* [mdk-re] ðÏÔÅÎÃÉÁÌØÎÁÑ ÄÙÒÁ ÉÌÉ ÎÅÔ?
@ 2001-08-14 13:16 Roman S
2001-08-14 15:27 ` [mdk-re] Re: [mdk-re] Потенциальная дыра или нет? Dmitry V. Levin
0 siblings, 1 reply; 2+ messages in thread
From: Roman S @ 2001-08-14 13:16 UTC (permalink / raw)
To: mandrake-russian
Доброго дня!
Вчера случилась такая история:
У моих хороших знакомых позавчера уволили сисадмина
(было за что).
Вечером ребята попросили проаудитить, не оставил ли он
за собой каких-либо гадостей... (у них пост. канал в
интернет, многие цепляются к работе из дома).
И подозрения их замучали...
1) Конверт с паролем root-a есс-но не соответствовал...
Загрузился с дистрибутива Spring, поправил LILO,
загрузился в single.
Обнаружил в архиве логов интересную штуку - удалённый
вход через SSH по профилю, который уже был заблокирован!
У профиля в доме валялся SSH-ключик...
Времени особо не было, а учитывая то, что в системе
оказался root-kit, я по-быстрому переставил систему,
перезавёл пользователей, доконфигурил до потребностей....
В связи с тем, что сейчас нет системы для экспериментов
- Вопрос:
Это исходное отверстие в Slackware (вход по SSH
заблокированным пользователем) или "творчество"
администратора?
Если дыра, то есть ли в Spring?
Если есть, то как бороть?
Rgds!
Roman Savelyev
^ permalink raw reply [flat|nested] 2+ messages in thread
* [mdk-re] Re: [mdk-re] Потенциальная дыра или нет?
2001-08-14 13:16 [mdk-re] ðÏÔÅÎÃÉÁÌØÎÁÑ ÄÙÒÁ ÉÌÉ ÎÅÔ? Roman S
@ 2001-08-14 15:27 ` Dmitry V. Levin
0 siblings, 0 replies; 2+ messages in thread
From: Dmitry V. Levin @ 2001-08-14 15:27 UTC (permalink / raw)
To: ALT Linux Spring mailing list
[-- Attachment #1: Type: text/plain, Size: 1394 bytes --]
On Tue, Aug 14, 2001 at 01:20:10PM +0400, Roman S wrote:
> Обнаружил в архиве логов интересную штуку - удалённый
> вход через SSH по профилю, который уже был заблокирован!
Что понимается под "профиль, который уже был заблокирован"?
> У профиля в доме валялся SSH-ключик...
chown 0:0 ~профиль
chmod 0 ~профиль
userdel профиль
Эта последовательность надежно блокирует профиль. :)
> В связи с тем, что сейчас нет системы для экспериментов
> - Вопрос:
> Это исходное отверстие в Slackware (вход по SSH
> заблокированным пользователем) или "творчество"
> администратора?
Это специфика авторизации openssh при использовании ключа.
Поведением можно управлять при помощи /etc/pam.d/sshd, имея в виду, что
при авторизации по ключу "auth" обрабатываться не будет.
> Если дыра, то есть ли в Spring?
> Если есть, то как бороть?
В очередной версии, скорее всего, будет 2 pam-файла для openssh: один для
pam auth и другой для не-pam auth (например, по ключу). Ибо сейчас,
например, при авторизации по ключу строка
auth required /lib/security/pam_nologin.so
просто не отрабатывает.
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.ru/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2001-08-14 15:27 UTC | newest]
Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2001-08-14 13:16 [mdk-re] ðÏÔÅÎÃÉÁÌØÎÁÑ ÄÙÒÁ ÉÌÉ ÎÅÔ? Roman S
2001-08-14 15:27 ` [mdk-re] Re: [mdk-re] Потенциальная дыра или нет? Dmitry V. Levin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git