unix_chkpw chạy trước access.conf qua pam - rủi ro bảo mật


0

Tôi có các hệ thống RHEL 6.3 có access.conf được cấu hình và chạy chính xác. Tuy nhiên, có vẻ như ở trạng thái không lý tưởng, sau khi phân tích nỗ lực hack gốc và tôi tự hỏi liệu có bất cứ điều gì có thể được thực hiện về nó.

Tôi đã sử dụng authconfig để thêm access.conf và sau đó thêm quy tắc của mình. Tuy nhiên, có vẻ như PAM chạy mật khẩu kiểm tra TRƯỚC KHI chạy các quy tắc access.conf. Tôi muốn đảo ngược điều đó, và thậm chí không cho phép ai đó kiểm tra mật khẩu trừ khi họ vượt qua quy tắc access.conf FIRST.

Hành vi hiện tại thể hiện rủi ro bảo mật, imho, bởi vì mặc dù access.conf sau đó có thể từ chối đoán mật khẩu thành công, có những đặc điểm sẽ cho hacker biết rằng họ đã đoán đúng. Đó là:

Những lần thử mật khẩu không thành công:

[ivo@pioneer:~]$ ssh root@mysecuresystem
root@mysecuresystem's password:
Permission denied, please try again.
root@mysecuresystem's password:
Permission denied, please try again.
root@mysecuresystem's password:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

Mật khẩu thành công:

[ivo@pioneer:~]$ ssh root@mysecuresystem
root@mysecuresystem's password:
Connection closed by 10.10.10.65

Hành vi không kết luận với họ rằng họ có mật khẩu, nhưng nó khác với dự đoán thất bại, và do đó đáng chú ý. (Ngoài ra, nhật ký vẫn hiển thị unix_chkpw, dẫn đến kết quả dương tính giả trong phân tích nhật ký / IDS của Security).

Trong khi thay đổi hành vi này sẽ dẫn đến thay đổi nguồn PAM và do đó rất phức tạp, việc thay đổi thứ tự kiểm tra trong PAM có dễ dàng không?

Vậy làm cách nào để tôi có được PAM để sử dụng access.conf TRƯỚC KHI kiểm tra mật khẩu?

(Lưu ý: Chúng tôi cần sử dụng access.conf vì chúng tôi chỉ cần dừng root từ hầu hết các máy, nhưng cho phép người dùng từ bất cứ đâu. Vì vậy, sshd config không phải là một giải pháp, cũng không phải là trình bao bọc cho những gì chúng tôi cần thực hiện)

Cảm ơn!

Câu trả lời:


1

Đây không phải là một giải pháp nhưng có vẻ như là một cách giải quyết hợp lý, ví dụ sửa đổi /etc/pam.d/sshd di chuyển dòng "pam_access.so" để nó nằm trong phần "auth":

auth yêu cầu pam_access.so

Thay vì

yêu cầu tài khoản pam_access.so

Điều này gây ra đăng nhập cố gắng tạo thông báo "Truy cập bị từ chối" ngay cả khi mật khẩu hợp lệ đã được sử dụng, do đó tránh thông báo cho tin tặc đoán chính xác.


Cảm ơn Bill - Tôi nghĩ rằng đây là một câu trả lời một phần, và nếu sau vài ngày nữa, không có câu trả lời nào khác sẽ đánh dấu nó như vậy. Điều này giải quyết phần mà cracker sẽ nhận được cùng một dấu nhắc cho dù họ đoán đúng hay không. Tôi rất thích thấy các bản ghi vẫn không hiển thị unix_chkpw vì vậy nhóm bảo mật của chúng tôi sẽ thoát xuống để "đảm bảo rằng đây là một dương tính giả ..." Nhưng điều này giải quyết được phần lớn!
zenfridge
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.