ls -l /etc/passwd
memberi
$ ls -l /etc/passwd
-rw-r--r-- 1 root root 1862 2011-06-15 21:59 /etc/passwd
Jadi pengguna biasa dapat membaca file. Apakah ini lubang keamanan?
Hash kata sandi yang sebenarnya disimpan /etc/shadow
, yang tidak dapat dibaca oleh pengguna biasa. /etc/passwd
menyimpan informasi lain tentang id dan shell pengguna yang harus dapat dibaca oleh semua pengguna agar sistem berfungsi.
/etc/shadow
. Penggunaan BSD/etc/master.passwd
. Solaris menggunakan/etc/security/passwd
. HP-UX menggunakan/.secure/etc/passwd
dan daftar berjalan ...Biasanya, kata sandi hash disimpan di
/etc/shadow
sebagian besar sistem Linux:(Mereka disimpan di
/etc/master.passwd
dalam sistem BSD .)Program yang perlu melakukan otentikasi masih perlu dijalankan dengan
root
hak istimewa:Jika Anda tidak menyukai
setuid root
program dan satu file tunggal yang berisi semua kata sandi hash pada sistem Anda, Anda dapat menggantinya dengan modul PAM Openwall TCB . Ini memberikan setiap pengguna dengan file mereka sendiri untuk menyimpan kata sandi hash mereka - sebagai akibatnya jumlahsetuid root
program pada sistem dapat dikurangi secara drastis.sumber
Kata sandi belum disimpan
/etc/passwd
selama bertahun-tahun sekarang; namanya warisan, fungsi menjadi basis data pengguna lokal tetap dan harus dibaca oleh semua untuk tujuan itu.sumber
Sampai batas tertentu, seperti Anda dapat mengidentifikasi pengguna. Di masa lalu Anda juga bisa mengambil kata sandi mereka. Namun, satu userid yang benar-benar layak untuk di-crack adalah
root
yang terkenal tanpa file password.Utilitas agar dunia file kata sandi dapat dibaca umumnya jauh lebih besar daripada risikonya. Bahkan jika itu tidak dapat dibaca dunia,
getent passwd
perintah yang berfungsi akan membuat keuntungan keamanan batal.Kemampuan bagi pengguna non-root untuk mengidentifikasi file yang dimiliki oleh orang lain akan hilang. Mampu mengidentifikasi yang dimiliki (pengguna dalam file passwd) dan file yang tidak dimiliki (pengguna tidak dalam file passwd) dapat berguna dalam meninjau konten sistem file. Meskipun mungkin untuk menyelesaikan ini dengan
setuid
program yang sesuai , itu akan menambah vektor serangan besar melalui program-program itu.Pada akhirnya ini adalah masalah keseimbangan, dan dalam hal ini saya akan mengatakan keseimbangan dengan kuat agar dunia kata sandi dapat dibaca.
sumber