sudo: 3 tentativi di password errati - root può vedere la password in chiaro?

19

Se alcuni utenti non riescono ad accedere a un comando con sudo3 volte, questo dovrebbe essere segnalato all'utente root nei log di accesso \ errori ..

Il root può vedere questi tentativi (come le password provate) nel testo nei log?

sudo  password  security 
maturo
fonte
4
Assunzione implicita: la radice non è il male. Se root sta già diventando malvagio quando si tenta di accedere, tutte le scommesse sono disattivate.
Giosuè,
Configurare qualcosa sulla maggior parte dei sistemi è banale, ma non fa parte di alcuna configurazione predefinita che conosco.
PlasmaHH,
2
Obbligatorio xkcd xkcd.com/838
Joe
Solo i conteggi dei tentativi errati vengono segnalati alla radice. La radice non riesce a vedere le password di accesso.
Mohammad Kholghi il

Risposte:

37

No, le password non sono registrate per impostazione predefinita. Questo sarebbe un problema di sicurezza, poiché i registri potrebbero essere letti da altri amministratori, consentendo la rappresentazione dell'utente in caso di password leggermente errata.

vidarlo
fonte
28

Tentativi di accesso riusciti e non riusciti vengono registrati 

/var/log/auth.log

Esempio di tentativo riuscito:

Oct 23 21:24:01 schijfwereld sudo: rinzwind : TTY=pts/0 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash
Oct 23 21:24:01 schijfwereld sudo: pam_unix(sudo:session): session opened for user root by (uid=0)

E senza successo:

Oct 23 21:25:33 schijfwereld sudo: pam_unix(sudo:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/1 ruser=rinzwind rhost=  user=rinzwind
Oct 23 21:26:02 schijfwereld sudo: rinzwind : 3 incorrect password attempts ; TTY=pts/1 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash

Registra il tentativo fallito e registra anche il totale di 3 password errate.

Le password per i sudotentativi non vengono mai visualizzate o memorizzate.

Rinzwind
fonte
4
L'unico modo in cui vengono registrate le password è in genere quando hai dimenticato di premere Invio dopo il nome utente. Quindi accedi come "Scott Tiger" invece che l'utente Scott con la password Tiger
Lenne
Ma non è colpa di
Sudo
@Lenne quando ciò accade a me (o altrimenti quando digito distrattamente la mia password invece di un comando), elimino la linea offensiva dalla cronologia della shell.
Zanna,
4

La prassi normale è non registrare le password utilizzate nei tentativi di accesso, anche se la password in questione non era valida. Questo semplicemente perché la password potrebbe essere valida per un altro utente sullo stesso sistema (ad es. L' utente ha sbagliato a digitare il proprio nome utente , non la password) o potrebbe essere una banale alternanza della password effettiva (l'utente ha perso una lettera o giù di lì).

Ognuno di questi casi lascerebbe una password in chiaro sul sistema, vulnerabile a una perdita di informazioni. (La password potrebbe anche essere una password valida per qualche altro sistema rispetto a quello in cui è stata inserita, ma questo è davvero un problema per "loro", non per "noi".)

In qualche modo collegati a questo sono i casi in cui un utente scrive la propria password al posto del proprio nome utente (ad es. Di solito usano un sistema che inserisce automaticamente il nome utente, ma ora non lo fa, ma ha comunque digitato la password come prima cosa). In tal caso, si avrebbe una password in chiaro nei registri. Questo non è ottimale, ma vedere i nomi utente per i soliti tentativi di accesso falliti è utile e non esiste una soluzione semplice per memorizzarli ma non le password inserite come nomi utente.

Detto questo, non c'è nulla che impedisca all'amministratore del sistema di avere le password anche nel sistema. L'aggiunta della registrazione potrebbe probabilmente essere fatta aggiungendo una chiamata syslog()e ricompilando il modulo PAM. (PAM è ciò che Ubuntu e sudousa, ma ovviamente lo stesso vale per le app Web e tutto il resto.)

Quindi, no, di solito un amministratore non può vedere le password inserite nel sistema, ma se inserisci la tua password su un sistema di cui non ti fidi, dovresti, a rigor di termini, considerarla persa e cambiarla.

ilkkachu
fonte
0

Più in generale, molto pochi programmi in unix mai log password effettivi in syslog o altrove - non c'è quasi mai una buona ragione per farlo, e ci sono buone ragioni in piedi , non a.

A causa del modo in cui le password sono sottoposte a hash, il sistema non è in grado di distinguere tra una password errata e un errore di battitura - Se la tua password era% $ zDF + 02G e hai digitato% $ ZDF + 02G, fallirai tanto quanto se digiti "rubberbabybuggybumpers", ma la registrazione della password non riuscita darebbe preziose informazioni a una terza parte malintenzionata che legge il registro.

Il caso uno che ho trovato in cui un programma ha fatto avere la capacità di registrare le password (e un caso d'uso in cui che sarebbe una buona idea) è in server RADIUS, in cui è possibile in un interruttore pizzico in più-informazioni-than- probabilmente desideravi la modalità di debug e poi aggiungi esplicitamente il flag che significa "sì, incluse le password" perché hai un client che non riesce a connettersi e devi escludere assolutamente ogni possibile causa ...

Shadur
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.