scrip su
Ricardo Frydman Eureka!
ricardoeureka en gmail.com
Lun Dic 4 16:23:10 GMT 2006
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Ricardo Frydman Eureka! wrote:
> Josué Alcalde González wrote:
>>> El dom, 26-11-2006 a las 22:31 -0700, os escribió:
>>>> alguien sabe como puedo crear un script para obetener
>>>> la clave del root y guardarlo en un archivo, espero su respuesta
>>>> lista, gracias
>>>> --
>>> Creo que te has equivocado de sistema operativo.
>>>
>>> GNU/Linux no guarda las contraseñas, ni en texto plano, ni encriptadas.
>
> No? Explicanos entonces como es el proceso de autenticacion al hacer un
> login.
> Pista: Mira el archivo /etc/shadow y dinos que es esa informacion.
>
>>> Ese método de autenticación es inseguro y no tiene sentido con las
>>> técnicas que existen hoy en día (y hace decenas de años).
>
> A cuales tecnincas te refieres?
>
>>> GNU/Linux guarda un hash de la contraseña, de forma que lo que se
>>> compara es el hash de la contraseña que proporciones en el login.
>
> Acaso eso no es guardar la contrasea cifrada?
PD Agrego a esto:
man shadow:
"SHADOW(5)
SHADOW(5)
NAME
shadow - encrypted password file
DESCRIPTION
shadow contains the encrypted password information for user's
accounts and optional the password aging information. Included is:
· login name
· encrypted password
· days since Jan 1, 1970 that password was last changed
· days before password may be changed
· days after which password must be changed
· days before password is to expire that user is warned
· days after password expires that account is disabled
· days since Jan 1, 1970 that account is disabled
· a reserved field
The password field must be filled. The encrypted password
consists of 13 to 24 characters from the 64 characters alphabet a thru z,
A thru Z, 0 thru 9, \. and /. Optionally it can start with a "$"
character. This means the encrypted password was generated using
another (not DES) algorithm. For example if it starts with "$1$"
it means the MD5-based algorithm was used.
Refer to crypt(3) for details on how this string is interpreted.
"
>
>>> Encontrar dos contraseñas diferentes con el mismo hash es lo mismo que
>>> si te toca el euromillón dos semanas seguidas (cálculo aproximado).
>>> Obtener una de las posibles contraseñas que generan un hash dado es más
>>> o menos igual de imposible.
>>>
>>> Lo que nos lleva a la conclusión de que las únicas maneras son:
>>> - Pasarnos los proximos dos milenios con el ordenador encendido probando
>>> contraseñas (cálculo aproximado de nuevo)
> Naaaa las contraseñas debiles las puedes sacar con john en algunas horas
> sino minutos.
>
>>> - Engañar al usuario para que la escriba en un programa que simula un
>>> login
>>> - Modificar el sistema de login para que escriba la contraseña del
>>> usuario en un fichero.
>>>
>>> Las dos últimas opciones necesitan seguramente de acceso de root, para
>>> cambiar algún ejecutable del sistema, que obtendremos:
>>> - Mediante algún bug del sistema
>>> - Haciendo login como root
> - Explotando alguna vulnerabilidad de usuario comun que permita escalar
> privilegios (buscar en google /miles/ de ejemplos)
>>> Como es muy difícil que alguien publique un método para colarse en un
>>> sistema linux como root, sin que esté resuelto en muy poco tiempo,
>>> llegamos a un callejón sin salida:
>>> - Para conseguir la contraseña de root te hará falta saber la contraseña
>>> de root.
>
> O conseguir alguno de los /miles/ de sistemas inseguros y/o no
> actualizados en la red para explotar vulnerabilidades conocidas para
> escalar privilegios.
>
>>>> ubuntu-es mailing list
>>>> ubuntu-es en lists.ubuntu.com
>>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-es
>>>
>
>
> --
> Ricardo A.Frydman
> Administrador de Sistemas Unix
> http://eureka-linux.com.ar
- --
Ricardo A.Frydman
Administrador de Sistemas Unix
http://eureka-linux.com.ar
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
iD8DBQFFdEttkw12RhFuGy4RAjkVAJ0aYPQbbgw5FOPfiaWpUT4oXBUcoQCeIfQ1
eMNChFOPgJbeXu9mug9R/w0=
=2WsF
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución ubuntu-es