Postup autorizace

Dan Lukes dan at gw.nic.cz
Mon May 21 17:36:40 CEST 2001


Jakub Nesetril wrote:
> 
> Zdravim,
> 
> mam dost obskurni otazku - sam moc nevim kde zacit. Vcera mi na jednom FreeBSD 3.4 stroji "nejak" najednou prestala fungovat autorizace (standardnim heslem pres /etc/master.passwd). Jelikoz jsem mel na stroji zrovna otevreny root, zkusil jsem heslo zmenit a peclive si poznamenat. Zmena probehla uspesne, ale nove heslo take nefunguje.
> 
> O neco pozdeji spadlo spojeni. Situace je nyni takova, ze na stroji se 2ma accountama a rootem root a jeden account nechodi. Treti account funguje. Nefuguje su, nefunguje ssh, nefunguje login - zkratka mi prijde, ze to neni problem na urovni nejakeho programu ci demona, ale primo na urovni autorizace v systemu.

> Nema nekdo nejaky napad kde zacit / jak postupovat? Muze mi nekdo objasnit postup, kterym prochazi pozadavek na autorizaci?

	Moznosti jsou dve nejpravdepodobnejsi - bud doslo k nahrade DES/MD5
knihovny libcrypt.* za MD5 only verzi (ve skytecnosti je libcrypt.* link
na libdescrypt.* u kombinovane verze a na libscrypt.* u MD5 only). Pak
by prestaly fungovat vsechny DES hesla a fungovaly by pouze MD5.

	No a druha varianta je, ze je poskozen PAM system, pres ktery se
vetsina autentizaci (autentizace je to spravne slovo, reseny problem
nema nic spolecneho s autorizaci) provadi. Takze treba /etc/pam.conf
muze byt poskozen (jake tam mas radky zacinajici slovem "login" ?),
zmizela /usr/lib/libpam.so.* ci neco takoveho.

	Na consoli nebo to /var/log/messages se nic nepise ? Po zmene hesla -
zmeni se obsah /etc/master.passwd ? Jde se nalogovat, kdyz v nem rucne
(editaci pomoci vipw) nastavis heslo prazdne ? Co to vlastne znamena
"nejak prestala fungovat ... " - pise "Login incorrect" ?

								Dan


-- 
Dan Lukes            tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of info.nic.cz, www.freebsd.cz
AKA: dan at nic.cz, dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz



More information about the Users-l mailing list