为什么每个人都如此关心 etc/passwd?

为什么每个人都如此关心 etc/passwd?

以下是这个特定文件在我的 vagrant machine 中的内容:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/us$
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
syslog:x:100:103::/home/syslog:/bin/false

有人能解释一下为什么如果一些坏人能够从我的生产服务器上获取这个文件会很糟糕吗?

答案1

关键点是渗透测试人员/白帽/道德黑客以及黑帽目标/etc/passwdproof of concept作为获取系统访问权限的可能性的测试。

从技术上讲,/etc/passwd这并不可怕。过去它用于存储私人数据,显然是密码,但如今您需要更加担心/etc/shadow- 如今大多数 Linux 系统使用shadow一套实用程序来保存散列和加盐的密码/etc/shadow,这与世界不同/etc/passwd,不是可读的。(除非您使用pwunconv命令,它实际上将散列密码移回 `/etc/passwd)。

唯一或多或少敏感的信息是用户名。如果您在服务器上使用sshdtelnet密码的用户名,则可能会遭受暴力攻击。

顺便说一句,你的问题是之前问过这里我只是重申了一些已经提到过的概念。

小补充:这有点牵强,但我注意到你有bash一个 root shell。现在,假设系统上有一个用户bash,其 shell 更糟糕——该用户是 sudoer。现在,如果你的 bash 已过时或未打补丁,攻击者可能会尝试利用Shellshock 漏洞窃取数据或执行叉子炸弹暂时关闭系统。所以,从技术上来说,/etc/passwd这没什么大不了的,但它确实让攻击者了解到一些可以尝试的信息

补充编辑,2016 年 11 月 18 日

在 Digital Ocean 上使用 Ubuntu 服务器一段时间后,我发现大多数针对我服务器的暴力攻击都是针对root用户进行的 - 99% 的密码输入/var/log/auth.log都是针对root/etc/password正如我之前提到的,攻击者可以查看用户列表,不仅是系统用户,还有人类用户,这意味着更多的潜在攻击场所。请记住,并非所有用户都具有安全意识,也并不总是创建强密码,因此攻击者押注人为错误或过度自信很有可能会中大奖。

答案2

为了登录到一台机器,您需要知道用户名和密码。/etc/passwd提供有关用户的信息,它为您提供了所需信息的一半,并用于包含密码的哈希值。

哈希是从您的密码计算出来的。从密码计算哈希相当容易,但从哈希计算原始密码几乎是不可能的。如果您有哈希,您可以尝试强制离线查找密码,然后在找到密码后尝试连接到计算机。

如今,安全性得到了提高,因为哈希值存储在不同的文件中,/etc/shadow默认情况下大多数用户无法读取该文件。

但是,如果我可以访问/etc/passwd/etc/shadow,我可能可以使用暴力“字典”攻击找到您的密码。由于我可以在我的机器上本地执行此操作,因此您不会注意到多次尝试失败,而且一旦我知道密码,我只需要再次连接到您的机器。然后我就可以自由地做任何我想做的事情了。

维基百科上有更多信息:密码

相关内容