Contrasenyes
De SergiTurWiki
Aquesta wiki forma part dels materials d'un curs | |
|---|---|
| Curs: | SeguretatXarxesInformàtiques |
| Fitxers: | EinesHacking.pdf (EinesHacking.odp) |
| Repositori SVN: | https://anonymous@svn.projectes.lafarga.cat/svn/iceupc/SeguretatXarxesInformàtiques |
| Usuari: | anonymous |
| Paraula de pas: | sense paraula de pas |
| Autors: | Sergi Tur Badenas |
Contingut |
Llistes de fitxers que contenen contrasenyes
Hi han un munt d'aplicacions que utilitzen les seves pròpies contrasenyes i que poden contenir contrasenyes sensibles per una màquina (sovin l'usuari de root utilitza la mateixa contrasenya per a tot ;-) ). Això pot ser un problema per si ens entra un atacant al sistema o si tenim usuaris que tot i no tenir permisos de root poden visualitzar aquest fitxers. Veiem alguns exemples:
Contrasenyes d'Apache
Fitxers .httacces i .htpasswd
$ locate .htaccess
o
$ find / -name .htaccess
Mediawiki
El fitxer LocalSettings.php de mediawiki conté les contrasenyes (en clar) de la mediawiki. Aquest fitxer però, sovint només el pot visualitzar l'administrador del sistema:
$ locate LocalSettings /etc/mediawiki1.5/LocalSettings.php $ sudo cat /etc/mediawiki1.5/LocalSettings.php | grep pass $wgDBpassword = "123456";
Moodle
Hi ha un fitxer config.php al menys en les instal·lacions des de el paquet Debian que conté la contrasenya de base de dades:
$ locate config.php | grep moodle /etc/moodle/config.php ............... $ sudo cat /etc/moodle/config.php | grep pass $CFG->dbpass = 'contrasenya';
També el més normal és que la contrasenya sigui de només lectura.
Mysql
Un error típic de Mysql és deixar la contrasenya per defecte de root (cap contrasenya). Això no hauria de ser un problema per que només es per l'execució de mysql des de la màquina local. El problema es que sovint després la gent instal·la PhpMyadmin o eines web similar que permeten l'accés via web a la base de dades. L'aplicació PhpMyadmin a l'estar instal·lada en local pot utilitzar la contrasenya de root. Podem localitzar instal·lacions de Phpmyadmin amb Google. Consulteu l'article Utilitzar_Google_per_tal_de_detectar_vulnerabilitats#PhpMyAdmin.
Awstats
Un altres que té un fitxer de contrasenyes, però aquest cop almenys no esta en text clar:
$ cat /etc/awstats/.passwd admin:Fezgp7NA4ULQY
Però potser la contrasenya no és molt forta, cal provar amb John The Ripper.
Cerca de contrasenyes
Hi han moltes paraules claues que ens poden ajudar a buscar contrasenyes:
$ locate htaccess $ locate passwd $ locate htpasswd $ locate secret $ locate password $ locate contrasenya $ locate contraseña
etc...
Generadors de paraules de pas
makepasswd:
$ sudo apt-get install makepasswd $ makepasswd DnqTBW96
Obligar a utilitzar contrasenyes segures als usuaris d'un sistema amb PAM
PAM té un sistema per forçar als usuaris a escollir contrasenyes potents:
pam_passwdqc
Pam_passwdqc permet comprovar la potència de les contrasenyes i ofereix suport per a frases de pas (passphrases) i proveeix de contrasenyes aleatòries.
Recursos:
- http://www.openwall.com/pam/
- Artícle PAM d'aquesta wiki.
LOG_UNKFAIL_ENAB
Consulteu LOG_UNKFAIL_ENAB i /etc/login.defs.
keepassx
Consulteu keepassx.
