Sobre vulnerabilidades no sistema (SUDO, principalmente)

13. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Homem Sem Nome
homemsemnome

(usa Debian)

Enviado em 30/04/2017 - 13:00h

Uma dúvida que eu tenho em relação a esse assunto é se fica mais fácil para o invasor quebrar a senha do sudo em comparação com a senha de root. Supondo que o cara de alguma maneira tenha se infiltrado na sua rede e "dibrado" o seu firewall, seria mais fácil para ele crackear a senha do sudo e escalonar privilégios? Geralmente as senhas de usuário são ridículas. Nego coloca o nome do cachorro, data de aniversário, nome da namorada (até parece que quem é linuxer tem uma né), etc., visto que ninguém quer digitar uma senha de 50 dígitos na hora do login e tal né.

Até hoje ninguém me respondeu isso.


  


14. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 30/04/2017 - 15:16h

Carlos_Cunha escreveu:


De uma olhada na minha resposta a 1°.
Consegue fazer aquilo descrito sem o sudo ?
Se sim(e me provar), eu considero que o SUDO e desnecessários.



Abraço
#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds




Primeiro que a senha de root não é para ser banalizada, se tem várias pessoas usando ela, ou com privilégios adm, para mim já tem algo errado logo ai.

Segundo, qual é essa tarefa mega importante que o usuário comum tanto precisa de privilégios administrativos ?

Terceiro, servidor ou máquinas em geral, são configurados pelo administrador uma vez de modo que os demais possam usar as estações sem precisar usar privilegio administrativo, que foi feito para o administrador, não para o usuário comum, uma vez configurado o cara só tem o trabalho de fazer a manutenção.

Apesar do que você levanto ser interessante, é muito questionável na pratica, alguém aqui confiaria um servidor com projeto secreto na casa dos bilhões a senha/privilegio (limitado ou não) de admin para 5, 10 pessoas ???


--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://goo.gl/mRzpg3
http://www.anahuac.eu/contrarrevolucao-osi/


15. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 30/04/2017 - 15:46h

Giovanni_Menezes escreveu:

Carlos_Cunha escreveu:


De uma olhada na minha resposta a 1°.
Consegue fazer aquilo descrito sem o sudo ?
Se sim(e me provar), eu considero que o SUDO e desnecessários.



Abraço
#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds




Primeiro que a senha de root não é para ser banalizada, se tem várias pessoas usando ela, ou com privilégios adm, para mim já tem algo errado logo ai.

Segundo, qual é essa tarefa mega importante que o usuário comum tanto precisa de privilégios administrativos ?

Terceiro, servidor ou máquinas em geral, são configurados pelo administrador uma vez de modo que os demais possam usar as estações sem precisar usar privilegio administrativo, que foi feito para o administrador, não para o usuário comum, uma vez configurado o cara só tem o trabalho de fazer a manutenção.

Apesar do que você levanto ser interessante, é muito questionável na pratica, alguém aqui confiaria um servidor com projeto secreto na casa dos bilhões a senha/privilegio (limitado ou não) de admin para 5, 10 pessoas ???


--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://goo.gl/mRzpg3
http://www.anahuac.eu/contrarrevolucao-osi/


Estou tratando que a pergunta dele seja a amplo cenário, mas voltado a parte de "insegurança" e argumentos que usam, os quais rebati.
Se for eu ainda, não obtive nada que que prove que o SUDO seja "ruim", pensando mais , agora considero até melhor.

Agora se for a nível "caseiro" , ai é outros 500...
Em caso se quiser pode ter login automático, em casa é para usuário normal, se quiser usar ou não o sudo, e realmente a gosto.


Abraço
#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds


16. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 30/04/2017 - 15:48h

homemsemnome escreveu:

Uma dúvida que eu tenho em relação a esse assunto é se fica mais fácil para o invasor quebrar a senha do sudo em comparação com a senha de root. Supondo que o cara de alguma maneira tenha se infiltrado na sua rede e "dibrado" o seu firewall, seria mais fácil para ele crackear a senha do sudo e escalonar privilégios? Geralmente as senhas de usuário são ridículas. Nego coloca o nome do cachorro, data de aniversário, nome da namorada (até parece que quem é linuxer tem uma né), etc., visto que ninguém quer digitar uma senha de 50 dígitos na hora do login e tal né.

Até hoje ninguém me respondeu isso.



Para min não muda.
Se vc colocar senha fraca no seu cartão do banco, ele será tão fácil "quebrada" quanto qualquer outra coisa, que tenha uma senha fraca.

Abraço
#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds


17. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Patrick
Freud_Tux

(usa Outra)

Enviado em 30/04/2017 - 21:10h

Concordo que só a existência do SUDO é um erro.

Ele dá privilégios administrativos a um usuário comum... Ótimo a besteria tá feita!
Esse usuário já abre a sessão dele com um pedacinho do sistema com privilégios administrativos. Vamos supor, que ele use o Libreoffice com o Java... E vamos supor, que esse Java tenha uma falha que possibilite dar acesso a sessão do usuário...
Vamos supor então, que alguém com bastante tempo livre, ache essa falha nesse Java e dispara um ataque.
Logo, temos uma máquina com semi-poderes de adm nas mãos de terceiros, e pra ele ter acesso a todo o sistema é questão apenas de tempo.

O sudo não é uma boa ideia e nunca foi, se for pra ter sudo, é melhor usar janelas logo.
A ideia é subir o root apenas quando for necessário e pronto, deixar um usuário comum com poderes de adm em qualquer máquina não é uma boa ideia.

T+
-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";


18. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Perfil removido
removido

(usa Nenhuma)

Enviado em 30/04/2017 - 21:15h

Freud_Tux escreveu:

Concordo que só a existência do SUDO é um erro.

Ele dá privilégios administrativos a um usuário comum... Ótimo a besteria tá feita!
Esse usuário já abre a sessão dele com um pedacinho do sistema com privilégios administrativos. Vamos supor, que ele use o Libreoffice com o Java... E vamos supor, que esse Java tenha uma falha que possibilite dar acesso a sessão do usuário...
Vamos supor então, que alguém com bastante tempo livre, ache essa falha nesse Java e dispara um ataque.
Logo, temos uma máquina com semi-poderes de adm nas mãos de terceiros, e pra ele ter acesso a todo o sistema é questão apenas de tempo.

O sudo não é uma boa ideia e nunca foi, se for pra ter sudo, é melhor usar janelas logo.
A ideia é subir o root apenas quando for necessário e pronto, deixar um usuário comum com poderes de adm em qualquer máquina não é uma boa ideia.

T+
-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";


Mas isto funciona se o SUDO da máquina estiver configurado para pedir obrigatoriamente senha quando for usado?
Ou liberar SUDO para não pedir senha mesmo que seja máquina de 1 user só já é uma falha de segurança?

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden



19. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Ricardo Groetaers
ricardogroetaers

(usa Linux Mint)

Enviado em 01/05/2017 - 01:24h

homemsemnome escreveu: .... visto que ninguém quer digitar uma senha de 50 dígitos na hora do login e tal né.

https://images.duckduckgo.com/iu/?u=http%3A%2F%2Ffarm6.static.flickr.com%2F5536%2F10992480703_390865...



20. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Patrick
Freud_Tux

(usa Outra)

Enviado em 01/05/2017 - 09:45h

listeiro_037 escreveu:

Freud_Tux escreveu:

Concordo que só a existência do SUDO é um erro.

Ele dá privilégios administrativos a um usuário comum... Ótimo a besteria tá feita!
Esse usuário já abre a sessão dele com um pedacinho do sistema com privilégios administrativos. Vamos supor, que ele use o Libreoffice com o Java... E vamos supor, que esse Java tenha uma falha que possibilite dar acesso a sessão do usuário...
Vamos supor então, que alguém com bastante tempo livre, ache essa falha nesse Java e dispara um ataque.
Logo, temos uma máquina com semi-poderes de adm nas mãos de terceiros, e pra ele ter acesso a todo o sistema é questão apenas de tempo.

O sudo não é uma boa ideia e nunca foi, se for pra ter sudo, é melhor usar janelas logo.
A ideia é subir o root apenas quando for necessário e pronto, deixar um usuário comum com poderes de adm em qualquer máquina não é uma boa ideia.

T+
-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";


Mas isto funciona se o SUDO da máquina estiver configurado para pedir obrigatoriamente senha quando for usado?
Ou liberar SUDO para não pedir senha mesmo que seja máquina de 1 user só já é uma falha de segurança?

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden



Ai que tá!
Para o SUDO pedir a senha para um usuário, ele tem que estar ativado para esse usuário, ou seja, ele está lá na sessão. Se algum arquivo do sistema tiver uma brecha explorada, o primeiro lugar que vai pro espaço é o arquivo do /etc/sudoers e as outras configurações relacionadas ao sudo, justamente por possibilitarem alterações que são um atalho para tomar controle da máquina, e até alterações remotamente. Muitas máquinas domésticas podem ser usadas como zumbis por exemplo.
Pode demorar, claro que pode, mas se uma brecha de segurança pode ser evitada, então, é melhor o fazer.

Já ativar o SUDO ara não pedir senha dentro de uma sessão de um usuário já é um erro, pois ele vai está ativado e rodando... Se o cara fica baixando coisas de tudo que é lugar, nem precisa de muito pra máquina rodar.

T+

-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";


21. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Perfil removido
removido

(usa Nenhuma)

Enviado em 07/05/2017 - 21:22h

Carlos_Cunha escreveu:

Sobre a questão de segurança, "nunca" vi provas que seja inseguro ou que vejo são pessoas que não gostam de usar ele, por muitas manias pessoais, e não insegurança, assim como Systemd, muitos reclama por não querer aprender a usar outra coisa além daquilo que ja fazem a anos.
Vou listar o por que uso o SUDO e recomendo sempre que possível usar:

1° e 2° - Ele garante que vc tera registro de quem executou a ação X, tente fazer auditoria sem isso, com todos sendo root(0/0), impossível
3° - Evita que faça algo errado sem querer, sendo root direto , qualquer coisa pode se tornar um problema
4° - Pode se limitar comados "com importância" que podem ser usados por X usuário ou Y grupo, assim garante que fica somente nisso.
5° - A vários usuários que podem ser administradores, cada um com sua senha e acesso, deixando o root como caso específicos.


Mais info:



Minha opinião.

Abraço
#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds


Sudo: Permite Escalonamento de Privilégios


http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=sudo

https://www.cvedetails.com/product-search.php?vendor_id=0&search=sudo

http://www.linuxmint.com.br/discussion/23032/sudo-vulnerabilidade-permite-escalonamento-de-privilegi...



22. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Perfil removido
removido

(usa Nenhuma)

Enviado em 08/05/2017 - 00:35h

Isto aqui é um exemplo hipotético de SUDOERS. Quebrei um pouco a cabeça para imaginar um cenário.
É meia-boca. Talvez vocês entendam. O caso é que foi feito às pressas.
Ele funciona. Fiz um exemplo com scripts em /opt que seriam para atualizar.
Quem quiser pode "inventar" outras coisas para melhorar o exemplo.

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

Cmnd_Alias SHELLS = /usr/bin/chsh, /usr/bin/ssh, /bin/bash, /bin/dash, /bin/rbash, /bin/sh

Cmnd_Alias NOT = /usr/sbin/visudo, /usr/bin/vim, /usr/bin/vi, /usr/bin/nano, /bin/sed

Cmnd_Alias CONTROLE = /usr/bin/apt-get

Cmnd_Alias SERVS = /opt/store/apache, /opt/store/mysql

Cmnd_Alias UTILS = /opt/store/update, /opt/store/upgrade

User_Alias ADMINS = k48s3c

User_Alias USERS = usermax

ADMINS ALL = !SHELLS, !NOT, CONTROLE, SERVS

USERS ALL = !NOT, UTILS



----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden



23. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Pekman
pekman

(usa Outra)

Enviado em 08/05/2017 - 03:28h

O SUDO possui problemas, inclusive o OpenBSD criou o DOAS.

https://www.openbsd.org/faq/faq10.html#doas

Configurar o DOAS e muito mais simples que o SUDO.


24. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Perfil removido
removido

(usa Nenhuma)

Enviado em 08/05/2017 - 03:42h

O mais perto que Debian tem de DOAS é /usr/share/zsh/functions/Completion/Unix/_doas

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts