Názory k článku Začínáme bezpečně s FreeBSD (2)

Zeptam se znova - jak nastavim minimalni vek hesla a pocet hesel co se bude pamatovat? Pokud tyhle dve veci nemuzu nastavit tak nic nezabrani uzivatelum aby si po vyprseni hesla nezmenili heslo na nejaky docasny a hnedka zpatky na to co meli (co jim zrovna vyprselo), cimz je cely koncept vyprseni hesel naprosto o nicem.

Muzu Te ujistit ze to kam smerujes povede k jedinemu. K heslum:
1.heslo: aaaaaaa
2.heslo: bbbbbbb
3.heslo: ccccccc
4.heslo: ddddddd
....

Protoze "kdo si ma pamatovat ty hesla".

Na druhou stranu hodilo by se to vedet. Aspon teoreticky.

K temhle heslum to nepovede, protoze neprojdou slozitosti :) A samozrejme pokud ti nevadi ze uzivatele maj jedno a to samy heslo porad tak jim preci nebudes nastavovat maximalni vek hesla. Mne jen zajimalo jak udelat bezpecnej system, kde se ty hesla menit musi.

Choose two:
1) Hesla se pravidelne meni
2) Hesla nejsou trivialni
3) Uzivatel nema heslo napsane na listecku prilepenem k monitoru

Bezpecny system neudelas.

Udelas, kdyz mas hesla napsany nekde na listecku a to nekde je v zamknuty serverovne do ktery ma pristup nekolik malo lidi. Ucelem je hodne zneprijemnit remote utoky, fyzicky utoky sou relativne jednoduse zjistitelny (serverovna ma elektronicky zamky a kamery, kde si muzes najit kdo tam kdy byl). Takze jedine 1 a 2 :) Jinak nejlepsi bude asi 4) Pouzivani smart karet, kde uzivatel heslo ani nezna, kde je heslo hooodne slozity (protoze muze byt vice mene nahodny) a kde se meni hodne casto (protoze si ho uzivatel nemusi pamatovat).

A jeste pridam: ja sem tohle zacal kvuli tomu ze mi prijde nesmyslny mit moznost dat maximalni vek hesla kdyz to bez techhle dvou dalsich nastaveni je to naprosto neefektivni.

Tohle je featura, ktera me naprosto neskutecne toci. Proc bych si mel neustale menit hesla? Akorat to vede k tomu, ze nevim, kde jaky heslo mam.
Driv, nez jsem se dostal k takhle nastavenymu systemu, jsem mel hesla stylu 0kW4kf0c, ktera jsem nemenil. Pri psani vsema deseti se tohle fakt blbe okoukava, blbe rippuje.
Ted mam hesla ve stylu pepik123, auticko, kolobezka. Proste neco, co se dobre pamatuje, dobre zkousi a dobre meni.

zajimave... reseni bude http://www.freebsd.org/cgi/man.cgi?query=pam_passwdqc&sektion=8 bohuzel je to standartne az v 5.x verzi

mno to pamatovani hesel IMHO standartne dost dobre nejde diky strukture passwd. ale nemusel by byt problem passwd trochu upravit tak, aby stara hesla ukladal za sebe jeste nekam jinam a pri kazde zmene je zkontroloval. mozna uz to i nekdo tak udelal, nevim.

Jo - kerberos. Podporuje freeBSD kerberos ?

ano

No to si delate legraci? Uvedomte si, ze vetsina administratorskych features linuxu prisla z BSD.

Navic v BSD, jako kompletnim OS, jsou takove veci homogenne integrovany napric celym OS (na rozdil od Linuxu).

Pripravte se, ze vas serial jeste prekvapi tim, co se v BSD pouziva nejmene deset let.

To redakce:
Ta tabulka s typy souboru, co je hned v prvni kapitole (passwd, master.passwd atd.) je ve verzi pro tisk vypsana cernym pismem na cernem papiru - neni tam nic videt. Mozna by nebylo od veci to trochu zmenit (navrhoval bych bily papir).

Dejv.

Hraji si doma s freebsd 5.2.1 a bohužel má víra v něj utrpěla ve chvíli, kdy jsem napojil usb disk. Došlo ke crashi (jádro GENERIC) a po rebootu to po rootovi nechtělo žádné heslo - docela šok. Tak nevím, je to normální?

Myslim, ze v takovem stavu jsi nemel spusteneho daemona sshd a ani jinou sluzbu, ktera by byla dostupna ze site. Takze riziko ownuti systemu nebylo zase tak velike ne? A kdyz uz nekdo ma pristup fyzicky k PC, tak na to je kazde OS kratkej (jedine sifrovanej HDD/RAID).
V cem je tedy problem?
no a jestli se pletu, tak me ignorujte :)

Ano, je to jen lokální záležitost, ale zarazilo mě to a moc se mi to nelíbilo.

Vas OS nepodporuje single user mod?

Jo, to bude ono, dík za trknutí :-))

Problem je v tom, ze USB ve FreeBSD schazuje cely OS. Uz se o tom jednou psalo.

To je bohuzel kruta realita dneska.

Vas prizpevek mi pripada penekud zavadejici, tak mi prosim odpuste ze Vas doplnim.

4.x rada mi s USB nikdy nespadla, mozna se o tom nekde psalo, ale me se to nestalo. pravdou je ze podpora USB ve 4kove rade je uboha a jedine co jsem pouzival, byl USB disk.

5kova rada ma sirsi podporu USB zarizeni a nektere zarizeni (osobne mam zkusenost s nekterymi fotaky) shodi cely system.

neni "celou pravdou" ze FreeBSD je shazovano USB.
a je nepravdou ze jakekoliv FreeBSD ma problemy s jakymkoliv USB zarizenim.

Ze konkretne Vam 4.x rada nespadla, rozhodne neznamena, ze tato rada nema s USB problemy. A to jak s USB disky, tak s Palmem. Staci si jen pohrat s vytahovanim techto zarizeni. Je ale zajimave, ze se to projevilo jen s nekterymi USB disky.

Souhlasim. FreeBSD neni shazovano USB, ale samo sebou. Tj. spatne napsanym kodem nekde od ovladace vys. A rozhodne FreeBSD nema problemy s cimkoli. Problemy maji jen jeho uzivatele. Tak nejak jste to myslel?

Jo, jo, tech realit je tam bohužel více. Např. bych chtěl v konzole větší rozlišení než 800x600, jenže smolík... Ale zase chápu, že to není životně důležitá fíčura pro tento typ OS

a proc by to nemelo jit? man loader.conf

pokud se nakopl disk takovym zpusobem ze ho fsck bez pomoci uzivatele nedokazal opravit tak system sam nabehne do singlu (neco jako runlevel0) zepta se pouze na shell, pokud chcete aby i v tomto pripade vyzadoval heslo, staci zmenit v /etc/ttys

console none unknown off secure

na insecure

potom bude system vyzadovat prihlaseni se i v jednouzivatelskem rezimu.

pri fysickem pristupu k PC neni problem nabootovat z jineho media, mountnout puvodni disk a zmenit heslo (puvodni muze zazalohovat a po utoku vratit zpet, takze nic nepoznate). na druhou stranu v singlu nebezi zadne sitove sluzby a vzdalene neni mozne takoveho invalidu zkompromitovat

Původně jsem Váš příspěvek přehlédl, takže ještě jednou dík za trknutí. S unix-like systémy teprve začínám...

Ako bolo spomenute, existuje niekolko sposobov... ja ich tiez pouzivam podla situacie, ale tento sa mi paci najviac:

niekde do $PATH si pridam jednoduchucky user_ban script

!#/bin/sh
echo "sHell konto je zablokovane, smola :)"

no a pridam ho ako shell do /etc/shells

a nastavim cez vipw do /etc/passwd ako shell

Simple trik, kt. blokuje len sHell a ostatne nie :).

trik je to peknej, ale napriklad stahovani posty pres pop3 a imap nezabrani. zablokuje to pouze sluzby vyzadujici shell (ssh, telnet, ftp)

vyrazne doporucuju psat do takovychto scriptu absolutni cestu k souborum (/bin/echo).

budu sHell a budu cekat ze se me pokusi admin zastavit timto scriptem. nastavim si v .prifile promenou PATH=/home/sHell/bin:/bin:/sbin... a nalinkuju /bin/sh -> /home/sHell/bin/echo

smola :(

@jam, ved o to mi islo, trik blokuje len shell, nie pop3, nie imap... atd. presne na tento ucel ho pouzivam... druha vec, ze tie absolutne cesty su dobry napad :).

/sbin/nologin je filozoficky inde nez trik

Co kdyz se nekdo s takovym shelem provede toto:

[kvetak@sklenik]# ssh servrik /bin/sh

??

toto mu nepomuze, protoze prikaz /bin/sh bude spusten v prostredi shellu user_ban, ktery tento prikaz nevykona.

jinak Vase myslenka (ne tak vysperkovana) ve FreeBSD pochopitelne je pouzita a hojne se vyuziva:
/sbin/nologin

Dobry den,
hram sa momentalne s FreeBSD 4.10 RC1 a nemozem sa pripojit na ssh. Ked sa prihlasujem zo svojho slackwaru tak mi nezoberie heslo, ked sa prihlasujem zo systemu RedHat9 tak connection timeout a ked z Windows2000 cez Putty, tak mi tiez nezoberie heslo. Prihlasujem sa pod uzivatelom root na roota. Nmap na BSDcko hlasi ze ssh bezi. Viem, ze toto nie je ziadna poradna, ale neviete mi prosim vas poradit? Vdaka.

to je vec nastaveni /etc/ssh/sshd_config
konkretne "PermitRootLogin no"

nedoporucuji tuto volbu menit, lepe je se prihlasit na neprivilegovaneho uzivatele a az na stanici se pomoci su autorizovat na roota

diky moc, pozeral som tam, ale nevsimol som si to, mea culpa :)

pomoci:

# pw lock test

dostanete toto:

test:*LOCKED*9FwQHW2Y0H6r2:1000:1000::0:0:test:/home/test:/bin/tcsh

# pw unlock test

test:9FwQHW2Y0H6r2:1000:1000::0:0:test:/home/test:/bin/tcsh

easy :)

jirib