-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Content-ID: <alpine.LSU.2.00.0904142218450.5272@nimrodel.valinor> El 2009-04-14 a las 13:17 -0300, Juan Erbes escribió: ...
Figure 1: Set up users and passwords Figure 1: Set up users and passwords
Permissions open by default? In a rather odd twist, since the directory is wide open, the installer attempt to plug the hole by providing the option to encrypt a private directory!
No se encripta un directorio de usuario para evitar el acceso de otros usuarios cuando está funcionando, sino para evitar el acceso cuando roban el equipo y quieren acceder a los datos, estando apagado. Quien lo robe le importan un bledo los permisos del home.
A closer look at the permissions validates the files are world readable:
drwxr-xr-x 2 rmccarty rmccarty 4096 2009-04-13 09:40 rmccarty
Lo cual no necesariamente es un problema de seguridad, puede serlo de privacidad. Los que tienen acceso al home son usuarios, tienen acceso al bash, lo cual supone mucho más peligro que poder leer el home de otro usuario - el cual, si no quiere que le lean, ya cambiará los permisos. SuSE lo hace igual.
root@sparky:~# netstat -lActive Internet connections (only servers)Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 *:pop3 *:* LISTEN tcp 0 0 *:imap2 *:* LISTEN udp 0 0 *:bootps *:* udp 0 0 *:bootpc *:*
Ironically the first two entries: the Post Office Protocol version 3 (pop3) and the Internet Message Access Protocol version 2 (imap2) are installed and running despite Ubuntu having installed the more secure versions. Both of these older protocols were needed in years past for interoperability with older mail programs, but all major mail programs now support the more secure versions. (The biggest issues with these older services are clear text passwords; however, POP2 servers have also been vulnerable to root compromises.)
En ocasiones, el servicio puede aparentar estar presente, pero sin embargo no funciona cuando se le llama.
The bootps and bootpc entries are for providing dynamic addressing via the BOOTP and DHCP protocols — and are on by default although static addressing is being used, and will typically be used by a server install. Even if the intent was to provide DHCP services to the network, this option is not covered as part of the install and is hidden under the DNS selection of the install.
El que una máquina tenga DHCP activo y funcionando presenta un problema mayor, que es que interfiere con el servidor que ya esté configurado para ofrecer ese servicio: sólo puede haber uno en cada red.
Reviewing Ubuntu’s system accounts show the following:
daemon:x:1:1:daemon:/usr/sbin:/bin/shbin:x:2:2:bin:/bin:/bin/shsys:x:3:3:sys:/dev:/bin/shgames:x:5:60:games:/usr/games:/bin/shman:x:6:12:man:/var/cache/man:/bin/shlp:x:7:7:lp:/var/spool/lpd:/bin/shmail:x:8:8:mail:/var/mail:/bin/shnews:x:9:9:news:/var/spoo l/news:/bin/shuucp:x:10:10:uucp:/var/spool/uucp:/bin/shproxy:x:13:13:proxy:/bin:/bin/shwww-data:x:33:33:www-data:/var/www:/bin/shbackup:x:34:34:backup:/var/backups:/bin/shlist:x:38:38:Mailing List Manager:/var/list:/bin/shirc:x:39:39:ircd:/var/run/ircd:/bin/shgnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/shnobody:x:65534:65534:nobody:/nonexistent:/bin/shlibuuid:x:100:101::/var/lib/libuuid:/bin/shsshd:x:107:65534::/var/run/sshd:/usr/sbin/nologin
With the exception of the sshd, all of the system accounts are provided with an interactive shell session. So when any of these accounts are compromised interactive remote access is most likely the results. For example, a buffer overload for some of the mail processes could result in one of the mail related users (mail, news, uucp, etc.) providing remote access to the system through a shell login. Ubuntu should flag these accounts with the nologin option or possibly /bin/false.
Muchos de esos usuarios necesitan el shell porque se ejecutan guiones o daemons con ese usuario. Pero es que no basta con mirar el /etc/passwd, hay que mirar el /etc/shadow, que si en lugar de la contraseña pone un "!" significa que no puede entrar, salvo que seas root y hagas su - y es lo que hace SUSE y no sabemos si lo hace Ubuntu. Con "*" tampoco se puede entrar, pero no recuerdo que hace exactamente. Así que esa crítica no me vale, no es lo bastante seria. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAknk9MUACgkQtTMYHG2NR9VnYACfSMICLHb+N1Ee+wczsCjcaAB0 dV8An10ihdCyoUOLlWnJnk6OtnFtP1+j =G7cw -----END PGP SIGNATURE-----