¿Cómo puedo mantener los nombres de usuario fuera de / etc / passwd en LINUX [duplicado]

4

He tenido el reto de auditar un sistema de seguridad en un escenario y dar varias áreas que tenemos que auditar. La mayoría de los cuales eran fáciles de entender y de proporcionar vulnerabilidades, además de mitigarlas. Sin embargo, uno de ellos es nombres de usuario, en los que no tengo ninguna pista en absoluto. Me guiaron y me dijeron que usara sudo su y less / etc / passwd para ver una lista de nombres de usuarios, Bastante fácil.

La única vulnerabilidad potencial es que no puede descifrar / usar una contraseña para obtener acceso a una cuenta si no tiene un nombre de usuario, entonces, ¿qué podría hacer alguien para mitigar eso? Me ha dejado perplejo durante semanas.

    
pregunta TheJordyluke 22.03.2016 - 20:44
fuente

3 respuestas

2

Puede mitigar esto utilizando un servidor externo (tal vez LDAP, Samba, NIS, ..) para la autenticación del usuario, y utilizando un sistema de archivos de red (NFS, Samba, ..) para los directorios principales, y / o haciendo estos basado en UID en lugar de nombre de usuario.

Si decide implementar esto, compruebe que la autenticación de la red no rellene las entradas en el archivo de contraseñas: IIRC, algunos sistemas lo hacen.

Aunque los nombres de usuario a menudo no se ven como un riesgo, es el 50% de la información necesaria en un mecanismo de autenticación de usuario + contraseña / clave, y es por eso que un mecanismo de inicio de sesión bien comentado dirá "nombre de usuario o contraseña incorrectos" y no " contraseña incorrecta '.

Otra consideración es que en algunas circunstancias, un nombre de usuario se asigna fácilmente a una dirección de correo electrónico, por lo que un atacante puede utilizarlo para recopilar datos útiles.

Una consideración más paranoica es que en una solución multiusuario, un usuario autorizado que quiera hackear probablemente quiera trabajar con el inicio de sesión de otra persona.

    
respondido por el Phil Lello 22.03.2016 - 21:24
fuente
1

En general, estoy de acuerdo en que un nombre de usuario no se considera información confidencial, pero he oído hablar de situaciones en las que no desea publicitar su lista de usuarios.

Considere un servidor * nix que acepte conexiones SSH. Una buena implementación de SSH no le dirá si su inicio de sesión falló debido al nombre de usuario o la contraseña. Sin una lista de nombres de usuario, un atacante debe adivinar el nombre de usuario y la contraseña de ambos . Por supuesto, estos no son el usuario de Holy Grail root , pero nunca se sabe, uno de ellos podría estar en sudoers . También se concede que un atacante inteligente probablemente tenga otras formas de detectar nombres de usuarios, pero es un pensamiento ...

    
respondido por el Mike Ounsworth 22.03.2016 - 21:13
fuente
0

Usted mismo respondió a la pregunta y ver los nombres de usuario no es una vulnerabilidad . Incluso si, normalmente, un atacante o interno solo estaría interesado en una cuenta, y eso es root. Podría restringir las posibilidades de mostrar a otros usuarios en el sistema, pero es el usuario raíz que no puede ocultar y el único relevante.

    
respondido por el AdHominem 22.03.2016 - 21:00
fuente

Lea otras preguntas en las etiquetas