Главная | Словарь | Книги | Контакты

• 404
• CMS
• linux для бюджетных учреждений
• windows
• Архивирование
• БД
• Бесплатно, то есть даром
• библиотеки
• Боты в мессенджерах
• Взлом и хакинг
• гос системы
• Железо
• Закон
• Каталог программ
• Без сортировок 1
• linux_konsole
• Все программы для социальных сетей
• 5 сервисов для тех, кто хочет смотреть ТВ онлайн
• 7 способов подключить телефон к телевизору
• 10 бесплатных игр на ПК, которые надолго увлекут вас
• Игры ААА
• Как подключить компьютер к телевизору
• Программы в браузере
• ФЕДЕРАЛЬНЫЙ СПИСОК ЭКСТРЕМИСТСКИХ МАТЕРИАЛОВ
• Что нужно подготовить заранее для внесения сведений о ПО в Реестр 
• Эмуляция различных ос в брузере
• 11 продуктов и сервисов Google, о которых вы никогда не слышали
• Работа с фото
• Дистрибутивы linux для установки и тестирования
• Как отказаться от обновлений безопасности intel
• Памятка пользователям ssh
• windows_console
• КАК СОЗДАТЬ И НАСТРОИТЬ FTP-СЕРВЕР
• Размер всех файлов в cmd не проверял
• Каталог интернет программ
• Windows команды в консоли все
• Плагины в браузер
• Ресурсы tor
• Хорошая подборка консольного софта
• как перевести текст
• Синтез речи на компьютере
• Как приложение Cloud-Clout «засекречивает» файлы в публичных облаках
• 7 лучших программ для поиска файлов-дубликатов
• хорошая программа строить дом
• шифрование папок
• Набор для обновления системы windows 7 оффлайн
• Антивирусы в windows
• Трансляция с вебкамеры в инет
• как подключить андроид к телевизору
• iPavlov
• анонимные мессенджеры
• tox
• Создание сертификата OPENSSL
• Настройка шифрования в Pidgin
• Удалённое управление компьютером
• Работа с pdf
• Bluefish
• ViPNet CSP
• программа для 3 мерных презентаций
• Програма для скринов экрана
• работа с pdf в windows
• Какой то аналог запуск от другого пользователя в винде
• статистика использования диска windirstat
• Переменные среды́ Windows
• Переменные среды́ UNIX
• zao меняет лицо на видео
• Android
• notepadqq
• обучалка башу
• узнать размер каталогов на диске повер шел
• ConEmu
• скомпилировать картинку в линукс
• жизнь во фреймбуфере
• rc-status
• Выпусков ТСН станет больше
• qbittorrent-nox
• wget
• Монтаж видео в windows
• Создать хардлинк в windows
• Настройка SPICE-консоли виртуальных машин в OpenStack
• Генератор статических блогов Pelican
• как создать загрузочную винду из никса
• сохранение настроек
• проверка скорости интернет в консоли
• автоматом дополняет в консоли
• установка пароля в архивах линукс
• tmux
• asspel проверка разных языков
• патч в линукс
• сокращение ссылок в консоли
• консольный чат
• зеркало яндекса
• Параллельное выполнение ssh команд на серверах
• Что такое stolen CPU
• Как обновить крон без запуска текстового редактора
• Как удалить миллион файлов
• Настройки безопасности SSH
• sshd_config
• SSH по ключу (без пароля)
• Блокирование ping в iptables
• Metasploit
• HDDScan
• Узнать номер
• Recuva
• Microsoft Math Solver
• софт на опеннет
• websocketd - превращает любую программу, использующую STDIN/STDOUT, в сервер WebSocket
• Rasa
• Примеры лицензионных соглашений на софт
• Монтирование сетевых дисков
• КАК СМОНТИРОВАТЬ ЭТОТ .IMG-ФАЙЛ В DEBIAN 7 ПРАВИЛЬНО?
• Среда рабочего стола
• режим Бога в Windows
• Анатомия ELF-файла
• Быстрая загрузка страниц на самых простых дешёвых телефонах
• Проблема в Outlook
• характеристики компа
• Терминальная игра
• Как сделать свой мультик Minecraft
• запуск андроид приложений в браузере
• поиск grep и less в графике
• ascii art примеры и ссылки
• Динамический ip адрес - как всегда знать настоящий
• Как удалить файлы, которые не удаляются (простой способ)
• bash лайфхаки
• alsamixer
• Исправляем недостатки Windows 10
• КАК ПОЛУЧИТЬ СУММУ MD5 СОДЕРЖИМОГО КАТАЛОГА В ВИДЕ ОДНОЙ СУММЫ?
• Плагины для браузера
• Карты
• официальные российские платные топографические карты
• Опасно ли держать открытым RDP в Интернете?
• remind
• RetroShare
• Почему в zip в linux кракозяблы?
• инструмент для кадрирования видео
• Установка windows детали
• Linux eBPF monitoring with Netdata
• Автоматический запуск tmux и screen
• FRONTAIL
• Тест скорости печати
• Как настроить двухфакторную аутентификацию в Linux
• Troubleshoot using the proc filesystem on Linux
• Capture2Text
• Прокси
• Translate Shell - перевод на любой язык из командной строки
• Как вернуть недавние документы в кнопке пуск
• Конвертор word в pdf
• тайм менджемент
• Hugin
• Очистить ssd
• vi как использовать
• Scrapbook
• StatWin — утилита просмотра установленных в систему драйверов и сервисов
• Вывести только каталоги в linux
• odt-export
• Yandex DataSphere
• LastActivityView
• hiberfil.sys
• DC++ для новичков
• Cheat Engine, CheMax, ArtMoney - незаменимые чит-программы геймера
• Crusoe
• CurrPorts — утилита для просмотра списка открытых TCP/IP и UDP портов
• Skype Лайт
• Vimium
• Vimperator
• DNSCrypt
• SSMTP — простейшая замена sendmail для отправки почты.
• теневые пароли tcb 
• Игры linux console
• Работа LibreOffice в командной строке: конвертирование большого количества файлов и вывод содержимого офисных файлов в консоль
• Просмотр файлов в консоли Linux
• unzip
• rget
• отладчик в вим
• whatfiles
• Windows soft
• Кроссплатформа
• Веб-сервисы
• Настройки браузеров
• Файловые системы
• telegram
• vpn
• Fediverse
• Linux
• Книги на форуме
• Компьютер
• Магазины зарубежные
• Одноплатники
• Операционные системы обзор
• Оптимизация сайтов
• Программирование
• Разное
• Сервера и сеть
• Словарь компьютерных терминов
• Смартфоны и планшеты
• Социальные сети и реклама
• Статьи
• Заработок в Интернет
• Науки
• Мои
• Игры

Ваше имя (по желанию)
Пишите здесь:
Жмите здесь:

теневые пароли tcb 

Предыдущая | Следующая

Название

tcb - альтернативная схема управления теневыми паролями

 

Задача

Согласно традиционной схеме управления теневыми паролями, хеши паролей всех пользователей, а также информация о сроке их действия хранится в едином файле - /etc/shadow. Таким образом, процесс, которому предоставляется доступ к информации о пароле одного из пользователей системы, автоматически получает права, достаточные для получения аналогичного доступа к информации о паролях всех остальных пользователей. Этот явный изъян в дизайне легко проследить на примере утилиты passwd(1). Предположим, что политика безопасности позволяет непривилегированным пользователям изменять собственные пароли. Какими бы ни были права доступа к файлу /etc/shadow, программа passwd(1), запущенная непривилегированным пользователям U, должна иметь возможность вносить изменения в этот файл. Если злоумышленник U найдёт способ взять под свой контроль процесс passwd(1) (с помощью ошибки непосредственно в коде программы passwd(1), используемых ею библиотеках, или в ядре), то этот пользователь получит возможность менять пароли всех пользователей и таким образом возьмёт под свой контроль операционную систему.

 

Решение

Решение проблемы простое - каждому пользователю соответствует отдельный теневой shadow-файл. Поскольку теневой файл пользователя U принадлежит этому пользователю U, то программа passwd(1), запущенная U, уже не требует рутовых прав.

Все теневые файлы пользователей располагаются в каталоге /etc/tcb:

 

drwx--x---    2 root     shadow       1024 Май  4 01:18 /etc/tcb
Для каждого пользователя создаётся подкаталог в
/etc/tcb
с соответствующими правами доступа:# ls -l /etc/tcb
всего 2
drwx--s---    2 root     auth         1024 Май  4 01:18 root
drwx--s---    2 user     auth         1024 Май  4 01:18 user
и т.д.
Каждый такой подкаталог содержит теневой файл, содержащий информацию о
пароле соответствующего пользователя:# ls -l /etc/tcb/user
всего 1
-rw-r-----    1 user     auth           91 Май  4 01:18 shadow
Эти персональные каталоги используются для хранения временных файлов и
блокировочных файлов, создаваемых во время смены пароля либо изменения
другой информации, хранящейся в теневом файле.

 

Преимущества

Описанный выше дизайн обладает следующими преимуществами:

1.

Утилита passwd(1) должна быть установлена с правами SGID-shadow, а не SUID-root. Утилита chage(1) и вспомогательная программа /usr/lib/chkpwd/tcb_chkpwd также должны быть установлены с правами SGID-shadow; это значит, что в соответствии со схемой tcb запущенные процессы будут обладать правами, достаточными для изменения только пользовательской теневой записи. Таким образом, весь вред, который может причинить злоумышленник в случае обнаружения ошибки в реализации этих программ, ограничен возможностью изменения своего собственного теневого файла.

2.

Если процессу необходим доступ по чтению ко всем теневым файлам сразу, достаточно дополнительно включить его в группы "shadow" и "auth".

3.

Схема tcb полностью прозрачна для приложений, которым требуется читать информацию о паролях. Разделяемая библиотека libnss_tcb реализует интерфейс к функции getspnam(3) и другим функциям работы с теневыми записями. Смена паролей обеспечивается PAM-модулем pam_tcb(8).

Информацию о введении в действие схемы tcb можно прочесть в tcb_convert(8), где рассказано, как это сделать наиболее безболезненно.

 

Недостатки

Честно говоря, их всего несколько, и они крайне незначительные:

1.

Невозможно установить блокировку всей теневой базы данных (см. tcb_unconvert(8)).

2.

Процесс, обладающий доступом по чтению ко всем теневым файлам, как это описано выше, автоматически обладает доступом по изменению своего собственного теневого файла.

3.

Невозможно предоставить процессу права доступа только по чтению к одному конкретному теневому файлу иначе как исполняя этот процесс с правами соответствующего пользователя.

4.

Средства управления доступом пользователей требуют значительной доработки для обеспечения поддержки схемы tcb.

 

 

Обход ограничений, накладываемых файловыми системами

Некоторые файловые системы ограничивают возможное число жёстких ссылок для файлов. Например, в файловой системе ext2 никакой файл не может содержать более 32000 жёстких ссылок. Это значит, что каталог /etc/tcb, размещённый на такой файловой системе, может содержать не более 31998 подкаталогов. При использовании схемы размещения файлов, описанной выше, это ограничение файловой системы автоматически приводит к ограничению максимального числа пользователей тем же числом 31988.

Решение: каталог с теневым файлом для пользователя U может быть помещён не только в каталог /etc/tcb, но и в каталог /etc/tcb/:some/path. В случае использования второго варианта должна быть создана символическая ссылка /etc/tcb/U -> /etc/tcb/:some/path/U.

В реализации tcb, начиная с версии 0.9.8, каталоги с именами, удовлетворяющими шаблону /etc/tcb/:*, не рассматриваются как каталоги с теневыми файлами. Эти имена зарезервированы для символических ссылок на каталоги с теневыми файлами.

По умолчанию, средства управления доступом пользователей, работающие непосредственно с каталогами, содержащими теневые файлы, создают эти каталоги непосредственно в /etc/tcb; в ситуации, когда число пользователей в tcb может превысить ограничение файловой системы, администратор системы может перейти на второй вариант размещения каталогов с теневыми файлами, изменив параметр TCB_SYMLINKS в конфигурационном файле login.defs(5).

 

Историческая справка

Первая публичная версия реализации альтернативной схемы управления теневыми паролями tcb появилась 12 ноября 2001 года в ОС Openwall GNU/*/Linux.
Дата появления tcb в ALT Linux Sisyphus - 20 декабря 2001 года.

 

Авторы

Rafal Wojtczuk <nergal@owl.openwall.com>, Solar Designer <solar@owl.openwall.com> -

реализация схемы tcb для ОС Openwall GNU/*/Linux.

Dmitry V. Levin <ldv@altlinux.org> -

аудит кода, адаптация схемы tcb для ОС ALT Linux, перевод документации по tcb на русский язык.

Реализация PAM-модуля

pam_tcb призвана обеспечивать обратную совместимость с pam_unix, ввиду чего некоторые решения были заимствованы из pam_unix. Некоторые менее критичные фрагменты кода, а также в некоторой мере композиция кода взяты из реализации модуля pam_unix в Linux-PAM. Имена соавторов pam_unix приведены в каталоге orig_copyright/ исходного кода схемы tcb.