Na druhou stranu, pokud mam LDAP uzivatele, tak je skypu seznam z /etc/passwd nahouby. On by spravne nemel do /etc/passwd pristupovat primo, ale mel by pouzivat obecne funkce na zjistovani seznamu uzivatelu. Jinak je otazka, co pak se seznamem z /etc/passwd dela a take co presne hleda ve Firefox profilu (ja tam mam napriklad ulozeny hesla pro web pristupy, samozrejme zaheslovana, rekl bych, dostatecne silnym heslem). Ale i tak mam skype v chrootu, kde krome nejnutnejsich knihoven a pribindovanyho /tmp/.X11-unix nic jineho neni.
A zjistil nekdo, ze na LDAP stanici se nehrabe na LDAP? Podle mne pouziva normalniho volani glibc pro pristup k passwd databazi a ta pouzije cokoliv je nakonfigurovano v nsswitch.conf. Obvykle je tam i "files", coz pak v strace vygeneruje pristup do /etc/passwd. Schvalne, jestli po smazani "files" z nsswitch.conf prestane skype a dalsi utility "hackovat system"... :)
Jenom zvedavost: ten /tmp/.X11-unix je tam kvuli tomu, aby mohl normalne bezet ve stejnych XWindows jako ostatni programy? Jestli ano, tak jak se to dela? Jak jsem si ted overil, tak je to socket... Diky
Ja to resim tak, ze mam extra uzivatele a skype poustim pod nim. Ten extra uzivatel pak samozrejme nema pristup vicemene nikde (krome X serveru, nebot to poustim pres xsu)
Asi to neni tak bezpecny jako chroot (do /etc/passwd furt muze) ale zase nehrozi ze by zaposoval nebo byt i jenom cetl data z ostatnich uctu ("chmod 700 $HOME" to jisti :)
Pravdou je.. ze v passwd je jen seznam uzivatelu a max cisla skupin... a taky shell a domovsky adresar ostatnich uzivatelu... pro bezny desktop nic duleziteho... ale sem zvedavej.. jak by se na otevreni tohoto souboru koukali takovi admini serveru... kdyz jednim z nejcastejcich utoku, spociva v uhadnuti hesla ruznych uzivatelu... a pokud mate seznam uzivatelu... jde jen o to uhadnout hesla jiz znamych "pouzitelnych" (maji shell) uzivatelu.
To ze skype kouka kam muze a nedela nic nekaleho je jena vec... ovsem to jestli toho zneuziva nebo ne... uz je vec druha. Fakt je ze duverovat progamatorovi / adminovi v mnoha pripadech proste musite..., ale to na bezpecnostim riziku nic nemeni.
ak ma niekto v sebe malicku davku paranoie, tak nepouziva rovnake hesla do systemu a do IM ktore si hesla uchovavaju v boh vie akom formate u seba v db.
Rovnako ako ked niektore weby vyzaduju miesto loginu prihlasovanie pomocou emailovej adresy je blbost pouzit pre pristup k tekemuto webu rovnake heslo ako je heslo k danemu emailovemu uctu ktory sluzi ako login.
co sa tyka uchadnutia hesiel to uz predpokladam nikto normalny so zdravym rozumom nerobi. Snad mimo automatickych botov.
Nehovorim o tom ze spravca OS si sam urcuje hesla pripadne min. zlozitost hesla jeho pouzivatelov.
Za dalsie k comu bude skypu login/pass na ucet na nejaky linuxovy desktop ktory je este k tomu z 90% bud s dynamickou IP alebo za natom.
Hm, a vis, co ty programy pak s temi udaji provadi? Mozna ne, ale mas moznost si to zjistit (teda aspon predpokladam, ze uvedene programy maji pristupne zdrojove kody ;-) ). A mas tuto moznost u Skypu? Jsem si jisty, ze ne.
Ale z druheho soudku: zatim se tu vsichni "zhrozili" nad tim, ze cte /etc/passwd, kdyz z neho "nic" nevycte (McBig ma pravdu). Jenze on cte taky profil FireFoxu a ten prece ma ulozena hesla, ktera musi umet rozsifrovat, aby je mohl vlozit do prihlasovacich formularu. Kde jsou ta hesla ulozena? Nejsou prave v tom profilu? Nebo to cele funguje jinak? Opravdu nevim, proto se ptam.
Nemuseji byt. Pokud je cely $HOME na sifrovanem disku, tak pak lze master heslo vypustit (za predpokladu ze nepouzivam programy ktere delaji neco co nemam pod kontrolou)
a k heslum se stejne nikdo nedostane pokud pocitac zrovna nebezi.
(Nebo pokud je uzivatel BFU, ale to je pak o necem jinem :)
máš pravdu, já jsem narážel hlavně na zmínku o /etc/passwd v titulku. hesla ve firefoxu sice neukládám, ale taky by se mi nelíbilo šťourání v bookmarcích a historii mého webového prohlížeče.
Hesla nejdou jen tak rozsifrovat. Jedna se o jednosmerne kodovani, kdy se heslo prevede podle jisteho algoritmu podobnemu hashovaci funkci, kdy ma jakekoli heslo ve vyslednem prekodovanem tvaru vzdy stejnou velikost. Vlastnosti algoritmu je, ze nelze postupovat opacne ze zakodovaneho stavu k puvodnimu. Pokud to zkusis, tak zjistis, ze dostanes nekonecne mnoho moznych vysledku :) Funguje to tak, ze se heslo zakoduje do takovehoto hashe, ten se ulozi a pri kazdem zadavani hesla se ono pokazde opet koduje a porovnava s ulozenym.
ze je to sifrovani si prave nemyslim, nebot to nelze rozsifrovat ani se specialni znalosti. avsak je pravda, ze slovo kodovani taky neni nejvic trefne, ale nic abstraktnejsiho me nenapada :)
měl jsem nutkání slovíčkařit, nevšiml jsem si, že "šifrovat" jsi tam aspoň jednou použil. asi máš pravdu, je to solené hashování. nakoukl jsem do manuálové stánky cryptu a trochu se podivuju nad tím, že linux crypt ještě používá md5 algoritmus, ale snad se pletu..
O tomhle systemu sifrovani (ano, sifrovani, spatne jsem se vyjadril) vim, ale kdyz si otevru Spravce hesel, umi mi hesla zobrazit. A do formularu mi heslo dosadi, takze ho nemusim zadavat rucne.
Takze to asi tak uplne jednosmerne nebude. Teda, to sifrovani samozrejme ano, ale asi pro lokalni ukladani hesel neni pouzito. Nebo je to jinak?
Buhvico Skype jeste dela - jen obcas, aby to nebylo napadne :-))
Pokud data z /etc/passwd nekam posle, mohla by pro nekoho byt zajimava minimalne cela jmena, ktera tam jsou uvedena a co ja vim - treba i to, jaky je k nim v radce prirazen shell. Problem neni v tom, ze se tam diva, problem je v tom, ze nelze nijak uhlidat, zda ta data nekam neposila. Uz to samo o sobe je v mem pripade urcujici: Skype na mem PC v zadnem pripade.