"Figy, ezt végtelenségig folytathatjuk, mindenre van ellenmegoldás, és arra is további ellenmegoldás-védelem, stb-stb"
Persze. Ettõl még a tény az tény marad, hogy a linuxhoz képest a winben egyel több védelmi szint van a jelszólopás ellen, ami a statisztikák alapján sok kisérletet meghiusit. Ennyi, nem kell ide többet belemagyarázni de nem kell elbagatelizálni sem a dolgot, el kell fogadni, mint tényt.
De nyilván egy olyan munkahelyen, ahol nem kicsiben játszanak és a rendszergazdát megfizetik, ügyel a biztonságra. Használjon akár Solarist, vagy mittomén ...
Legutóbbi tanulmányt az L+R ill. Matáv publikált jelszavain néztem (ezeket feltették anno a webre), akkor készültek jó kis statisztikák arról, hogy a magyarok általában milyen bonyolultságú kódokat használnak. Szerintem azok a publikációk még mindig kint vannak valahol. Azonban még emlékszem az RC5-56 (ez volt kb. 1 év, worldwide, egyetlen kódot keresve) és RC5-64 statisztikákra (ez párszáz évre datálták a haladás alapján, és ha jól tudom fel is hagytak vele).
A felhasználók száma nem lényegtelen, nemtom te milyen adatbázist néztél, de inkább 10'000+ hash-el komparálja össze. Már amennyiben ilyesmihez hozzá tudsz jutni. (Amik kinnt voltak, ilyen nagyságrendben mentek) De ha neked otthoni userek átverése a célod...
Onnan is el lehet lopni, pont ugyanazzal az accounttal aki felhasználókat menedzseli.
- Aki viszont ehhez nem fér hozzá csak egy rögzített interface-n keresztül, amin nem tud lekérdezni (a shadow elve is hasonló, csak épp fizikailag nincs elválasztva) A másik gépen nem kell, hogy akár felhasználó-szintû jogosultságod is legyen, elég ha az interface-n tudsz kommunikálni.
Figy, ezt végtelenségig folytathatjuk, mindenre van ellenmegoldás, és arra is további ellenmegoldás-védelem, stb-stb. A páncélgyáros és a fegyvermester végtelen harca ld. Verne. A lényeg az, hogy meg kell keresni, az adott szituációban mi a megfelelõ biztonsági megoldás, ami még nem gátol, de már elegendõ védelmet biztosít. Home usernek bõven elég a shadow, és ne engedjen oda senkit a root-konzolhoz :).
"És ha a teljes ascii (netántán unicode-32) domain-t engedélyezed, akkor párszáz/ezer év alatt akár el is jutsz a 8. karakterig... "
Rég nézhetted ezt :))
"Felhasználók számától függõen persze. "
A felhasználók száma tökéletesen lényegtelen. Több tízmillió hash-t generálunk ilyenkor másodpercenként, hogy ezeket összehasonlítod-e 1 vagy 100 felhasználó ismert hashével az elhanyagolható mértékben befolyásolja csak a töréshez szükséges idõt.
"Ahol nagyobb biztonság kell, ott a jelszavakat távoli adatbázisban tárolják, mint unix, mint win-es környezetben."
Onnan is el lehet lopni, pont ugyanazzal az accounttal aki felhasználókat menedzseli.
"Az oprendszer csak lehetõségeket tud adni a minimalizálásra: a sudo-val és csoportok használatával a legtöbb adminisztrátori teendõ megoldható anélkül, hogy root-shell-t kéne használni"
Igen, csak a fentiek mellett a win még a lock-ot is biztosítja, ezért biztonságosabb. Ez tény, kismillió példa van az ilyen lopásokra.
És ha a teljes ascii (netántán unicode-32) domain-t engedélyezed, akkor párszáz/ezer év alatt akár el is jutsz a 8. karakterig... Felhasználók számától függõen persze. Akkor már több sikerrel indulhatnál egy ssh-exploit-al, hátha valaki nem frissített... Szerintem valaki nyomja is most keményen valaki zombi-gépekrõl éjjel 11 és hajnal 2 között (tegnapelõtt Anglia, tegnap meg kínai-nak látszó ip-rõl), nem te vagy az? :)
A shadow-t általában kis rendszereknél szokták használni (ld. otthon). Ahol nagyobb biztonság kell, ott a jelszavakat távoli adatbázisban tárolják, mint unix, mint win-es környezetben. Az meg, hogy ki mennyire szeret root-ként dolgozni, az tényleg "magánügy", egyéni felelõsség, nem kenhetõ egy adott rendszerre. Az oprendszer csak lehetõségeket tud adni a minimalizálásra: a sudo-val és csoportok használatával a legtöbb adminisztrátori teendõ megoldható anélkül, hogy root-shell-t kéne használni, gondolom win alatt is van valami ilyesmi megoldás. Ha pedig fizikailag hozzáférsz a rendszerhez, akkor tényleg csak a titkosított parti segít, bármilyen oprendszerrõl is legyen szó...
Szerintem teljesen egyértelmû, hogy a rendszergazda hibája mert felelõtlen. Kétségtelen a Linux is lockolhatna, de aki ennyire paranoiás az úgyis felteszi a NSA féle SELinux kernelt, ami bár én még sohasem próbáltam (mert túl bonyolultnak tûnt) szakit a félisten (root) koncepcióval.
nemhogy a magyar ékezeteket, de a teljes ascii készletet kiválóan kezelik a mai jelszótörõk, úgyhogy emiatt senki ne érezze magát biztonságban.
Hát ez pedig a linux hibája. Nyugodtan tehetne exclusive lock-ot a file-ra és akkor nem lehetne csak úgy pár másodperc alatt ellopni az összes jelszót. A windowsban ez korrektebben van megoldva.
Meg lehet próbálni a rendszergazdára kenni, de attól még a probléma létezõ marad, winen is linuxon is elõfordul, hogy (jó esetben csak) pár mp-re felügyelet nélkül marad egy admin konzol. Winen minimális az esélye, hogy ezt ki tudd használni, linuxon gyerekjáték.
Ugy emléxem ,hogy a legtöbb jelszófeltörõ progi (angolok) nemkezelik a különleges karaktereket,pl a hun :áõúûóüö és ezért nemtudtak feltörni.De lehet hogy csak mákom volt....
Fizikai hozzáférés ellen max titkosított partival tudsz tenni valamit, csak akkor sose rúgd ki a rendszergazdád :).
Egyébként ha van is shadow-d, onnan még törnöd kell, ha nem szótár alapon dolgozol (ld. buta jelszavak), akkor túl sokáig eltart. Mivel MINDEN titkosítás törhetõ, ezért alapvetõen a biztonságtechnikában a töréssel nyerhetõ információ értékéhez igazítják a szükséges biztonsági módszer költségét. Pl. nem biztos, hogy a családi csokis kuglóf receptjét Neon elõl a legállatabb biztonsági rendszerekkel kell védeni...
Sajnos én is tapasztaltam, hogy egyes Linux rendszergazdik, simán lépkednek be root-ként, és tényleg képesek ott hagyni a root konzolt prédának. Pedig ott van a sudo. Én se dolgozok root-ként. Ez nem a rendszer hibája, hanem a gazdájáé. :D
"Ráadásul linuxon még lock se védi a pwd filet egy sima copy-val elhozod magaddal, aztán szépen nyugodtan a saját gépeden visszafejted. Winen azért ez nem ilyen egyszerû, sem a file sem a registry ezen része nem érhetõ el a beépített eszközökkel csak különleges apival -> telepíteni kell hozzá"
Teny. De van alternativa a shadow fileokra: ldap, *sql adatbazis, stb. Ezekkel megoldhato nehany problema gond nelkul. Peldanak okaert a kozponti szerver rendez mindent. Windowst nem ismerem ilyen tekintetben, arrol nem nyilatkozom.
"itt inkább arra kell gondolni, hogy amíg az rendszergazda figyelmét leköti valaki 30 mp-re, addig egy copy-val elviszed az otthagyott konzolról az egész cég összes jelszavát. (olvass utána, létezõ jelenség!)"
Megesik. Vannak hulye rendszergazdik. En sosem dolgozom root-kent pl. a sajat gepemen sem.
"Ha pedig újra tudod indítani a gépet/felmountolni a partíciót másik gépben, akkor meg végképp bármit megtehetsz."
itt inkább arra kell gondolni, hogy amíg az rendszergazda figyelmét leköti valaki 30 mp-re, addig egy copy-val elviszed az otthagyott konzolról az egész cég összes jelszavát. (olvass utána, létezõ jelenség!)
Ezt winen nem tudod megtenni.
Ha pedig újra tudod indítani a gépet/felmountolni a partíciót másik gépben, akkor meg végképp bármit megtehetsz.
Hát azért én az megtekinteném, mert szerintem a sima copy mûvelet után megkapod a Permission Denied üzenetet:
"cp: cannot open `/etc/shadow' for reading: Permission denied"
, hacsak persze nem vagy root. :D
Ha arra értetted, hogy akármivel fel lehet mountolni egy linux partíciót és lemásolni az tényleg lehetséges, de ebbe a Windows se külömb (ntfsdos, tsa-i).
Persze mindekettõ törhetõ is ezek után Linux-ra ott van a ripper john fiú, Winre meg a L0phtcrack.
"mert bizony több száz olyan progi van amit csak rá kell tenni floppy-ra és volt winXP jelszó nincs XP jelszó "
mert ugye linuxra meg a többi oprendszerre nincs... Azokra még durvábbak is vannak :) Ráadásul linuxon még lock se védi a pwd filet egy sima copy-val elhozod magaddal, aztán szépen nyugodtan a saját gépeden visszafejted. Winen azért ez nem ilyen egyszerû, sem a file sem a registry ezen része nem érhetõ el a beépített eszközökkel csak különleges apival -> telepíteni kell hozzá.
A jelszó lopó programok ma már ott tartanak, hogy egy ellopott admin jelszóval egy wines géprõl távolról lehet ellopni és törni linuxok és winek jelszavait...
szemi de azért a májkroszoft se adhat ki minden egyes hacker után egy új pecset meg még ha mindig ki is adna te naponta frissitgetnéd ? mert bizony több száz olyan progi van amit csak rá kell tenni floppy-ra és volt winXP jelszó nincs XP jelszó
"Azt azonban a szakember is elismerte, hogy egy támadás esetén a legjobb jelszó sem képes sokáig védelmet nyújtani a számítógépen tárolt adatoknak." Lehet, hogy ez nem mindig a jelszavak hibája! Talán a szoftverek biztonságát sem ártana fejleszteni. Elég szomorú az, hogy pl. a MS Office jelszavak simán megkerülhetõek...