Nejstupidnejsi bezpecnostni diry

Thu Jan 25 18:09:11 CET 1996

            Dobry den!

   Loni v kvetnu jsem mensi skupine lidi navrhnul, ze by bylo rozumne
zverejnit seznam nejhloupejsich bezpecnostnich der v Unixovskych systemech
v konferenci net. Zadne zaporne reakce jsem se nedockal, ale mirne jsem
na to pozapomnel. Ted se tady objevily prispevky, ve kterych se o dvou
techto chybach psalo, coz mne vyprovokovalo k poslani celeho seznamu.

Jedna se o diry, ktere jsou jaksi "z vyroby", a ktere lze vyuzit i pres sit.

                   Nejstupidnejsi bezpecnostni diry

1) Ucty bez hesel, ucty se znamymi hesly (sync, adm, lp, uucp, nuucp,
   demo, games, guest, nobody, apod.). Jeste nez pripojite pocitac k siti,
   zkontrolujte, ze druha polozka v kazdem z techto radku v /etc/passwd
   obsahuje hvezdicku, ktera znemoznuje login na tento ucet. Pokud druha
   polozka obsahuje x, je pravdepodobne pouzit soubor /etc/shadow, a pak
   by hvezdicky u dotycnych uctu mely byt v nem.

2) Soubor /etc/passwd vystaveny v anonymnim FTP archivu. Nektere FTP
   servery vyzaduji umisteni kopie souboru /etc/passwd v adresarovem
   strome, ktery se pouziva pro anonymni FTP. Tento soubor tam byt nemusi
   (prikaz dir pri anonymnim FTP nebude vypisovat vlastniky souboru).
   Pokud tam je, MUSI mit hvezdicky na miste hesel! Hesla neni mozne
   dekodovat, ale je mozne je hadat...

3) Soubor /etc/hosts.equiv s takovym obsahem, s jakym se dodava se Suny,
   umoznuje prihlaseni kohokoli odkudkoli (pokud vi, jak na to). Mozna to
   neni jenom zalezitost Sunu. Smazte ho a pouzivejte telnet.

4) Aliasy zacinajici svislou carou v souboru /etc/aliases nebo
   /usr/lib/aliases - napriklad decode: "|/usr/bin/uudecode". Pokud jste
   je tam sami nedavali, vykomentujte je a zadejte /usr/lib/sendmail -bi.
   Vite co delate, pokud jste je tam sami dali?

Bezte se podivat na svuj Unix hned ted, a dejte to do poradku.

Pokud budete chtit prispet do tohoto seznamu, snazte se sice popsat jak
bezpecnostni diru odstranit, ale bez detailu, ktere by z popisu udelaly
navod, jak se do systemu prolomit.

                                                     S pozdravem
-------------------------------- Petr Kolar --------------------------------
I      Department of Computer Science, Technical University of Liberec     I
I E-mail: Petr.Kolar at vslib.cz  Phone: +42-48-5227-374  Fax: +42-48-5100865 I
I           Postal: Voronezska 13, 461 17 Liberec, Czech Republic          I
----------------------------------------------------------------------------
                 My phone and fax numbers have been changed!