/etc/passwd (was : Re: Samba - Browse list hlasi "This account is not authorised ..)
Martin Mačok
martin.macok na underground.cz
Pondělí Listopad 20 14:33:52 CET 2000
On Mon, Nov 20, 2000 at 02:13:31PM +0100, Milan Roubal wrote:
> >P.S. To neznamena, ze vyvesovat na nastenku /etc/passwd je dobra vec ...
> Hm tak zase o moc moudrejsi nejsem - pokud se to takhle neda
> pouzit na hacknuti, tak v cem je to uskali to nevyvesovat nikde venku?
Samozrejme ze primo znalost /etc/passwd system primo neohrozuje, jde jen
o jakysi dobry zvyk, aby pro 'vnejsi' lidi system poskytoval o sobe
pokud mozno co nejmene informaci. Jedna se o seznam uzivatelu (jejich
login name), jejich skutecna jmena, telefony ... ale i o verzi systemu,
verzi mailoveho serveru, verzi bindu ... cim mene toho potencialni
utocnik o systemu vi, tim mene ma voditek k pruniku. (a tim mene muze
byt system pro nej 'atraktivni').
Jeden konkretni aspekt znalosti /etc/passwd z ciziho serveru muze byt
ten, ze kdyz lamer hackne server B a zjisti, ze uzivatel Jesitny ma
heslo Jesitny a pak si na nastence precte, ze i na serveru X ma Jesitny
konto, tak to ma vetsinou 'zadara'.
Pokud by se jen zkousel naslepo hlasit na ruzna hadana loginname, tak by
nepoznal, zda tam to konto opravdu ma, anebo ma jen spatne heslo ...
(OK, uznavam, ze talk, smtp, finger apod. muze byt nastaven tak, ze ...
a jsme tam, kde jsme byli, ale snad jsem alespon naznacil ...).
Jde o celkovy pristup, cim mene informaci o sobe navenek server sdeluje,
tim lepe. Kdyz passwd zverejnite, nikdo vas nehackne, ale kdyz to
ho zverejnovat nemusite, nedelejte to ...
bye
--
< Martin Mačok .-= martin.macok na underground.cz =-. < iso-8859-2 >
\\. http://kocour.ms.mff.cuni.cz/~macok/ http://underground.cz/ .//
\\\.. `-= t.r.u.s.t n.0 o.n.e =-' ..///
Další informace o konferenci Linux