš isti zajeb... boš kaj, še enkrat reinstaliral sistem? Slaba stran tega je, da nisi ugotovil ne zakaj je do napake prišlo in ne, kako jo dejansko odpraviti.
Mimogrede, ni slabo imeti backup /etc mape. Pa še česa, seveda.
pegasus ::
Svoje sudo zadeve vtakneš v /etc/sudoers.d in ti jih upgrade ne bo povozil. Prav v ta namen obstaja množica .d direktorijev v /etc.
Invictus ::
Naslednjič raje naredi tole:
sudo passwd root
sudo passwd root
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
lebdim ::
Ok, hvala za nasvete . Super ste! Sej velikokrat uporabljam Ubuntu Help, StackOverFlow ali pa Ask Ubuntu.
Zgodovina sprememb…
- spremenil: lebdim ()
BigWhale ::
BivšiUser2 ::
ravno to da je root brez gesla je problem. stvar lahko počne dokler je doma, če bi to bilo v službi bi jo že zdavnaj zgubil
SloTech - če nisi z nami, si persona non grata.
WhiteAngel ::
'Pravilna' resitev bi bila: boot v single user mode, popravljanje sudoers datoteke in spet normalen boot. Ce disk ni na kak drugacen nacin zasciten pred taksnimi recmi.
Jaz ne bi sel sudoers datoteke spreminjat, ampak bi enostavno uporabnika nazaj v grupo "sudo" dodal: adduser <up. ime> sudo
WhiteAngel ::
BivšiUser2 je izjavil:
ravno to da je root brez gesla je problem. stvar lahko počne dokler je doma, če bi to bilo v službi bi jo že zdavnaj zgubil
Imeti geslo za root je slaba ideja - ravno to je bistvo sudoja - na sistemih, kjer imas vec uporabnikov, noces, da imajo vsi administratorji isto root geslo. Ce nekdo od njih npr. zamenja sluzbo, enostavno tistemu uporabniku odvzames pravico za sudo (ga vrzes ven iz sudo grupe). Ni treba spreminjati root gesla drugim.
zee ::
Se en glas proti uporabniku root. Sam ga uporabljam samo za zacetno namestitev. Ko se sistem prvic zazene "sam" - brez pomoci USB kljuca, ga promptno izklopim. Ni potrebe po tekanju okoli z nabito pistolo.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
BigWhale ::
BivšiUser2 je izjavil:
ravno to da je root brez gesla je problem. stvar lahko počne dokler je doma, če bi to bilo v službi bi jo že zdavnaj zgubil
Najvec slabih navad se prinese od doma. :)
WhiteAngel je izjavil:
'Pravilna' resitev bi bila: boot v single user mode, popravljanje sudoers datoteke in spet normalen boot. Ce disk ni na kak drugacen nacin zasciten pred taksnimi recmi.
Jaz ne bi sel sudoers datoteke spreminjat, ampak bi enostavno uporabnika nazaj v grupo "sudo" dodal: adduser <up. ime> sudo
To je boljsa resitev, ce vse deluje tako kot treba. Kolikor sem razbral iz posta, je OP uspel neki pokvarit. V tem primeru je edina stvar kar deluje pravilna sudoers datoteka.
Drugace pa ja, dodati uporabnika v admin/adm grupo ali pa dodati en file v sudoers.d direktorij.
Zgodovina sprememb…
- spremenil: BigWhale ()
BivšiUser2 ::
Mogočen jih ti prineseš od doma.BivšiUser2 je izjavil:
ravno to da je root brez gesla je problem. stvar lahko počne dokler je doma, če bi to bilo v službi bi jo že zdavnaj zgubil
Najvec slabih navad se prinese od doma. :)
SloTech - če nisi z nami, si persona non grata.
Zgodovina sprememb…
- predlagalo izbris: zee ()
Invictus ::
Naslednjič raje naredi tole:
sudo passwd root
Tega v bistvu nikol ne pocnes. Root je vedno brez gesla in mu ne dovolis prijave v sistem.
Ne pocet neumnosti.
Root mora imeti password. Sicer je password potem v zalepljeni kuverti za hude čase in dovolj kompliciran, da si ga ne zapomniš...
Edino kar disableš, je remote root login.
Ne učit neumnosti bodoče UNIXaše .
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
BigWhale ::
Neumnost in slaba praksa je to, da imas root account vklopljen in omogoceno prijavo. Remote ali ne-remote.
Gesla ze imas v kuverti ampak ne od root accounta.
Gesla ze imas v kuverti ampak ne od root accounta.
BivšiUser2 ::
Saj ob nenastavljenem geslom z bash programiranjem še hitreje zmanipuliraš root geslo in druge dele sistema. Torej ti BigWhale, ju3 na šiht prinesem skripto in spremenim (nastavim) root geslo + še nekaj v sistemu (da bo bolj odziven) in grem. Se dobiva v sredo na kavici, da bom lahko prebral odpoved, ki ti jo bo šef dal. Mimogrede, če se že o tem pogovarjamo, jaz se preko sshja logiram kot root.
SloTech - če nisi z nami, si persona non grata.
jukoz ::
BivšiUser2 je izjavil:
Mimogrede, če se že o tem pogovarjamo, jaz se preko sshja logiram kot root.
Bravo, priden. Odpustili te pa zaradi tega ne bodo ker ne delaš z računalniki.
SeMiNeSanja ::
Account brez passworda še nikoli ni bila dobra praksa.
Pa nima veze, na kakšen način je onemogočena uporaba tega accounta.
Če to velja že za navadne user accounte, pa to velja še toliko bolj za root account.
Pa ni to samo zaradi dobrih praks. Dvomim, da danes še obstaja kakšen varnostni standarda, ki bi dovoljeval user account brez gesla.
Pa nima veze, na kakšen način je onemogočena uporaba tega accounta.
Če to velja že za navadne user accounte, pa to velja še toliko bolj za root account.
Pa ni to samo zaradi dobrih praks. Dvomim, da danes še obstaja kakšen varnostni standarda, ki bi dovoljeval user account brez gesla.
BigWhale ::
Mogoce sem se narobe izrazil. Brez gesla ni blo misljeno, da account nima nastavljenega gesla in je mogoca prijava brez njega. :>
jype ::
SeMiNeSanja je izjavil:
Account brez passworda še nikoli ni bila dobra praksa.Res? Razsvetli nas.
SeMiNeSanja je izjavil:
Dvomim, da danes še obstaja kakšen varnostni standarda, ki bi dovoljeval user account brez gesla.A naj ne bi bil ti nekakšen varnostni strokovnjak?
Zgodovina sprememb…
- spremenilo: jype ()
c3p0 ::
Če je hkrati še blokiran za login (kar seveda je), je dobra praksa.
Zgodovina sprememb…
- spremenil: c3p0 ()
SeMiNeSanja ::
Če je hkrati še blokiran za login (kar seveda je), je dobra praksa.
NI.
Še vedno namreč obstaja možnost, da se ta blokada pomotoma odstrani. Takrat pa ne bo nobenega gesla, ki bi varovalo account.
Če je topic govoril o tem, kako se je pofedlal sudo sistem, potem v istem topicu hvalite, kako vsemogočna je pa blokada za login?
Kaj še nihče ni slišal za zadevo, ki se ji reče 'človeška napaka'?
Ko se ta zgodi.... ne vem.... jaz takrat zagotovo ne želim imeti katerikoli account brez gesla, kaj šele root account.
Sem paranoik? Paničar? Mogoče... ampak še vedno bolje to, kakor pa da po x mesecih ugotoviš, da se ti je lahko vsak bebo priklapljal kot root na mašino ali celo omrežje.
Tr0n ::
Ah ti linuxasi s passwordless root accounti. V Windows ima da ima tudi administrator strong password, ne pa ta linux larifari.
jype ::
SeMiNeSanja je izjavil:
Kaj še nihče ni slišal za zadevo, ki se ji reče 'človeška napaka'?Smo, ja. Lažje jo je storiti, če je geslo nastavljeno, kot če ni.
"Brez gesla" ne pomeni, da "se lahko prijaviš brez gesla", temveč, da "nobeno geslo ni pravo".
Zgodovina sprememb…
- spremenilo: jype ()
BivšiUser2 ::
Ne bodo me odpustili, ker to delam na domači napravi in ne vejo.BivšiUser2 je izjavil:
Mimogrede, če se že o tem pogovarjamo, jaz se preko sshja logiram kot root.
Bravo, priden. Odpustili te pa zaradi tega ne bodo ker ne delaš z računalniki.
SloTech - če nisi z nami, si persona non grata.
BigWhale ::
SeMiNeSanja je izjavil:
Kaj še nihče ni slišal za zadevo, ki se ji reče 'človeška napaka'?Smo, ja. Lažje jo je storiti, če je geslo nastavljeno, kot če ni.
"Brez gesla" ne pomeni, da "se lahko prijaviš brez gesla", temveč, da "nobeno geslo ni pravo".
Nimam nic za pripomnit, sam 'retweetam', ce slucajno kdo prejsnjih dveh sporocil ni videl in razumel. :>
c3p0 ::
SeMiNeSanja je izjavil:
Če je hkrati še blokiran za login (kar seveda je), je dobra praksa.
NI.
Bi moral biti kar nesposobno kreativen, da bi omogočil login brez gesla. Že OpenSSH ima po defaultu "PermitEmptyPasswords no".
SeMiNeSanja ::
Ekhm.....
kaj pri pojmu 'človeška napaka' ni razumljivo?
Človeška napaka je tudi to, da nekdo spremeni default.
OP-u je tudi odpovedal 'default', da lahko uporablja sudo. Katerikoli default lahko 'odpove'. Sploh, ko se vplete človeški faktor.
Jaz drugače definitivno nisem linux guru, ampak imam občutek, da bolj ali manj govorite o določenih distribucijah, ne pa o univerzalnih principih in praksah, ki delujejo tudi izven npr. Ubuntu-ja ali karkoli že 'obvladate' v nulo.
Ko sem jaz nazadnje nameščal SUSE, je bil default, da root NI brez gesla, enako ESXi, medtem ko je Kali imel že prednastavljenega... Pa presneto, če me tudi Ubuntu ni spraševal za root geslo...
S 'čistokrvnimi' Unix sistemi se pa že kar nekaj let nisem igral, da bi lahko kaj rekel o defaultih.
Pri vsem tem pa nimaš opravka le z interaktivnimi servisi!
Na koncu pod črto - če se iz kateregekoli razloga zaobide tisti 'account disabled' (se sploh lahko disabla root account?), je še vedno bolje, da ima account geslo, saj je to zadnja varovalka. Disablaš ga lahko še vedno!
Bistvo ni v tem, kaj 'lahko' narediš, temveč kaj je bolj varno naresti, kaj predstavlja še dodatno oviro na poti k hoteni ali nehoteni kompromitaciji kateregakoli sistema. To, da imaš Linux XY, ki pod idealnimi pogoji ne dovoljuje interaktivnega logona za accounte brez gesla, ne sme biti izgovor.
Sploh pa je zanimivo, da je root geslo za vas tako zelo problematično, hkrati pa ni problem talat sudo pravice, preko katerih uporabniki dobijo enake pravice kot root account. Se samo meni zdi, da tukaj nekaj ne štima z logiko?
Root geslo je problematično predvsem zato, ker je 'anonimno'. Ampak večinoma lahko enako škodo naredi vsakdo, ki ima sudo pravice. Če ve kaj počne, bo tudi odstranil sledove tega početja. Že res, da je možno omejevati, kaj sudo uporabnik sme početi - ampak resno: na koliko sistemih imate to v nulo skonfigurirano, da nek sudo uporabnik X ne more naresti štale, če preide na 'temno stran'?
Mogoče je problem v tem, da linuxaši razmišljate tako, kot da bi obstajali samo Linux sistemi in še to samo tisti vaše priljubljene Linux pasme. Potem se fokusirate na neke posebnosti, ki jih omogoča tista pasma.
Jaz si pač ne morem privoščiti, da se bom z vsako Linux pasmo posebej ukvarjal, če ima še kje kakšno skrito finto. Bilo bi lahko celo nevarno, saj bi zaradi človeške napake lahko predpostavljal, da neka druga pasma enako deluje....dokler nebi na najbolj boleč način moral spoznati, da to ne drži.
Vsak ima svoj način dela in svoje poglede.
Ker ni nobeno okolje 'Linux-only', nisem in ne bom zagovornik nekih politik, ki so 'Linux-only', sploh pa ne takih, ki so primerne samo za določeno Linux pasmo. Politike morajo biti čim bolj univerzalne, poenotene za vse platforme, tako da se kasneje ne more kdo izgovarjati, da 'tega pa ni vedel'. Manj ko je izjem, manj je možnosti, da nekdo nečesa 'ne bo vedel'.
Če nisem zagovornik, pa to še ne pomeni, da pod določenimi pogoji takšne politike ne morejo biti legitimne.
kaj pri pojmu 'človeška napaka' ni razumljivo?
Človeška napaka je tudi to, da nekdo spremeni default.
OP-u je tudi odpovedal 'default', da lahko uporablja sudo. Katerikoli default lahko 'odpove'. Sploh, ko se vplete človeški faktor.
Jaz drugače definitivno nisem linux guru, ampak imam občutek, da bolj ali manj govorite o določenih distribucijah, ne pa o univerzalnih principih in praksah, ki delujejo tudi izven npr. Ubuntu-ja ali karkoli že 'obvladate' v nulo.
Ko sem jaz nazadnje nameščal SUSE, je bil default, da root NI brez gesla, enako ESXi, medtem ko je Kali imel že prednastavljenega... Pa presneto, če me tudi Ubuntu ni spraševal za root geslo...
S 'čistokrvnimi' Unix sistemi se pa že kar nekaj let nisem igral, da bi lahko kaj rekel o defaultih.
Pri vsem tem pa nimaš opravka le z interaktivnimi servisi!
Na koncu pod črto - če se iz kateregekoli razloga zaobide tisti 'account disabled' (se sploh lahko disabla root account?), je še vedno bolje, da ima account geslo, saj je to zadnja varovalka. Disablaš ga lahko še vedno!
Bistvo ni v tem, kaj 'lahko' narediš, temveč kaj je bolj varno naresti, kaj predstavlja še dodatno oviro na poti k hoteni ali nehoteni kompromitaciji kateregakoli sistema. To, da imaš Linux XY, ki pod idealnimi pogoji ne dovoljuje interaktivnega logona za accounte brez gesla, ne sme biti izgovor.
Sploh pa je zanimivo, da je root geslo za vas tako zelo problematično, hkrati pa ni problem talat sudo pravice, preko katerih uporabniki dobijo enake pravice kot root account. Se samo meni zdi, da tukaj nekaj ne štima z logiko?
Root geslo je problematično predvsem zato, ker je 'anonimno'. Ampak večinoma lahko enako škodo naredi vsakdo, ki ima sudo pravice. Če ve kaj počne, bo tudi odstranil sledove tega početja. Že res, da je možno omejevati, kaj sudo uporabnik sme početi - ampak resno: na koliko sistemih imate to v nulo skonfigurirano, da nek sudo uporabnik X ne more naresti štale, če preide na 'temno stran'?
Mogoče je problem v tem, da linuxaši razmišljate tako, kot da bi obstajali samo Linux sistemi in še to samo tisti vaše priljubljene Linux pasme. Potem se fokusirate na neke posebnosti, ki jih omogoča tista pasma.
Jaz si pač ne morem privoščiti, da se bom z vsako Linux pasmo posebej ukvarjal, če ima še kje kakšno skrito finto. Bilo bi lahko celo nevarno, saj bi zaradi človeške napake lahko predpostavljal, da neka druga pasma enako deluje....dokler nebi na najbolj boleč način moral spoznati, da to ne drži.
Vsak ima svoj način dela in svoje poglede.
Ker ni nobeno okolje 'Linux-only', nisem in ne bom zagovornik nekih politik, ki so 'Linux-only', sploh pa ne takih, ki so primerne samo za določeno Linux pasmo. Politike morajo biti čim bolj univerzalne, poenotene za vse platforme, tako da se kasneje ne more kdo izgovarjati, da 'tega pa ni vedel'. Manj ko je izjem, manj je možnosti, da nekdo nečesa 'ne bo vedel'.
Če nisem zagovornik, pa to še ne pomeni, da pod določenimi pogoji takšne politike ne morejo biti legitimne.
jype ::
SeMiNeSanja je izjavil:
Na koncu pod črto - če se iz kateregekoli razloga zaobide tisti 'account disabled' (se sploh lahko disabla root account?), je še vedno bolje, da ima account geslo, saj je to zadnja varovalka. Disablaš ga lahko še vedno!Ti bomo razložili, kako to gre (v ubuntu, pri katerem so se IMO pravilno odločili, da bodo posrkbeli, da root račun "nima gesla"):
Dostop do računa ni onemogočen, le nastavljeno ima takšno zgoščeno vrednost gesla, ki mu nobeno geslo ne ustreza. To pomeni, da se v root račun lahko prijaviš le z uporabo drugega uporabniškega imena z ustreznimi pravicami, kar malce zmanjša možnost, da bi kdorkoli lahko s poizkušanjem uporabniškega imena "root" in različnih gesel pridobil dostop do sistema (glede na dnevniške datoteke številnih v internet povezanih strežnikov, se taki poizkusi še vedno redno dogajajo).
SeMiNeSanja je izjavil:
Politike morajo biti čim bolj univerzalne, poenotene za vse platforme, tako da se kasneje ne more kdo izgovarjati, da 'tega pa ni vedel'. Manj ko je izjem, manj je možnosti, da nekdo nečesa 'ne bo vedel'.Politike morajo biti čim bolje prilagojene varnosti vsakega specifičnega okolja. K sreči gesla vedno hitreje postajajo zgodovina, ker predstavljajo daleč najšibkejši člen v varnosti kompleksnih sistemov.
c3p0 ::
Zdaj bo rekel, da bi pa nekdo lahko to geslo odstranil in SSH nastavil, da dovoli login brez gesla. Ja, itak. Pred neumnostjo ni zaščite. Vsak sistem lahko z dovolj truda narediš ranljiv.
> Potem se fokusirate na neke posebnosti, ki jih omogoča tista pasma.
Ponavadi se uporablja en distro, morda dva (v mojem primeru Centos/Debian) in ta dva pač odlično poznaš. Kar ne pomeni, da ne bi znal zasigurat poljubnega distroja, če bi bila potreba.
Ampak v časih clouda, IaC, izzivi tičijo drugje, login z geslom je itak ena zastarela zadeva, ki bolj paše v čase telneta.
> Potem se fokusirate na neke posebnosti, ki jih omogoča tista pasma.
Ponavadi se uporablja en distro, morda dva (v mojem primeru Centos/Debian) in ta dva pač odlično poznaš. Kar ne pomeni, da ne bi znal zasigurat poljubnega distroja, če bi bila potreba.
Ampak v časih clouda, IaC, izzivi tičijo drugje, login z geslom je itak ena zastarela zadeva, ki bolj paše v čase telneta.
Invictus ::
Login z geslom bo ostal še kar dolgo...
Ker je kljub vsemu najmanj občutljiv na človeške napake.
Ker je kljub vsemu najmanj občutljiv na človeške napake.
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
SeMiNeSanja ::
Hvala za pojasnilo.
Torej JE geslo nastavljeno. Le da na neko random vrednost, ki jo ne poznaš.
Kaj pa Rainbow tables?
Se strinjam - samo kar imava različno gledišče: ti gledaš 'specifično okolje' na mikro nivoju, jaz pa na makro nivoju. Drugače povedano: ti gledaš 'tvoje' Linux škatle, jaz gledam pa vse, kar visi na mreži in iščem smiselne in uporabne 'skupne imenovalce', da bi se v čim večji meri izognil nekim izjemam, da bi se ohranjalo splošno politiko čim bolj enostavno in pregledno.
Seveda pa so v določenih primerih izjeme smiselne in nujne.
Kako že rečejo... "izjeme potrjujejo pravilo" ?
Dostop do računa ni onemogočen, le nastavljeno ima takšno zgoščeno vrednost gesla, ki mu nobeno geslo ne ustreza.
Torej JE geslo nastavljeno. Le da na neko random vrednost, ki jo ne poznaš.
Kaj pa Rainbow tables?
Politike morajo biti čim bolje prilagojene varnosti vsakega specifičnega okolja. K sreči gesla vedno hitreje postajajo zgodovina, ker predstavljajo daleč najšibkejši člen v varnosti kompleksnih sistemov.
Se strinjam - samo kar imava različno gledišče: ti gledaš 'specifično okolje' na mikro nivoju, jaz pa na makro nivoju. Drugače povedano: ti gledaš 'tvoje' Linux škatle, jaz gledam pa vse, kar visi na mreži in iščem smiselne in uporabne 'skupne imenovalce', da bi se v čim večji meri izognil nekim izjemam, da bi se ohranjalo splošno politiko čim bolj enostavno in pregledno.
Seveda pa so v določenih primerih izjeme smiselne in nujne.
Kako že rečejo... "izjeme potrjujejo pravilo" ?
SeMiNeSanja ::
Login z geslom bo ostal še kar dolgo...
Ker je kljub vsemu najmanj občutljiv na človeške napake.
Odkar se igram tudi z 2FA, me predvsem moti, da je password avtentikacija tako globoko vkoreninjena v sisteme, da jo 3rd party ponudniki praktično ne morejo v celoti nadgraditi s svojo 2FA alternativo.
Tako npr. lahko rešijo interaktivni login, medtem ko na nivoju network login-a ali servisov vse ostaja po starem.
Npr. Authpoint ponuja zamenjavo za Windows logon. Krasno - tako imaš zavarovan dostop na 'konzoli' in preko RDP. Ne pa tudi na nivoju network servisov (npr. dostop do share-ov). Ravno tako nimaš z 2FA zavarovan SSH dostop do Windows sistema, itd.
Na Linux je malenkost bolje kot na Windows, ker lahko PAM 'spentljaš' z Radius-om...
Skratka zadeve še zdaleč niso tam, kjer bi bilo dobro, da bi bile.
Že res da počasi napredujejo, a pot je še dolga.
Še daljša pa je pot do dejanske akceptance 2FA v podjetjih. Bolj ali manj jo prevzamejo tam, kjer jim jo neki zunanji ponudniki vsilijo (npr. e-bančništvo). Morali pa bi o 2FA razmišljati za praktično vse oddaljene dostope do omrežja in storitev podjetja.
c3p0 ::
SeMiNeSanja je izjavil:
Torej JE geslo nastavljeno. Le da na neko random vrednost, ki jo ne poznaš.
Kaj pa Rainbow tables?
Sam ne vidim, da bi bilo nastavljeno, morda na katerem distro je. Kje boš pa dobil hash gesla?
GupeM ::
SeMiNeSanja je izjavil:
Torej JE geslo nastavljeno. Le da na neko random vrednost, ki jo ne poznaš.
Kaj pa Rainbow tables?
Zgoščena vrednost gesla je lahko nastavljena na recimo '1234567890ABC'. Nobeno geslo te zgoščene vrednosti ne more zgenerirati, ker je zgoščena vrednost kateregakoli gesla dolga recimo 32 znakov. Ta, ki je nastavljena, pa ima samo 13 znakov, zato ti ne pomagajo nobene mavrične tabele, nobeno poskušanje in nič.
To je samo teoretična razlaga, kako nobeno geslo ne more ustrezati nastavljeni zgoščeni vrednosti. Kako je v praksi, ne vem. Lahko da zgoščena vrednost ni nastavljena, lahko da je nastavljena na neko vrednost, ki je iz gesla lahko zgenerirana (to bi bila varnostna pomanjkljivost), lahko pa, da je tako, kot sem opisal zgoraj.
Zgodovina sprememb…
- spremenil: GupeM ()
c3p0 ::
jype ::
SeMiNeSanja je izjavil:
Torej JE geslo nastavljeno. Le da na neko random vrednost, ki jo ne poznaš.Ne. Nastavljeno je na vrednost, ki ne obstaja. Zgoščen zapis ne ustreza nobenemu dejanskemu geslu. Običajno je zapisan klicaj (!).
Zgodovina sprememb…
- spremenilo: jype ()
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Torej JE geslo nastavljeno. Le da na neko random vrednost, ki jo ne poznaš.Ne. Nastavljeno je na vrednost, ki ne obstaja. Zgoščen zapis ne ustreza nobenemu dejanskemu geslu. Običajno je zapisan klicaj (!).
Že že....ampak poanta je bila glede tega, ali geslo je ali ni nastavljeno.
Prvotna trditev je bila, da ni nastavljeno. Vendar si dejansko potrdil, da je 'nekaj' nastavljeno kot geslo.
Ali je to zdaj 'razrešljivo' ali ne, niti ne igra bistvene vloge pri tem, kar sem jaz trdil: da ni dobro imeti accounta brez gesla.
Kljub temu, pa to še vedno ne reši problema sudo uporabnikov, ki imajo lahko šibka gesla, gesla lepijo na ekrane, pod tipkovnice,....
V bistvu si problem root accounta zgolj distribuiral na več uporabniških accountov s sudo pravicami. Res je, da si tako vsem znani username root umaknil iz prometa - si pa pridobil druge accounte, ki jih je nekoliko težje uganiti - a hkrati tudi težje nadzorovati.
Res je, da si s poti umaknil eno geslo, katerega vsi poznajo - pridobil pa si nekaj novih accountov, za katere ne veš, kako solidna gesla imajo in kako jih varujejo posamezniki.
Če zavihaš rokave in se zakoplješ v sudo konfiguracijo to sicer lahko nekoliko omiliš, toda malo kdo se še potrudi na tem nivoju kaj dosti ponastavljati. Tako dobiš kopico 'root' accountov z drugačnimi username-i. Običajno ti potem tudi iz remote lahko delajo sudo, tako da si nekako mečeš pesek v oči, če se prepričuješ, da si nevemkaj rešil s tem.
No, k sreči ponavadi na enemu sistemu ni 50 uporabnikov s sudo pravicami. Tako da je zgoraj navedeni problem relativen in narašča s številom uporabnikov, ki imajo sudo pravice. Če sta to le dva, ni razloga za paniko. Pri 10-ih pa bi že dobro premislil, če se nebi malo globlje zakopal v konfiguracijo sudo-ja.
GupeM ::
Tebi se pa res ne sanja.
Nič ni nastavljeno kot geslo. ! je nastavljen kot zgoščena vrednost, ne kot geslo.
Šibka gesla je možno preprečiti, na ekrane in pod tipkovnice pa lahko nalepijo tudi geslo za root. Lahko ga tudi nekomu povejo. Če imaš 10 sudo uporabnikov, to pomeni, da bi v tem primeru 10 uporabnikov moralo poznati geslo za root. To pomeni, da ima 10 ljudi lahko na ekran nalepljeno geslo za root. Kaj je pri tem drugače, kot če ima 10 uporabnikov nalepljeno svoje geslo?
Nič ni nastavljeno kot geslo. ! je nastavljen kot zgoščena vrednost, ne kot geslo.
Šibka gesla je možno preprečiti, na ekrane in pod tipkovnice pa lahko nalepijo tudi geslo za root. Lahko ga tudi nekomu povejo. Če imaš 10 sudo uporabnikov, to pomeni, da bi v tem primeru 10 uporabnikov moralo poznati geslo za root. To pomeni, da ima 10 ljudi lahko na ekran nalepljeno geslo za root. Kaj je pri tem drugače, kot če ima 10 uporabnikov nalepljeno svoje geslo?
SeMiNeSanja ::
@GupeM - pa si sploh prebral, kar sem napisal? Try harder!
No, razen če na noben način nočeš priznati da imam vsaj delno prav... potem pa pač nek znak, ki je zapisan tam, kjer sistem pričakuje zgoščeno vrednost gesla ne predstavlja (nerazrešljive) zgoščene vrednosti gesla. Pismu, kakšno dlakocepljenje!
No, razen če na noben način nočeš priznati da imam vsaj delno prav... potem pa pač nek znak, ki je zapisan tam, kjer sistem pričakuje zgoščeno vrednost gesla ne predstavlja (nerazrešljive) zgoščene vrednosti gesla. Pismu, kakšno dlakocepljenje!
GupeM ::
SeMiNeSanja je izjavil:
@GupeM - pa si sploh prebral, kar sem napisal? Try harder!
No, razen če na noben način nočeš priznati da imam vsaj delno prav... potem pa pač nek znak, ki je zapisan tam, kjer sistem pričakuje zgoščeno vrednost gesla ne predstavlja (nerazrešljive) zgoščene vrednosti gesla. Pismu, kakšno dlakocepljenje!
Bolje dlakocepljenje z dejstvi, kot generalno nabijanje v prazno. In ne, nimaš prav. Niti delno.
Zgodovina sprememb…
- spremenil: GupeM ()
BivšiUser2 ::
To nategovanje drug drugega je itak brezvreze, ker je Linux opensource, in bo prej ali slej kdo našel exploit kako priti do root accounta brez kakršnekoli "zgoščene" vrednosti.
SloTech - če nisi z nami, si persona non grata.
SeMiNeSanja ::
BivšiUser2 je izjavil:
To nategovanje drug drugega je itak brezvreze, ker je Linux opensource, in bo prej ali slej kdo našel exploit kako priti do root accounta brez kakršnekoli "zgoščene" vrednosti.
Just google "Linux privilege escalation"
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | NLB ukinitev certifikatov ? (strani: 1 2 3 4 … 11 12 13 14 )Oddelek: Loža | 135802 (42811) | WizzardOfOZ |
» | Varna gesla po vladnoOddelek: Programiranje | 6853 (5258) | AndrejO |
» | Vdor v Binance hekerje obogatil za 7000 bitcoinovOddelek: Novice / Kriptovalute | 10916 (8375) | Machete |
» | Huda varnostna luknja v macOSOddelek: Novice / Varnost | 7008 (4190) | Zvezdica27 |
» | MacGuard nova verzija MacDefenderjaOddelek: Novice / Apple iPhone/iPad/iPod | 3861 (3110) | kriko1 |