Autor Tema: Updates y Fixes para wifislax-4.7 (Leído 34430 veces)

sanson · « **Respuesta #20 en:** 14-11-2013, 00:53 (Jueves) »

Citar

aunque tengas ssh parado , si me hago con root, puedo arrancarlo yo mismo...ya puede tu tenerlo parado , que ya lo arrancare yo si me hago con tu root.

¿pero es que no acabas de entender que con esto no necesitas hacerte con nada, que ya lo tienes? Que no hace falta que sea mi vecino, ni que este en mi red, ni nada de nada .

Un usuario del otro lado del mundo con un escaneo de puertos al detectar que usas wifislax ya lo tiene todo para entrar , por que ya se sabe que eres root .

Edito

Es extamente eso fredy, así es como yo lo veo

USUARIONUEVO · « **Respuesta #21 en:** 14-11-2013, 00:59 (Jueves) »

Cita de: Fr3dY en 14-11-2013, 00:46 (Jueves)

A ver si lo entiendo bien... el problema es que un sistema en el que la contraseña de root es conocida NO debería arrancar por defecto SSHD (por lo tanto, el fix cumple su cometido).
Si es el usuario el que decide iniciar dicho servicio, es responsabilidad suya y debería preocuparse por cosas como no usar 'toor' como password de root, deshabilitar el acceso por ssh, etc.
Sin embargo, si es la distribución la que lo hace automáticamente, estamos arrancando directamente un sistema totalmente vulnerable. Muchos usuarios ni siquiera tendrían por qué conocer que esto está ocurriendo, ni como evitarlo.
El último comentario de USUARIONUEVO es el que no entiendo: creo que no se trata de que se te 'cuelen' como root y luego ya puedan ejecutar SSHD (o lo que quieran), sino que si lo iniciamos por defecto, todo el que quiera colarse tendrá las puertas abiertas directamente.

lo has definido perfectamente , lo que yo quiero que se compenda es que eso sucedera en cualquier linux , que no es un bug de por si de wifislax , que estoy de acuerdo en que por defecto es mejor que no este el ssh.

resumido ssh por defecto MAL
aunque si lo arrancas manualmente estas expuesto igualmente.

no solo en wifislax, sino en cualquier linux en el que arranques ssh , sobretodo usando root, al cual no se le pide explicaciones de nada.

ssh en un sistema con un usuario limitado , a ese usuario constantemente se le pide el pass para realizar acciones , asi pues aunque tubieran el ssh al querer realizar ciertas acciones se les pediria el pass del user y solo "tal vez" , podrias estar a salvo si el pass no es uno por defecto.

ssh puede ejecutar cosas en la terminal , si ase le sumas que estas como root y no se pide permiso , ... entonces el atacante tiene via libre y facil , para hacer lo que quiera,.

la parte de cambiar a un usuario limitado es muy desagradable, muchas apps requieren root , por eso usamos root en wifislax, ...tener en uso a root conlleva peligros , por que si entran ,ya sea por el ssh o por otro sitio , si entran y estas como root, pueden hacer y deshacer.

USUARIONUEVO · « **Respuesta #22 en:** 14-11-2013, 01:02 (Jueves) »

Cita de: sanson en 14-11-2013, 00:53 (Jueves)

Citar
aunque tengas ssh parado , si me hago con root, puedo arrancarlo yo mismo...ya puede tu tenerlo parado , que ya lo arrancare yo si me hago con tu root.

¿pero es que no acabas de entender que con esto no necesitas hacerte con nada, que ya lo tienes? Que no hace falta que sea mi vecino, ni que este en mi red, ni nada de nada .

Un usuario del otro lado del mundo con un escaneo de puertos al detectar que usas wifislax ya lo tiene todo para entrar , por que ya se sabe que eres root .

Edito

Es extamente eso fredy, así es como yo lo veo

Si estamos de acuerdo en todo , solo recalco que eso puede suceder en cualquier linux, que no es algo exclusivo , se juntan muchas cosas para ese escenario.

si en vez de root somos usuario limitado y con pass ca,mbiado , no tendrian NADA.

asi pues arrancar ssh en wifislax , como se es root siempre es un riesgo ... es lo que trato de que se entienda.

creo que solo creando otro usuario limitado y con un pass no generico solo asi se estaria a salvo.

pero en wifislax eso es complejo , por que algunas apps requieren root .

geminis_demon · « **Respuesta #23 en:** 14-11-2013, 01:07 (Jueves) »

Cita de: USUARIONUEVO en 14-11-2013, 00:35 (Jueves)

cualquier linux que usemos como root , y arranquemos ssh , estar en las mismas.

a root no se le pide acreditacion ninguna ,y se puede hacer lo que se quiera.

A ver, alcaro esto una vez mas...

El problema no es de cualquier linux es únicamente de Wifislax por inicar el servicio automáticamente con la clave por defecto.

Por otra parte, root (anque tenga mas privilegios )es un usuario como otro cualquiera y por supuesto que se le pide password, si tienes el servicio ssh en marcha y le pones una contraseña segura al usuario root ya no hay problema.

sanson · « **Respuesta #24 en:** 14-11-2013, 01:11 (Jueves) »

Eso esta claro .

Lo menor seria que al levantar el servicio se lanzara una advertencia tipo

" antes de ejecutar shh cambia la password de root". Y así cuando intenten entrar por esa ejecución pedirá password que no sera toor , con lo que el problema quedaría completamente solventado.

Además el que levante este servicio ya se le supone experto como para tomar ciertas medidas

USUARIONUEVO · « **Respuesta #25 en:** 14-11-2013, 01:13 (Jueves) »

Cita de: geminis_demon en 14-11-2013, 01:07 (Jueves)

Cita de: USUARIONUEVO en 14-11-2013, 00:35 (Jueves)
cualquier linux que usemos como root , y arranquemos ssh , estar en las mismas.

a root no se le pide acreditacion ninguna ,y se puede hacer lo que se quiera.

A ver, alcaro esto una vez mas...

El problema no es de cualquier linux es únicamente de Wifislax por inicar el servicio automáticamente con la clave por defecto.

Por otra parte, root (anque tenga mas privilegios )es un usuario como otro cualquiera y por supuesto que se le pide password, si tienes el servicio ssh en marcha y le pones una contraseña segura al usuario root ya no hay problema.

pues no lo pillo...

osea si yo en otro linux "conocido" , con el pass por defecto si arramnco ssh ¿ no estoy expuesto ?

hay muchos linux que por defecto son
+
root/toor

si yo me encuentro ante un linux cualquiera con ssh abierto ( por que lo inicice sistema o por que lo haga el usuario ) , no eslo mismo ?

si en bactrack como root arranco ssh , ¿ no estoy igual de expuesto ? ..ya que el pass es conocido tambien ?

lo que digo es que el escenario es totalmente reproducible ... sin saberlo si quiera.

y para que la gente sepa que usar un pass por defecto siempre puede ser un problema de seguridad.

USUARIONUEVO · « **Respuesta #26 en:** 14-11-2013, 01:15 (Jueves) »

podriamos modificar el servicio de ssh , para que lance una advertencia.

y cambiar el passwd al vuel antes de abrri ssh.

Chumpy · « **Respuesta #27 en:** 14-11-2013, 01:19 (Jueves) »

A mi personalmente me da exactamente igual que al levantar el servicio salga o no una advertencia o te pida que cambies el password. Lo único que veo importante es que no arranque al inicio.

sanson · « **Respuesta #28 en:** 14-11-2013, 01:20 (Jueves) »

Coño ahora jajajjajajajaj. A costado.

El problema ha sido (yo creo) que tu pensabas que al ser root, no te pedía nada, ni contraseña ni hlstias , por eso no entendías lo que quería decirte .

USUARIONUEVO · « **Respuesta #29 en:** 14-11-2013, 01:20 (Jueves) »

Cita de: Chumpy en 14-11-2013, 01:19 (Jueves)

A mi personalmente me da exactamente igual que al levantar el servicio salga o no una advertencia o te pida que cambies el password. Lo único que veo importante es que no arranque al inicio.

En eso estamos todos de acuerdo , pero si aclaramos los riesgos tal vez , pueda hacer algo mas elegante.

Tipo en la categoria internet ,un lanzador para abrir ssh , que antes de nada te advierta de los riesgos etc , ya que de por si ssh no dice nada al levantar su servicio.

sanson · « **Respuesta #30 en:** 14-11-2013, 01:21 (Jueves) »

Cita de: Chumpy en 14-11-2013, 01:19 (Jueves)

A mi personalmente me da exactamente igual que al levantar el servicio salga o no una advertencia o te pida que cambies el password. Lo único que veo importante es que no arranque al inicio.

Pues igual de importante es una cosa que la otra yo creo

sanson · « **Respuesta #31 en:** 14-11-2013, 01:22 (Jueves) »

Cita de: USUARIONUEVO en 14-11-2013, 01:20 (Jueves)

Cita de: Chumpy en 14-11-2013, 01:19 (Jueves)
A mi personalmente me da exactamente igual que al levantar el servicio salga o no una advertencia o te pida que cambies el password. Lo único que veo importante es que no arranque al inicio.

En eso estamos todos de acuerdo , pero si aclaramos los riesgos tal vez , pueda hacer algo mas elegante.

Tipo en la categoria internet ,un lanzador para abrir ssh , que antes de nada te advierta de los riesgos etc , ya que de por si ssh no dice nada al levantar su servicio.

Justo esl te digo en la respuesta 25

geminis_demon · « **Respuesta #32 en:** 14-11-2013, 01:32 (Jueves) »

Citar

osea si yo en otro linux "conocido" , con el pass por defecto si arramnco ssh ¿ no estoy expuesto ?

hay muchos linux que por defecto son
+
root/toor

Por supuesto, si arrancas ssh y dejas la password por defecto, estas expuesto.

Citar

si yo me encuentro ante un linux cualquiera con ssh abierto ( por que lo inicice sistema o por que lo haga el usuario ) , no eslo mismo ?

si en bactrack como root arranco ssh , ¿ no estoy igual de expuesto ? ..ya que el pass es conocido tambien ?

Sip, la diferencia es que si el usuario lo inicia por su cuenta la responsabilidad es suya de cambiar la password o no, pero si el servicio se inicia solo sin que el lo sepa es una vulnerabilidad del sistema.

USUARIONUEVO · « **Respuesta #33 en:** 14-11-2013, 01:37 (Jueves) »

Cita de: geminis_demon en 14-11-2013, 01:32 (Jueves)

Citar
osea si yo en otro linux "conocido" , con el pass por defecto si arramnco ssh ¿ no estoy expuesto ?

hay muchos linux que por defecto son
+
root/toor

Por supuesto, si arrancas ssh y dejas la password por defecto, estas expuesto.

Citar
si yo me encuentro ante un linux cualquiera con ssh abierto ( por que lo inicice sistema o por que lo haga el usuario ) , no eslo mismo ?

si en bactrack como root arranco ssh , ¿ no estoy igual de expuesto ? ..ya que el pass es conocido tambien ?

Sip, la diferencia es que si el usuario lo inicia por su cuenta la responsabilidad es suya de cambiar la password o no, pero si el servicio se inicia solo sin que el lo sepa es una vulnerabilidad del sistema.

aclarado todo entonces.

si es el usuario el que toca, que se informe antes.
si el sistema lo mueve no es culpa del user.

USUARIONUEVO · « **Respuesta #34 en:** 14-11-2013, 01:39 (Jueves) »

aunque el usuaio lo inicie por su cuenta ,

si miramos en

rc.inet2

tenemos esto

Código: [Seleccionar]

# Start the OpenSSH SSH daemon:
if [ -x /etc/rc.d/rc.sshd ]; then
  echo "[1;37m[[1;32m+[1;37m] Starting OpenSSH SSH daemon:  /usr/sbin/sshd"
  /etc/rc.d/rc.sshd start
fi

si el usuario hace ejecutable el fichero sshd para arrancar una vez el servicio , entonces el sistema a cada arranque lo iniciara automaticamente sin saberlo el usuario.

asi pues hay que cambiar hay tambien...

tal vez un stop en vez de el start

# Start the OpenSSH SSH daemon:
if [ -x /etc/rc.d/rc.sshd ]; then
echo "[1;37m[[1;32m+[1;37m] Stopping OpenSSH SSH daemon"
/etc/rc.d/rc.sshd stop
fi

para quien no entienda la orden , viene a decir que si el fichero es ejecutable, entonces arranque el servicio.

puede que el usuario lo haya hecho ejecutable y no sepa que etsa en riesgo ..

ahora no se que hacer..si evistar esa psoible,. o como dije en internet poner un lanzador de arranque para el ssh , advirtiendo de los riesgos.

geminis_demon · « **Respuesta #35 en:** 14-11-2013, 01:47 (Jueves) »

Cita de: USUARIONUEVO en 14-11-2013, 01:39 (Jueves)

aunque el usuaio lo inicie por su cuenta ,

si miramos en

rc.inet2

tenemos esto

Código: [Seleccionar]
# Start the OpenSSH SSH daemon: if [ -x /etc/rc.d/rc.sshd ]; then   echo "[1;37m[[1;32m+[1;37m] Starting OpenSSH SSH daemon: /usr/sbin/sshd"   /etc/rc.d/rc.sshd start fi

si el usuario hace ejecutable el fichero sshd para arrancar una vez el servicio , entonces el sistema a cada arranque lo iniciara automaticamente sin saberlo el usuario.

asi pues hay que cambiar hay tambien...

tal vez un stop en vez de el start

# Start the OpenSSH SSH daemon:
if [ -x /etc/rc.d/rc.sshd ]; then
  echo "[1;37m[[1;32m+[1;37m] Stopping OpenSSH SSH daemon"
  /etc/rc.d/rc.sshd stop
fi

para quien no entienda la orden , viene a decir que si el fichero es ejecutable, entonces arranque el servicio.

puede que el usuario lo haya hecho ejecutable y no sepa que etsa en riesgo ..

ahora no se que hacer..si evistar esa psoible,. o como dije en internet poner un lanzador de arranque para el ssh , advirtiendo de los riesgos.

Ya te he contestado a eso en el otro post, creo que es mejor que sigamos la conversación en uno o en otro porque me estoy volviendo loco

USUARIONUEVO · « **Respuesta #36 en:** 14-11-2013, 01:52 (Jueves) »

nada tranqui creo que ya me he decidio ,

dejare todo como esta , PERO , el rc.sshd cuando arranca no informa de nada, asi que le metere un echo ...

"si usas este servicio es conveniente cambiar el password del sistema"

cuando arranca ssh en realidad el que informa es inet2 , pero no sshd , asi que un mensajito en sshd y listo asi cuando alguien lo arranque , sepa o no lo que hace estara advertido.

USUARIONUEVO · « **Respuesta #37 en:** 14-11-2013, 02:05 (Jueves) »

Ya esta , ... bien el sistema ya no arrancara ssh por defecto.

Y si el usuario decide arrancarlo vera una advertencia...creo que con esto es mas que suficiente.

geminis_demon · « **Respuesta #38 en:** 14-11-2013, 02:12 (Jueves) »

Cita de: USUARIONUEVO en 14-11-2013, 02:05 (Jueves)

Ya esta , ... bien el sistema ya no arrancara ssh por defecto.

Y si el usuario decide arrancarlo vera una advertencia...creo que con esto es mas que suficiente.

Perfecto

EDITO: Estaría bien que una vez que se cambie la password ya no aparezca mas ese mensaje, para comprobar si la pass es toor se puede hacer así:

Código: [Seleccionar]

if [ "$(cat /etc/shadow|grep 'root:$5$TGhjecA4n$Ll8LwV8QqsKvIUZCr4P1bXbdQszMVptRMHpjRRiIDcC')" ]; then
	echo "cambia la password y tal.."
fi

Así solo aparecerá la advertencia si la password es "toor"

USUARIONUEVO · « **Respuesta #39 en:** 14-11-2013, 07:40 (Jueves) »

Cita de: geminis_demon en 14-11-2013, 02:12 (Jueves)

Cita de: USUARIONUEVO en 14-11-2013, 02:05 (Jueves)
Ya esta , ... bien el sistema ya no arrancara ssh por defecto.

Y si el usuario decide arrancarlo vera una advertencia...creo que con esto es mas que suficiente.

Perfecto

EDITO: Estaría bien que una vez que se cambie la password ya no aparezca mas ese mensaje, para comprobar si la pass es toor se puede hacer así:

Código: [Seleccionar]
if [ "$(cat /etc/shadow|grep 'root:$5$TGhjecA4n$Ll8LwV8QqsKvIUZCr4P1bXbdQszMVptRMHpjRRiIDcC')" ]; then echo "cambia la password y tal.." fi
Así solo aparecerá la advertencia si la password es "toor"

lo he visto casi por los pelos ....

Noticias:

Autor Tema: Updates y Fixes para wifislax-4.7 (Leído 34430 veces)

Chumpy