Discussione:
Sicurezza passwd
(troppo vecchio per rispondere)
Yoda
2021-08-05 21:01:18 UTC
Permalink
Due domande e grazie in anticipo a chi mi da' lumi.

Domanda_1. C'e' qualche controindicazione a scegliere per passwd di
tre utenti (della stessa macchina e root escluso) la stessa passwd
uguale per tutti?

Domanda_2. Che grado di validita' ha la seguente di 29
- caratteri lower: nelmezzodelcammindinostravita
- oppure meno nota (29 lower): chebellofarlamoreconlombrello
- oppure inventata (28 alpha): sonoandatoaMilanoesontornato

rispetto, ad esempio, a quest'altra? di soli 8 ma alnum:
Ag3Wk11z

Domanda_3 (mai 2 senza 3). E' pericoloso includere caratteri punct
nella passwd di root?
--
Yoda
rootkit
2021-08-05 21:46:15 UTC
Permalink
Post by Yoda
Due domande e grazie in anticipo a chi mi da' lumi.
Domanda_1. C'e' qualche controindicazione a scegliere per passwd di tre
utenti (della stessa macchina e root escluso) la stessa passwd uguale
per tutti?
boh dipende. se sono tre utenti "umani" non è bello, specie se hanno
privilegi diversi.
se sono tre utenti di sistema che usi solo te chissenefrega.
Post by Yoda
Domanda_2. Che grado di validita' ha la seguente di 29 - caratteri
sonoandatoaMilanoesontornato
Ag3Wk11z
sicuramente più elevata, quella di scegliere una frase di 8/10 parole è
un buon metodo per password mnemoniche. ma attenzione ai dizionari:
eviterei il tutto minuscolo/maiuscolo e qualche carattere non alfabetico
non guasta.
Post by Yoda
Domanda_3 (mai 2 senza 3). E' pericoloso includere caratteri punct nella
passwd di root?
uhm, no perché?
Yoda
2021-08-05 22:40:06 UTC
Permalink
Post by rootkit
Post by Yoda
Due domande e grazie in anticipo a chi mi da' lumi.
Domanda_1. C'e' qualche controindicazione a scegliere per passwd di tre
utenti (della stessa macchina e root escluso) la stessa passwd uguale
per tutti?
boh dipende. se sono tre utenti "umani" non è bello, specie se hanno
privilegi diversi.
se sono tre utenti di sistema che usi solo te chissenefrega.
Si', sono sempre e solo io, ho dimenticato di precisarlo.
Bon, questa e' gia' una notevole comodita' cui non avevo mai
pensato.
Post by rootkit
Post by Yoda
Domanda_2. Che grado di validita' ha la seguente di 29 - caratteri
sonoandatoaMilanoesontornato
Ag3Wk11z
sicuramente più elevata, quella di scegliere una frase di 8/10 parole è
eviterei il tutto minuscolo/maiuscolo e qualche carattere non alfabetico
non guasta.
Quello che non mi riesce di valutare e' proprio l'attacco al diz,
non e' che per caso sonoandatoaMilanoesontornato equivalga a 7
caratteri perche' e' di 7 parole? Se non ho capito male la risposta
tua, mi hai gia' detto che e' migliore della Ag3Wk11z di 8. Pero'
m'hai anche avvisato sul dizionario :-(

Insomma: Hocomprato7roseaLuisa87-60-88 (29 ascii), e' migliore
di: Ag3Wk11ztT57mf (14 alnum) senza dizionario? o meglio: tu quale
sceglieresti? Perche' a scriverla quella di Luisa e' molto piu'
veloce anche se lunga il doppio.
(nota bene che sto insistendo specialmente per root)
Post by rootkit
Post by Yoda
Domanda_3 (mai 2 senza 3). E' pericoloso includere caratteri punct nella
passwd di root?
uhm, no perché?
Ho vaghi ricordi d'altri tempi su tastiere che danno codici
differenti. Ad esempio per le cifre io nelle passwd non uso
mai il tastierino numerico; ma si vede che adesso e' cambiato
tutto ciao e grazie
--
Yoda
rootkit
2021-08-06 06:46:12 UTC
Permalink
Post by rootkit
sicuramente più elevata, quella di scegliere una frase di 8/10 parole è
eviterei il tutto minuscolo/maiuscolo e qualche carattere non
alfabetico non guasta.
Quello che non mi riesce di valutare e' proprio l'attacco al diz, non e'
che per caso sonoandatoaMilanoesontornato equivalga a 7 caratteri
perche' e' di 7 parole?
non è proprio così ma sicuramente è una debolezza. però se interponi un
simbolo fra le parole e usi qualche maiuscola (magari non la prima di
ogni parola, che so la seconda) vanifichi l'attacco. a quel punto una
password di 240 bit farà prima il sole a inghiottire la terra che un
malintenzionato a sfondarla.
Se non ho capito male la risposta tua, mi hai
gia' detto che e' migliore della Ag3Wk11z di 8. Pero' m'hai anche
avvisato sul dizionario :-(
8 caratteri alfanumerici non sono tanti. però bisogna vedere di cosa si
parla. se è la login di linux considera che un attacco di forza bruta è
fortemente mitigato dal fatto che ogni tentativo richiede molti secondi,
quindi è imho sufficiente. una login web invece ha il problema che, in
caso di attacco al sito, l'hash potrebbe finire nelle mani sbagliate e lì
un tool automatico potrebbe lavorarci sopra senza limitazioni. in quei
casi però è conveniente un password manager e a quel punto tanto vale
arrivare a 12/15 caratteri casuali, tanto non la devi ne ricordare e ne
digitare.
Yoda
2021-08-06 07:41:21 UTC
Permalink
Post by rootkit
Quello che non mi riesce di valutare e' proprio l'attacco al diz, non e'
-snip-
Post by rootkit
8 caratteri alfanumerici non sono tanti. però bisogna vedere di cosa si
-snip-

Capit, ciao e grazie!
--
Yoda
R2-D2
2021-08-06 07:44:21 UTC
Permalink
Post by Yoda
Quello che non mi riesce di valutare e' proprio l'attacco al diz,
non e' che per caso sonoandatoaMilanoesontornato equivalga a 7
caratteri perche' e' di 7 parole?
No, perché di caratteri ce ne sono 26, 52 se aggiungiamo le maiuscole, mentre di
parole in un dizionario ce ne sono, boh, facciamo 10 milioni.

Quindi una password di 7 lettere alfabetiche maiuscole e minuscole ha 52^7
combinazioni possibili, quindi circa 10^12. 7 parole a caso da un dizionario di
10^7 parole fanno (10^7)^7 = 10^49 possibili combinazioni. Sono 49-12=37 ORDINI
DI GRANDEZZA di complessità in più.
Ammammata
2021-08-06 07:58:29 UTC
Permalink
Il giorno Thu 05 Aug 2021 11:46:15p, *rootkit* ha inviato su
Post by rootkit
Post by Yoda
Domanda_2. Che grado di validita' ha la seguente di 29 - caratteri
sonoandatoaMilanoesontornato
Ag3Wk11z
sicuramente più elevata, quella di scegliere una frase di 8/10 parole è
eviterei il tutto minuscolo/maiuscolo e qualche carattere non alfabetico
non guasta.
spero che la calcolatrice non impazzisca...

primo e secondo caso 26 ^ 29 = 1.082 x 10^41

terzo caso 52 ^ 28 = 1.117 x 10^48 (ricerca brute force dieci milioni di
volte più lunga)

quarto caso
26 + 26 + 10 = 62 ^ 8 = 2.183 x 10 ^ 14 (miliardi di miliardi di miliardi
etc etc di volte MENO lunga)

conclusione: password molto lunghe = molto meglio, senza dimenticare
opportuni "errori" per ingannare i dizionari

p.e. Que5tapa5word5embrerebelungaedificilE
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
giulia
2021-08-06 06:26:26 UTC
Permalink
Post by Yoda
Due domande e grazie in anticipo a chi mi da' lumi.
Domanda_1. C'e' qualche controindicazione a scegliere per passwd di
tre utenti (della stessa macchina e root escluso) la stessa passwd
uguale per tutti?
Nessuno dovrebbe sapere che e' la stessa password, nemmeno l'amministratore.
Post by Yoda
Domanda_2. Che grado di validita' ha la seguente di 29
- caratteri lower: nelmezzodelcammindinostravita
- oppure meno nota (29 lower): chebellofarlamoreconlombrello
- oppure inventata (28 alpha): sonoandatoaMilanoesontornato
Ag3Wk11z
Se parli di password di accesso basta che non sia banale, nel caso dell'accesso non e' possibile alcun tentativo di brute force
(fail2ban e vari parenti lo impediscono/loggano), quindi basta che non sia facilmente indovinabile.
Se fa accesso e cifratura allora devi per forza usare o password lunghe con qualche variazione o password casuali sopra i 10 caratteri.
Spesso i sysadmin sbagliano (per ignoranza) , confondendo password di accesso e password di cifratura pensando che sia piu' sicuro
dare ad un utente una password di accesso creata con i criteri di una password di cifratura (segni di punteggiatura e simboli), poi
scoprono che la ha scritta sotto la tastiera.
Post by Yoda
Domanda_3 (mai 2 senza 3). E' pericoloso includere caratteri punct
nella passwd di root?
Vedi sopra.
Yoda
2021-08-06 07:41:20 UTC
Permalink
Post by giulia
Post by Yoda
Due domande e grazie in anticipo a chi mi da' lumi.
Domanda_1. C'e' qualche controindicazione a scegliere per passwd di
tre utenti (della stessa macchina e root escluso) la stessa passwd
uguale per tutti?
Nessuno dovrebbe sapere che e' la stessa password, nemmeno l'amministratore.
Ho dimenticato di precisare che sono sempre io: 3 user e root
stesso, scusa.
Post by giulia
Post by Yoda
Domanda_2. Che grado di validita' ha la seguente di 29
- caratteri lower: nelmezzodelcammindinostravita
- oppure meno nota (29 lower): chebellofarlamoreconlombrello
- oppure inventata (28 alpha): sonoandatoaMilanoesontornato
Ag3Wk11z
Se parli di password di accesso basta che non sia banale, nel caso
dell'accesso non e' possibile alcun tentativo di brute force
(fail2ban e vari parenti lo impediscono/loggano), quindi basta che
non sia facilmente indovinabile.
Se fa accesso e cifratura allora devi per forza usare o password
lunghe con qualche variazione o password casuali sopra i 10
caratteri.
Spesso i sysadmin sbagliano (per ignoranza) , confondendo password
di accesso e password di cifratura pensando che sia piu' sicuro
dare ad un utente una password di accesso creata con i criteri di
una password di cifratura (segni di punteggiatura e simboli), poi
scoprono che la ha scritta sotto la tastiera.
Ti ringrazio della risposta, pero' non ci capisco nulla perche' non
so cosa sono le passwd di accesso e cifratura. Ho chiesto solo per
la passwd di login, login che effettuo sempre e solo in modalita'
testo su console a caratteri come vent'anni fa, in X nel caso ci
vado dopo.
Post by giulia
Post by Yoda
Domanda_3 (mai 2 senza 3). E' pericoloso includere caratteri punct
nella passwd di root?
Vedi sopra.
Be' la punteggiatura e' la manpagina del comando passwd che la
consiglia esplicitamente, io non l'ho mai usata.
Potresti spiegarmi, anche solo in due parole, la storia dell'accesso
e della cifratura? ciao e grazie
--
Yoda
R2-D2
2021-08-06 08:00:55 UTC
Permalink
Post by Yoda
Be' la punteggiatura e' la manpagina del comando passwd che la
consiglia esplicitamente, io non l'ho mai usata.
La punteggiatura aumenta il numero di caratteri possibili. In altre parole, se
consideriamo i caratteri ascii[1] dal 33 al 126, ossia tutte le maiuscole,
minuscole, numeri e segni di punteggiatura, abbiamo una tavolozza di 94
caratteri. Se componi una password di un solo carattere, ci sono 94 possibili
password. Facile da indovinare. Con due caratteri, 94^2=8.836, ancora pochine.
Con 12 caratteri, 94^12=4,8+10^23. Comincia a diventare complicata da
indovinare, e così via.
Un esempio di quanto la complessità influisca sulla craccabilità:
Loading Image...

[1] https://www.asciitable.com/
Ammammata
2021-08-06 09:14:47 UTC
Permalink
Il giorno Fri 06 Aug 2021 10:00:55a, *R2-D2* ha inviato su
Post by R2-D2
https://www.komando.com/wp-content/uploads/2021/03/Passwords-chart-970x
510.jpg
per il documento delle password siamo sui 34.000 anni, ma se aggiungo un
carattere diventano due milioni... meglio che vada subito a farlo ;)
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
Yoda
2021-08-06 13:31:18 UTC
Permalink
Post by R2-D2
Post by Yoda
Be' la punteggiatura e' la manpagina del comando passwd che la
consiglia esplicitamente, io non l'ho mai usata.
La punteggiatura aumenta il numero di caratteri possibili. In
altre parole, se consideriamo i caratteri ascii[1] dal 33 al 126,
ossia tutte le maiuscole, minuscole, numeri e segni di
punteggiatura, abbiamo una tavolozza di 94 caratteri. Se componi una
password di un solo carattere, ci sono 94 possibili password. Facile
da indovinare. Con due caratteri, 94^2=8.836, ancora pochine.
Con 12 caratteri, 94^12=4,8+10^23. Comincia a diventare complicata da
indovinare, e così via.
Come calcolo combinatorio mi e' tutto chiarissimo (voglio dire: che
mi era gia') e comunque grazie; invece non ho idea di come funziona
la ricerca (cracking). Mi spiego.

Se io faccio passwd=abc, la ricerca non puo' saperlo che da 94 print
mi sono limitato a 26 lower, percio' dovrebbe essere sempre 94^3.
Pero' non puo' sapere neppure che sono solo 3, quindi? ciao
Post by R2-D2
https://www.komando.com/wp-content/uploads/2021/03/Passwords-char
t-970x510.jpg
[1] https://www.asciitable.com/
--
Yoda
Guglielmo
2021-08-06 15:46:26 UTC
Permalink
Post by Yoda
Come calcolo combinatorio mi e' tutto chiarissimo (voglio dire: che
mi era gia') e comunque grazie; invece non ho idea di come funziona
la ricerca (cracking). Mi spiego.
Se io faccio passwd=abc, la ricerca non puo' saperlo che da 94 print
mi sono limitato a 26 lower, percio' dovrebbe essere sempre 94^3.
Pero' non puo' sapere neppure che sono solo 3, quindi? ciao
Ma tu pensi veramente che al giorno d'oggi qualcuno si mette a fare brute
force? I sistemi si violano sfruttando i tanti bug di sicurezza o in altro
modo, non certo mettendosi a fare brute force, che come qualcun altro ha
gia' scritto vengono tracciati e segnalati.

Per la password utente basta una semplice da sei-otto caratteri
alfanumerici e già rendi il brute force complesso quel tanto che basta che
nessuno avrà voglia di provarci.
Yoda
2021-08-06 16:44:02 UTC
Permalink
Post by Guglielmo
Post by Yoda
Come calcolo combinatorio mi e' tutto chiarissimo (voglio dire: che
mi era gia') e comunque grazie; invece non ho idea di come funziona
la ricerca (cracking). Mi spiego.
Se io faccio passwd=abc, la ricerca non puo' saperlo che da 94 print
mi sono limitato a 26 lower, percio' dovrebbe essere sempre 94^3.
Pero' non puo' sapere neppure che sono solo 3, quindi? ciao
Ma tu pensi veramente che al giorno d'oggi qualcuno si mette a fare brute
-snip-

No di certo, m'interessava soprattutto la domanda_1, adesso questo
a R2-D2 l'ho chiesto solo per curiosita' ciao e comunque grazie!
--
Yoda
rootkit
2021-08-06 20:49:09 UTC
Permalink
Post by Guglielmo
Come calcolo combinatorio mi e' tutto chiarissimo (voglio dire: che mi
era gia') e comunque grazie; invece non ho idea di come funziona la
ricerca (cracking). Mi spiego.
Se io faccio passwd=abc, la ricerca non puo' saperlo che da 94 print mi
sono limitato a 26 lower, percio' dovrebbe essere sempre 94^3. Pero'
non puo' sapere neppure che sono solo 3, quindi? ciao
Ma tu pensi veramente che al giorno d'oggi qualcuno si mette a fare
brute force? I sistemi si violano sfruttando i tanti bug di sicurezza o
in altro modo, non certo mettendosi a fare brute force, che come qualcun
altro ha gia' scritto vengono tracciati e segnalati.
Per la password utente basta una semplice da sei-otto caratteri
alfanumerici e già rendi il brute force complesso quel tanto che basta
che nessuno avrà voglia di provarci.
dipende di cosa stiamo parlando. prendi il caso delle password sottratte
ai siti web: in quel caso c'è modo di provare senza nessun disturbo.
rootkit
2021-08-06 20:43:04 UTC
Permalink
Post by R2-D2
Post by Yoda
Be' la punteggiatura e' la manpagina del comando passwd che la
consiglia esplicitamente, io non l'ho mai usata.
La punteggiatura aumenta il numero di caratteri possibili. In altre
parole, se consideriamo i caratteri ascii[1] dal 33 al 126, ossia tutte
le maiuscole, minuscole, numeri e segni di punteggiatura, abbiamo una
tavolozza di 94 caratteri. Se componi una password di un solo
carattere, ci sono 94 possibili password. Facile da indovinare. Con due
caratteri, 94^2=8.836, ancora pochine.
Con 12 caratteri, 94^12=4,8+10^23. Comincia a diventare complicata da
indovinare, e così via.
Come calcolo combinatorio mi e' tutto chiarissimo (voglio dire: che mi
era gia') e comunque grazie; invece non ho idea di come funziona la
ricerca (cracking). Mi spiego.
Se io faccio passwd=abc, la ricerca non puo' saperlo che da 94 print mi
sono limitato a 26 lower, percio' dovrebbe essere sempre 94^3. Pero' non
puo' sapere neppure che sono solo 3, quindi? ciao
banalmente cominciano dalle password più brevi a salire visto che fino a
4/5 caratteri il tempo è istantaneo. inoltre i lowercase sono i primi
caratteri provati perché più probabili. quindi è vero, non lo sanno a
priori che sono solo tre caratteri e solo lowecase, ma quella password la
scovano ai primissimi tentativi. in altre parole: è vero che le possibili
combinazioni sono 94^3, ma praticamente dopo 94 * 2 tentativi l'hanno già
trovata.
LutherBlissett
2021-08-06 13:48:26 UTC
Permalink
Post by Yoda
Due domande e grazie in anticipo a chi mi da' lumi.
Domanda_1. C'e' qualche controindicazione a scegliere per passwd di
tre utenti (della stessa macchina e root escluso) la stessa passwd
uguale per tutti?
Bello questo.

Cosi' se uno caccia la sua password d'abitudine su un pc bloccato
che ha tenuto memorizzato l'ultimo utente questo si ritrova
autenticato come l'altro.
E se e' sveglio capisce che puo' entrare come chi gli pare.
Vai cosi!!

P.S. stai studiando per qualche concorso in ambito IT per
la regione Lazio?
Yoda
2021-08-06 14:19:22 UTC
Permalink
Post by LutherBlissett
Post by Yoda
Due domande e grazie in anticipo a chi mi da' lumi.
Domanda_1. C'e' qualche controindicazione a scegliere per passwd di
tre utenti (della stessa macchina e root escluso) la stessa passwd
uguale per tutti?
Bello questo.
Cosi' se uno caccia la sua password d'abitudine su un pc bloccato
che ha tenuto memorizzato l'ultimo utente questo si ritrova
autenticato come l'altro.
E se e' sveglio capisce che puo' entrare come chi gli pare.
Vai cosi!!
P.S. stai studiando per qualche concorso in ambito IT per
la regione Lazio?
No.. sono sempre e solo io, compreso root, scusa ho dimenticato di
dirlo ciao e grazie
--
Yoda
LutherBlissett
2021-08-23 08:43:24 UTC
Permalink
Post by Yoda
Post by LutherBlissett
Post by Yoda
Due domande e grazie in anticipo a chi mi da' lumi.
Domanda_1. C'e' qualche controindicazione a scegliere per passwd di
tre utenti (della stessa macchina e root escluso) la stessa passwd
uguale per tutti?
Bello questo.
Cosi' se uno caccia la sua password d'abitudine su un pc bloccato
che ha tenuto memorizzato l'ultimo utente questo si ritrova
autenticato come l'altro.
E se e' sveglio capisce che puo' entrare come chi gli pare.
Vai cosi!!
P.S. stai studiando per qualche concorso in ambito IT per
la regione Lazio?
No.. sono sempre e solo io, compreso root, scusa ho dimenticato di
dirlo ciao e grazie
Ah! Ok.

Piergiorgio Sartor
2021-08-06 17:02:43 UTC
Permalink
Post by Yoda
Due domande e grazie in anticipo a chi mi da' lumi.
Domanda_1. C'e' qualche controindicazione a scegliere per passwd di
tre utenti (della stessa macchina e root escluso) la stessa passwd
uguale per tutti?
Domanda_2. Che grado di validita' ha la seguente di 29
- caratteri lower: nelmezzodelcammindinostravita
- oppure meno nota (29 lower): chebellofarlamoreconlombrello
- oppure inventata (28 alpha): sonoandatoaMilanoesontornato
Ag3Wk11z
Domanda_3 (mai 2 senza 3). E' pericoloso includere caratteri punct
nella passwd di root?
A parte le ottime risposte che ti hanno
gia` dato, devi anche considerare come
sia "esposta" tale password.

Un conto e` un sito accessibile a tutti,
un conto e` una LAN protetta da, magari,
due firewall (router + PC).

Nel secondo caso, puo` essere che vi siano
molte meno persone con volonta` e capacita`
di forzare tale password.

bye,
--
piergiorgio
Yoda
2021-08-06 18:47:44 UTC
Permalink
Post by Piergiorgio Sartor
Post by Yoda
Due domande e grazie in anticipo a chi mi da' lumi.
Domanda_1. C'e' qualche controindicazione a scegliere per passwd di
tre utenti (della stessa macchina e root escluso) la stessa passwd
uguale per tutti?
Domanda_2. Che grado di validita' ha la seguente di 29
- caratteri lower: nelmezzodelcammindinostravita
- oppure meno nota (29 lower): chebellofarlamoreconlombrello
- oppure inventata (28 alpha): sonoandatoaMilanoesontornato
Ag3Wk11z
Domanda_3 (mai 2 senza 3). E' pericoloso includere caratteri punct
nella passwd di root?
A parte le ottime risposte che ti hanno
gia` dato, devi anche considerare come
sia "esposta" tale password.
Un conto e` un sito accessibile a tutti,
un conto e` una LAN protetta da, magari,
due firewall (router + PC).
Nel secondo caso, puo` essere che vi siano
molte meno persone con volonta` e capacita`
di forzare tale password.
Ti ringrazio per la risposta antiparanoia, pero' la domanda_2 l'ho
fatta per sapermi regolare nella scelta, visto che ho dovuto
cambiare la passwd del router ed allora ho pensato che era tempo
di cambiarle tutte.

La 1 invece non ci avevo mai pensato di farle tutte uguali (sono
sempre e solo io tutti gli user e anche root), ho chiesto per vedere
se per caso ci fosse qualche motivo di farle diverse ciao
-- farle tutte uguali tranne root e' molto chic! ;^)
--
Yoda
Piergiorgio Sartor
2021-08-06 19:18:56 UTC
Permalink
On 06/08/2021 20.47, Yoda wrote:
[...]
Post by Yoda
-- farle tutte uguali tranne root e' molto chic! ;^)
Anche quella di root, tanto cosa ti cambia?

Considera il seguente scenario.

Supponiamo io sappia che tu 1) puoi diventare
root (con "su", quindi usando la pass di root)
e che 2) io riesca ad avere la tua pass (diversa
da quella di root).

Quello che faccio e`:

1) entro come te
2) cambio $PATH in modo da metter prima un
folder della $HOME, tipo $HOME/bin
3) metto dentro $HOME/bin un comando "su"
taroccato che mi salva la pass (e login)
da qualche parte
4) aspetto... :-)

Immagino che vi siano anche altre possibilita`
piu` convolute...

bye,
--
piergiorgio
Yoda
2021-08-06 21:27:58 UTC
Permalink
Post by Piergiorgio Sartor
[...]
Post by Yoda
-- farle tutte uguali tranne root e' molto chic! ;^)
Anche quella di root, tanto cosa ti cambia?
Considera il seguente scenario.
Supponiamo io sappia che tu 1) puoi diventare
root (con "su", quindi usando la pass di root)
e che 2) io riesca ad avere la tua pass (diversa
da quella di root).
Si' ma mica ti seguo molto.. voglio dire: E cosa cambia se e'
diversa anche da quella degli altri user? se ce l'hai ce l'hai.
Post by Piergiorgio Sartor
1) entro come te
2) cambio $PATH in modo da metter prima un
folder della $HOME, tipo $HOME/bin
3) metto dentro $HOME/bin un comando "su"
taroccato che mi salva la pass (e login)
da qualche parte
4) aspetto... :-)
Capisco cosa vuoi dire, pero' con me aspetteresti invano per sempre:
non uso e non ho mai usato su, (sudo addirittura disinstallo tutto
il disinstallabile e /etc/sudoers e' in bianco).

Poi un'altra cosa: fai bene a cambiare il PATH, pero' e' strano che
tu lo dica, perche' per la Debian dovresti trovarlo gia' a posto:

-cite-
# set PATH so it includes user's private bin if it exists
if [ -d "$HOME/bin" ] ; then
PATH="$HOME/bin:$PATH"
fi
-/cite-

Io pero' $HOME/bin l'ho messo invece in coda ciao
Post by Piergiorgio Sartor
Immagino che vi siano anche altre possibilita`
piu` convolute...
--
Yoda
Piergiorgio Sartor
2021-08-07 10:03:58 UTC
Permalink
On 06/08/2021 23.27, Yoda wrote:
[...]
Post by Yoda
Si' ma mica ti seguo molto.. voglio dire: E cosa cambia se e'
diversa anche da quella degli altri user? se ce l'hai ce l'hai.
Appunto, non cambia assolutamente niente,
quindi puoi averla anche uguale, non e`
necessario sia diversa (la pass di root
da quelle degli altri utenti tuoi).

[...]
Post by Yoda
non uso e non ho mai usato su, (sudo addirittura disinstallo tutto
il disinstallabile e /etc/sudoers e' in bianco).
Non cambia niente.
Vi sono altre n-mila possibilita`.
Per esempio fare un fake logout.
Quella di sopra era solo una delle tante
possibilita`.
Perche` nel momento in cui uno puo` cambiare:

.bashrc
.bash_profile
.bash_logout
$HOME/bin

puo` controllare tutto.

Se uno puo` accedere al tuo account e tu
puoi diventare root, allora anche quello
puo` diventare root.

Quindi avere la pass di root diversa dalla
tua non aggiunge sicurezza.
Post by Yoda
Poi un'altra cosa: fai bene a cambiare il PATH, pero' e' strano che
-cite-
# set PATH so it includes user's private bin if it exists
if [ -d "$HOME/bin" ] ; then
PATH="$HOME/bin:$PATH"
fi
-/cite-
Io pero' $HOME/bin l'ho messo invece in coda ciao
Che e` cosa buona e giusta...

bye,
--
piergiorgio
Valerio Vanni
2021-08-07 10:29:29 UTC
Permalink
On Sat, 7 Aug 2021 12:03:58 +0200, Piergiorgio Sartor
Post by Piergiorgio Sartor
.bashrc
.bash_profile
.bash_logout
$HOME/bin
puo` controllare tutto.
Tutto dell'utente.
Post by Piergiorgio Sartor
Se uno puo` accedere al tuo account e tu
puoi diventare root, allora anche quello
puo` diventare root.
Se "Yoda può diventare root" vuol dire "Yoda apre una shell, mette 'su
-' e poi mette la password che sa a memoria, all'attaccante che ha
preso controllo del suo utente manca quel piccolo dettaglio.
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Piergiorgio Sartor
2021-08-07 10:43:14 UTC
Permalink
Post by Valerio Vanni
On Sat, 7 Aug 2021 12:03:58 +0200, Piergiorgio Sartor
Post by Piergiorgio Sartor
.bashrc
.bash_profile
.bash_logout
$HOME/bin
puo` controllare tutto.
Tutto dell'utente.
E quindi anche della possibilita` di
diventare root.
Post by Valerio Vanni
Post by Piergiorgio Sartor
Se uno puo` accedere al tuo account e tu
puoi diventare root, allora anche quello
puo` diventare root.
Se "Yoda può diventare root" vuol dire "Yoda apre una shell, mette 'su
-' e poi mette la password che sa a memoria, all'attaccante che ha
preso controllo del suo utente manca quel piccolo dettaglio.
Dopo avere creato un "su" apposito e messo
disponibile prima del "su" di sistema,
quel "piccolo dettaglio" diventa noto.

Lo ho spiegato prima. Leggiti il post precedente.

bye,
--
piergiorgio
Valerio Vanni
2021-08-07 11:04:23 UTC
Permalink
On Sat, 7 Aug 2021 12:43:14 +0200, Piergiorgio Sartor
Post by Piergiorgio Sartor
Post by Valerio Vanni
Se "Yoda può diventare root" vuol dire "Yoda apre una shell, mette 'su
-' e poi mette la password che sa a memoria, all'attaccante che ha
preso controllo del suo utente manca quel piccolo dettaglio.
Dopo avere creato un "su" apposito e messo
disponibile prima del "su" di sistema,
quel "piccolo dettaglio" diventa noto.
Lo ho spiegato prima. Leggiti il post precedente.
Spiega meglio...
Il "su apposito" gira con l'utente, andrà pure a sbattere i denti
contro qualcosa a livello di diritti?
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Piergiorgio Sartor
2021-08-07 12:10:50 UTC
Permalink
On 07/08/2021 13.04, Valerio Vanni wrote:
[...]
Post by Valerio Vanni
Il "su apposito" gira con l'utente, andrà pure a sbattere i denti
contro qualcosa a livello di diritti?
No. Il "su" taroccato non fa altro che dare
un errore, ma nel frattempo ha memorizzato la
password e poi, magari, lancia il "su" vero.
Non servono privilegi per *chiedere* la pass.

Questo e` solo uno dei *tantissimi* modi, vi
sono sicuramente altre possibilita`, come ho
gia` scritto, piu` o meno complesse.

Ad esempio, supponiamo che l'utente faccia
logout e poi poi torni come root.

Da bash, credo con .bash_logout, si puo`
simulare il logout e lanciare un "login"
taroccato che chiede user e pass e continua
come sopra (salva, da errore, continua con
"login" vero).

In pratica, se uno puo` accedere ad un account,
poi creare tutta una sessione "virtualizzata",
per cosi`, dire e fare sempre e continuamente
un "man-in-the-middle".

Non appena servono privilegi, si ritorna un
errore, ma nel frattempo il danno e` fatto.

bye,
--
piergiorgio
Yoda
2021-08-07 12:08:55 UTC
Permalink
Post by Piergiorgio Sartor
[...]
Post by Yoda
Si' ma mica ti seguo molto.. voglio dire: E cosa cambia se e'
diversa anche da quella degli altri user? se ce l'hai ce l'hai.
Appunto, non cambia assolutamente niente,
quindi puoi averla anche uguale, non e`
necessario sia diversa (la pass di root
da quelle degli altri utenti tuoi).
[...]
Post by Yoda
non uso e non ho mai usato su, (sudo addirittura disinstallo tutto
il disinstallabile e /etc/sudoers e' in bianco).
Non cambia niente.
Vi sono altre n-mila possibilita`.
Per esempio fare un fake logout.
Quella di sopra era solo una delle tante
possibilita`.
.bashrc
.bash_profile
.bash_logout
$HOME/bin
puo` controllare tutto.
Se uno puo` accedere al tuo account e tu
puoi diventare root, allora anche quello
puo` diventare root.
Quindi avere la pass di root diversa dalla
tua non aggiunge sicurezza.
Non mi e' riuscito di spiegarmi: il comando "su" non lo uso, MAI.
Dunque la passwd di root la metto solo a manina quando mi loggo
root, dovrebbe ipnotizzarmi per obbligarmi a batterla per lui.

Pero' ho vaghi ricordi di programmi pericolosi perche' suidati root,
ma non con la strada che indichi tu ciao
--
Yoda
Piergiorgio Sartor
2021-08-07 12:16:01 UTC
Permalink
On 07/08/2021 14.08, Yoda wrote:
[...]
Post by Yoda
Non mi e' riuscito di spiegarmi: il comando "su" non lo uso, MAI.
Dunque la passwd di root la metto solo a manina quando mi loggo
root, dovrebbe ipnotizzarmi per obbligarmi a batterla per lui.
Ma tu ti loggi come root sempre e
solo dopo un reboot?

Oppure fai un logout e poi login?

Quando fai logout e poi il prompt ti chiede
login e pass, come fai a sapere che quel
prompt e` "reale", appartiene al programma
"login" (o chi per esso), oppure e` solo
un "fake" che ti prende user e pass?

bye,
--
piergiorgio
Yoda
2021-08-07 13:39:20 UTC
Permalink
Post by Piergiorgio Sartor
[...]
Post by Yoda
Non mi e' riuscito di spiegarmi: il comando "su" non lo uso, MAI.
Dunque la passwd di root la metto solo a manina quando mi loggo
root, dovrebbe ipnotizzarmi per obbligarmi a batterla per lui.
Ma tu ti loggi come root sempre e
solo dopo un reboot?
Non necessariamente, posso avviare e loggarmi yoda alla console
tty1, poi pippo alla tty2, poi dopo - diciamo - due ore loggarmi
root alla tty6.

La macchina la spengo sloggando prima tutti, tranne eventualmente
root, e
- se c'e' root, allora root da' lo shutdown -h now
- altrimenti semplicemente spengo (con l'interruttore!) la macchina,
la qual cosa equivale allo shutdown, mentre il classico contraltcanc
da' il reboot. Invece il tasto di reset non ho mai osato appurare
cosa farebbe, potrebbe non essere intercettato!
Post by Piergiorgio Sartor
Oppure fai un logout e poi login?
Non capisco.. le console sono 6, che bisogno ho di sloggarmi? Ma mi
sa che mi stai chiedendo/dicendo altro.
Post by Piergiorgio Sartor
Quando fai logout e poi il prompt ti chiede
login e pass, come fai a sapere che quel
prompt e` "reale", appartiene al programma
"login" (o chi per esso), oppure e` solo
un "fake" che ti prende user e pass?
Ma e' un gatto che si mangia la coda, CHI ha potuto manomettere il
comando login? solo all'onnipotente root e' concesso farlo!

Io la macchina l'avvio all'antica in console a caratteri, nella GUI
ci vado nel caso dopo col comando startx; e root li' non ci va mai.
Forse tu pensi a quel disastro ecologico del login grafico ciao
--
Yoda
Piergiorgio Sartor
2021-08-07 13:51:07 UTC
Permalink
On 07/08/2021 15.39, Yoda wrote:
[...]
Post by Yoda
Non necessariamente, posso avviare e loggarmi yoda alla console
tty1, poi pippo alla tty2, poi dopo - diciamo - due ore loggarmi
root alla tty6.
OK, quindi hai una console dedicata
per root esclusivamente.
Questo e` bene e fa venir meno il
discorso di MTM, almeno mantenendo
questo contesto.

[...]
Post by Yoda
Ma e' un gatto che si mangia la coda, CHI ha potuto manomettere il
comando login? solo all'onnipotente root e' concesso farlo!
Ma quante volte te lo devo ripetere?

Se tu passi da utente a root (e non con
console dedicata) il comando "login" puo`
anche non essere /bin/login, ma $HOME/bin/login.

Se tu, invece come sembra, mantieni l'isolamento
tra utente e root, allora le cose vanno meglio.

In questo caso, allora va bene avere due pass
diverse (utenti vari e root).

bye,
--
piergiorgio
Yoda
2021-08-07 14:24:37 UTC
Permalink
-snip-
Post by Piergiorgio Sartor
In questo caso, allora va bene avere due pass
diverse (utenti vari e root).
Ok benissimo, ma tanto a root non l'avrei mai messa uguale.
La mia domanda era se per metterne una sola, uguale per tutti gli
user, ci fosse qualche controindicazione.
Be' mi sembra che tutti mi abbiate detto che non ce ne sono ciao e
grazie ancora
--
Yoda
Continua a leggere su narkive:
Loading...