Modernização e Avanço do Linux.

albfneto
(usa openSUSE)

Enviado em 08/11/2024 - 12:51h

Estou aqui a vários anos. No VOL e usando Linux.
Vejo uso cada vez mais profissional. Em internet, administração de redes, servidores etc...
Para usuário comum, cada vez mais facilidade.
As várias distros se,tornaram estáveis e cada vez mais fáceis de usar.
Dúvidas que eram comuns, exemplo por exemplo de como instalar uma distribuicao ou um pacote, nos dias atuais praticamente nao ocorrem mais.
Parabéns aos desenvolvedores e aos usuarios do nosso sistema operacional favorito.
Cada vez mais moderno, mais facil de usar e mais aperfeiçoado.

Buckminster
(usa Debian)

Enviado em 09/11/2024 - 23:55h

Concordo, mas tenho algumas ressalvas.
Sou usuário do Debian.
No Debian ainda tem o problema depois de 30 anos de, no login e senha, você não saber se errou no login ou na senha, pois a mensagem é a mesma.
Já enviei e-mails para os desenvolvedores, pois isso atrapalha, até faz alguém desistir de usar o sistema, mas não tive resposta.
No meu Debian eu consertei isso.
Além de outras coisas que tenho anotadas, é uma lista grande com coisas pequenas.
Fora isso, concordo, o Linux se aperfeiçoou.
O problema do Linux ainda são os Jogos, os fabricantes não fazem drivers para Linux porque não tem saída, mas não tem saída porque eles não fazem drivers para Linux.
Virou um ciclo vicioso.
Os desenvolvedores deveriam fazer drivers para jogos para o Linux, mas a resistência em relação a isso é grande.
Você faz um driver e envia para eles e vira um debate interminável.
Chega na hora, resolvem trabalhar numa empresa ganhando bem, nada contra, mas isso fere o software livre.
Enfim, o Linux é utilizado 4 ou 5% no mundo como Desktop e uns 70% como servidor.



_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

amarildosertorio
(usa Fedora)

Enviado em 10/11/2024 - 09:11h

Então, faz mais de 30 anos que o Debian mitigou a vulnerabilidade de enumeração de usuários? Um exemplo a ser seguido.

Delusion
(usa Debian)

Enviado em 10/11/2024 - 14:22h

Eu cheguei no linux na fase final de expansão para usuários leigos, graças ao tio Mark shuttleworth; obrigado!
Devido à essa rápida expansão havia a impressão geral de muita coisa a ser ajustada, pois antes só os nerds usavam linux, na faculdade; era um nojo.
Hoje, mais de uma década depois, as coisas parecem terem dado uma estagnada, o suporte a hardware ainda é capenga. Na visão não técnica desse aqui, não percebi tanta evolução. O que percebo que surgiram bastante foram alternativas a velhos problemas. Mesmo assim, vale à pena usar e dominar as ferramentas que precisamos para fazer nosso trabalho.
vida longa ao linux!

Buckminster
(usa Debian)

Enviado em 11/11/2024 - 10:11h

Alguém que pretende invadir um sistema tem de ter um certo conhecimento e não é pela mensagem de "Senha inválida" ou "Usuário inválido" que fará isso.
Além disso, sabendo que o Debian apresenta uma mensagem única de "Sua senha está errada. Por favor, tente novamente.", tendo acesso físico à máquina e sabendo que há um arquivo com os usuários, não impede que se use um programa para enumeração de usuários.
E mais além disso, ataques de enumeração de usuários geralmente são feitos via web pela página de login apresentada pelo navegador e para ter uma segurança maior de usuários e senhas tem de também criptografar no banco de dados, mas entendi teu ponto.
O que eu quis dizer é que bastaria substituir a mensagem no Debian por: "Senha e/ou usuário errados". Fica mais amigável para o usuário que está iniciando no Linux e não diz se foi a senha ou se foi o usuário que foi digitado errado.

Outra questão a considerar, seguindo essa lógica, tendo acesso físico à máquina, usar o init=/bin/bash é considerado uma vulnerabilidade?
Apesar de que o Debian (e derivados) dificultaram, ainda dá para acessar pelo Grub parando a contagem com as setas, teclando "e" e digitando no final da linha vmlinuz 'set -m init=/bin/bash' (sem as aspas) e dando F10 que reiniciará e cairá no prompt como root sem pedir senha. Daí é só alterar usuário, senha, etc, o que quiser. Nem precisa ter o trabalho de enumerar os usuários para depois fazer o login.

_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

amarildosertorio
(usa Fedora)

Enviado em 11/11/2024 - 10:29h

Lido com demandas de SOC diariamente e, com todo respeito, discordo. O Debian realmente mitigou uma vulnerabilidade de enumeração de usuários, e isso é um fato!

"Enumeração de usuário é considerada uma vulnerabilidade, pois permite que um invasor obtenha informações sobre quais usuários existem em um sistema, servidor, ou aplicação. Esse tipo de vulnerabilidade pode ser explorado em ataques, como força bruta ou phishing direcionado, uma vez que facilita a identificação de alvos válidos.

Em sistemas onde a enumeração de usuários é possível, geralmente há respostas diferentes para usuários existentes e não existentes, o que possibilita a dedução de credenciais válidas. Portanto, embora não seja necessariamente um ataque em si, a enumeração de usuários é uma vulnerabilidade que pode ser usada em conjunto com técnicas de ataque para comprometer a segurança de um ambiente."

amarildosertorio
(usa Fedora)

Enviado em 11/11/2024 - 10:36h

Sim, o acesso físico à máquina com a possibilidade de usar o parâmetro init=/bin/bash no boot é considerado uma vulnerabilidade de segurança.

Buckminster
(usa Debian)

Enviado em 11/11/2024 - 11:06h

1)
"Em sistemas onde a enumeração de usuários é possível, geralmente há respostas diferentes para usuários existentes e não existentes, o que possibilita a dedução de credenciais válidas. Portanto, embora não seja necessariamente um ataque em si, a enumeração de usuários é uma vulnerabilidade que pode ser usada em conjunto com técnicas de ataque para comprometer a segurança de um ambiente."

Para resolver o problema de tempo de resposta e/ou de respostas diferentes basta realizar a operação de hash independentemente de o usuário existir ou não na aplicação. Desta forma, o hash sempre será computado e o tempo de resposta será aproximadamente o mesmo independentemente do usuário fornecido, seja ele existente ou não no banco de dados.
Exemplo:
...
password = hash_function(params[:pasword])
if user.exists? && (user.password == password)
...

https://www.sidechannel.blog/era-uma-vez-uma-enumeracao-de-usuarios/

2)
"Lido com demandas de SOC diariamente e, com todo respeito, discordo. O Debian realmente mitigou uma vulnerabilidade de enumeração de usuários, e isso é um fato!"

E onde eu disse que o Debian não mitigou a vulnerabilidade de enumeração de usuários?
Eu somente disse que não precisa ter o trabalho de enumerar usuários se se pode entrar com init=/bin/bash.
O que eu quis dizer é que bastaria substituir a mensagem do Debian por: "Senha e/ou usuário errados", ou outra mais amigável para o usuário, pois essa mensagem não diz se foi a senha ou se foi o usuário que foi digitado errado, o que não afetaria em nada na mitigação da vulnerabilidade da enumeração de usuários.
Somente propus a troca da mensagem, só isso.


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

amarildosertorio
(usa Fedora)

Enviado em 11/11/2024 - 11:15h

Se o atacante tem acesso e a empresa não corrige as vulnerabilidades, isso facilita a exploração, mas não impede que outras vulnerabilidades sejam mitigadas.

Um atacante com acesso a uma máquina na rede tentará realizar movimentação lateral.

amarildosertorio
(usa Fedora)

Enviado em 11/11/2024 - 11:57h

Falando sobre segurança, nos últimos anos, percebo que tanto o kernel Linux quanto o projeto GNU têm se dedicado bastante ao tema. Faço controle de erratas, e o kernel recebe atualizações frequentes com patches rápidos para corrigir vulnerabilidades críticas, o que é excelente. Parabéns à comunidade GNU/Linux pelo trabalho incrível!

tipoff
(usa Nenhuma)

Enviado em 11/11/2024 - 12:52h

Então, mas essa mensagem é exibida a nível de interface gráfica (GDM/SDDM/etc)? Ou no login modo texto?

Se for no primeiro caso, o problema deveria ser tratado com os desenvolvedores do GDM (GNOME), ou SDDM (Plasma), etc...

amarildosertorio
(usa Fedora)

Enviado em 11/11/2024 - 12:59h

A mitigação da vulnerabilidade de enumeração de usuários é geralmente realizada por meio de configurações no PAM, que impactam tanto a interface gráfica quanto o terminal.

/etc/pam.d/common-auth
/etc/pam.d/gdm-password