Cao015/431-21-guruht talabasi Madrahimov Abdulhamid
Hisoblar importini cheklash uchun tarmoq guruhlaridan foydalanish
Download 100.62 Kb.
|
komp tash Abdulhamid
19.4.4.2 Hisoblar importini cheklash uchun tarmoq guruhlaridan foydalanishQaysi hisoblar /etc/passwd fayli tomonidan import qilinishini nazorat qilish uchun tarmoq guruhlari uskunasidan foydalanishingiz mumkin. Misol uchun, agar siz ma'lum bir tarmoq guruhi uchun hisoblarni oddiygina import qilmoqchi bo'lsangiz, u holda at belgisi (@) va tarmoq guruhi bilan ortiqcha (+) belgisiga amal qiling: ildiz: si4N0jF9Q8JqE: 0: 1: Janob. Root:/:/bin/sh +@operators::0:0::: Yuqoridagilar operatorlar guruhida sanab o'tilgan foydalanuvchilar uchun NIS parol xaritasi yozuvini olib keladi . Agar siz tarmoq guruhlarini ro'yxatga olishdan oldin istisnolarni sanab o'tsangiz, foydalanuvchilar yoki guruhlarni ham chiqarib tashlashingiz mumkin . Masalan ildiz: si4N0jF9Q8JqE: 0: 1: Janob. Root:/:/bin/sh -george::120:5::: -@gumonlanuvchilar::0:0::: +::0:0::: Yuqorida foydalanuvchi Jorj va shubhali tarmoq guruhidagi har qanday foydalanuvchidan tashqari barcha NIS parol xaritasi yozuvlari kiradi . QAYD: +@netgroup va -@netgroup belgilari NIS ning barcha versiyalarida ishlamaydi va boshqalarda ishonchli ishlamaydi. Agar siz ushbu xususiyatlardan foydalanmoqchi bo'lsangiz, ular kutilganidek ishlayotganligini tekshirish uchun tizimingizni tekshiring. Hujjatlaringizni o'qib chiqishning o'zi etarli emas. NIS UNIX tarmoqlariga ko'plab muvaffaqiyatli kirishlar uchun boshlang'ich nuqta bo'ldi . NIS foydalanuvchi hisoblarini nazorat qilganligi sababli , agar siz NIS serverini sizning hisob qaydnomangiz borligini translyatsiya qilishga ishontirsangiz , tarmoqdagi mijozga kirish uchun ushbu soxta hisob qaydnomasidan foydalanishingiz mumkin. NIS shuningdek, shifrlangan parol yozuvlari kabi maxfiy ma'lumotlarni keng foydalanishga imkon beradi. Bir nechta ishlab chiqaruvchilarning NIS dasturlari kodida dizayn kamchiliklari mavjud bo'lib , ular foydalanuvchiga NIS tizimini qayta sozlash va buzish imkonini beradi. Bu aldash ikki yo'l bilan amalga oshirilishi mumkin: asosiy RPC tizimini soxtalashtirish va NIS ni aldash orqali . NIS tizimi xizmatning ishlashiga bog'liq . Bu RPC uchun taqdim etilgan xizmat nomlariga ushbu xizmatlar bilan bog'lanish mumkin bo'lgan IP port raqamlariga mos keladigan demon . RPC dan foydalanadigan serverlar ishga tushganda o'zlarini ro'yxatdan o'tkazadilar va chiqish yoki qayta sozlashda o'zlarini ma'lumotlar bazasidan olib tashlaydilar. portmap portmap portmap Ilk versiyalari har qanday dasturga o'zini RPC portmap serveri sifatida ro'yxatdan o'tkazish imkonini berdi , bu tajovuzkorlarga o'z NIS serverlarini ro'yxatdan o'tkazish va so'rovlarga o'z parol fayllari bilan javob berish imkonini berdi. Sunning joriy versiyasi, agar xizmatlar masofaviy kompyuterdan kelgan bo'lsa yoki imtiyozli portga murojaat qilsa va imtiyozsiz portdan boshlangan ulanishdan kelib chiqsa, ro'yxatdan o'tish yoki o'chirish so'rovlarini rad etadi. Shunday qilib, Sun'ning joriy versiyasida faqat superfoydalanuvchi imtiyozli portlarga xizmat ko'rsatishni qo'shadigan yoki o'chiradigan so'rovlarni amalga oshirishi mumkin va barcha so'rovlar faqat mahalliy sifatida amalga oshirilishi mumkin. Biroq, demonning har bir sotuvchisi versiyasi bu tekshiruvlarni amalga oshirmaydi. Natijada, tajovuzkor muhim RPC o'rnini bosishi mumkin portmap portmap o'zining, bubi tuzoqqa tushirilgan versiyalari bilan xizmatlar. NFS va ba'zi NIS xizmatlari ko'pincha imtiyozsiz portlarda, hatto SunOS'da ham ro'yxatdan o'tishini unutmang . Nazariy jihatdan, hatto yuqorida ko'rsatilgan tekshiruvlar bilan ham, tajovuzkor ushbu xizmatlardan birini tizim so'rovlariga tizim xavfsizligini buzadigan tarzda javob beradigan maxsus yozilgan dastur bilan almashtirishi mumkin. Bu dasturlarning protokollari va aloqalarini chuqur tushunishni talab qiladi, ammo ular yaxshi hujjatlashtirilgan va keng tarqalgan. NIS mijozlari RPC qo'ng'iroqlari orqali NIS serveridan ma'lumot olishadi . Mahalliy demon, tegishli NIS server demoni uchun kontakt ma'lumotlarini keshlaydi . Demon mahalliy yoki uzoq bo'lishi mumkin. ypbind ypserv ypserv NIS xizmatining dastlabki SunOS versiyalarida (va ba'zi sotuvchilarning joriy versiyalarida) so'rovlarga o'xshash ypserv va javob beradigan dasturni yaratish mumkin edi ypbind . Keyinchalik mahalliy ypbind demonga haqiqiy demon o'rniga ushbu dasturdan foydalanishni buyurish mumkin edi ypserv . Natijada, tajovuzkor kirish so'roviga parol faylining o'z versiyasini (masalan,) taqdim etishi mumkin! (Buning xavfsizlik oqibatlari aniq bo'lishi kerak.) Joriy NIS ilovalari daemon ishga tushirilganda taqdim etilishi mumkin bo'lgan buyruq qatori bayrog'iga ypbind ega [12]. Agar bayroq ishlatilsa, demon imtiyozli portda ishlamayotgan serverdan hech qanday ma'lumotni qabul qilmaydi . Shunday qilib, ypserv demoni sifatida maskarad qilish uchun foydalanuvchi tomonidan taqdim etilgan urinish e'tiborga olinmaydi. Agar foydalanuvchi allaqachon superfoydalanuvchi huquqlariga ega bo'lmasa, foydalanuvchi ypservni alday olmaydi . Amalda, bayroqni ishlatmaslik uchun yaxshi sabab yo'q . -secure ypbind ypserv -secure [12] Balki oddiygina taqdim -s. Afsuski, -secure bayrog'ida kamchilik bor. Agar tajovuzkor mahalliy tarmoqdagi mashinada ildiz hisobini o'zgartira olsa va ypserv o'zining NIS ma'lumotlaridan foydalanish versiyasini ishga tushirsa, u faqat maqsadli ypbind daemonni ushbu serverga yo'naltirishi kerak. Buzilgan server imtiyozli portda ishlaydi, shuning uchun uning javoblari rad etilmaydi. Shunday qilib, jarayon ypbind uning ma'lumotlarini haqiqiy deb qabul qiladi va xavfsizlik buzilgan bo'lishi mumkin. Buzg'unchi ypserv kompyuterga asoslangan tizimda ishlaydigan "soxta" ham yozishi mumkin. Imtiyozli portlar bu kontekstda hech qanday ma'noga ega emas, shuning uchun soxta server istalgan ma'lumotni maqsadli jarayonga etkazib berishi mumkin ypbind . O'rnatish xatolari va NISdagi o'zgarishlarning kombinatsiyasi /etc/passwd faylidagi NIS plyus belgisi (+) bilan bog'liq ba'zi chalkashliklar keltirib chiqardi . Agar siz NIS dan foydalansangiz , ortiqcha belgisi serverlaringizda emas, balki mijozlaringizning /etc/passwd faylida bo'lishidan ehtiyot bo'ling . NIS serverida ortiqcha belgisi UNIX operatsion tizimining ayrim versiyalarida foydalanuvchi nomi sifatida talqin qilinishi mumkin . Ushbu muammodan qochishning eng oddiy usuli - NIS serveringizda "+" hisobingiz yo'qligiga ishonch hosil qilishdir . Mijoz mashinasiga nima qo'yish kerakligini aniqlashga urinish boshqa masala. NIS ning dastlabki versiyalari bilan quyidagi qator tarqatildi: +::0:0::: SunOS va Solaris da to'g'ri Afsuski, bu chiziq muammoga duch keldi. NIS ishlamayotganida , ortiqcha belgisi ba'zan hisob nomi sifatida qabul qilinardi va har kim so'rovda + ni kiritish orqali kompyuterga kirishi mumkin edi login: . Bundan ham yomoni: superfoydalanuvchi imtiyozlari bilan tizimga kirgan odam! Xavfni minimallashtirishning bir yo'li ortiqcha foydalanuvchi uchun parol maydonini kiritish edi. Shaklda ortiqcha belgisi qatorini belgilang: +:*:0:0::: Faqat NIS mijozlari uchun Afsuski, bu yozuv aslida "xaritani import qiling passwd , lekin barcha shifrlangan parollarni * ga o'zgartiring, bu esa hammaning tizimga kirishiga to'sqinlik qiladi. Bu yozuv ham to'g'ri emas edi! Ushbu chalkashlik bilan kurashishning eng oson yo'li - foydalanuvchi nomi sifatida + belgisidan foydalanib NIS mijozlari va serverlariga kirishga urinishdir . NIS serveriga kirish imkoni bo'lmaganda kompyuteringizga nima bo'lishini taqlid qilish uchun tarmoq kabelidan uzilgan holda tizimga kirishni ham xohlashingiz mumkin . Ikkala holatda ham foydalanuvchi nomi sifatida oddiygina + ni yozib tizimga kira olmaysiz. Ushbu yondashuv sizning serveringiz to'g'ri tuzilganligini bildiradi. Agar siz quyidagi misolni ko'rsangiz, sizda hech qanday muammo yo'q: login: Download 100.62 Kb. Do'stlaringiz bilan baham: 
|