Re: Více správců serveru - delegace root práv

2015-01-04 Tema obsahu Vilem Kebrt
V tomhle se rozhodne nebudu hadat, ty cc servery byly na irc a dcc/ctcp dotazy se da zjisti os na kterem bot bezi. Nicmene variantu o ktere prises samozrejme nelze rozpoznat, ja mohu jenom rici z ktereho OS byl bot pripojen :) Vilem On 01/03/2015 01:18 PM, Dan Lukes wrote: On 30.12.2014

Re: Více správců serveru - delegace root práv

2015-01-03 Tema obsahu Dan Lukes
On 30.12.2014 9:58, Vilem Kebrt wrote: Jen pro informaci, minuly tyden se mi povedlo najit CC server od jednoho botnetu, pri vypisu pripojenych botu jsem zachytil asi 16 stroju kde se bot pripojoval z FreeBSD 9.x. Zadny ze stroju nebyl cesky, nicmene urcite to donuti k zamysleni. Dle zpusobu

Re: Více správců serveru - delegace root práv

2015-01-01 Tema obsahu Vilem Kebrt
O honeypotech mohu neco napsat, ale musim to trochu pripravit aby to melo hlavu a patu. Posledniho pul roku jsem jich nekolik nasazoval a analyza vystupu je v me pracovni cinnosti ;) Momentalne resim nejake problemy ohledne nejakych soukr veci, dejte mi trochu prostoru, jakmile doresim soukr. a

Re: Více správců serveru - delegace root práv

2014-12-31 Tema obsahu Miroslav Prýmek
On 12/30/2014 10:59 PM, Dan Lukes wrote: Jsou ctecky kde se PIN zadava na nich - a je veci konfigurace, aby byl potreba pokazde. Moznost zadat PIN primo na tokenu uz jsem videl taky, to ale byly platebni karty. Ja to mam ted tak, ze mam klic v tokenu, do ssh-agenta zadam PIN a kde co mam

Re: Více správců serveru - delegace root práv

2014-12-31 Tema obsahu Dan Lukes
Miroslav Prýmek wrote: do ssh-agenta zadam PIN a kde co mam resene pres ssh-agenta Ja mam ssh-agenta v hlave zapsanyho s velkym cervenym vykricnikem. Je to sice dlouho a detaily uz si nepamatuju, ale zhruba slo o to, ze data do nej vlozena (vetsinou heslo, v tvem pripade mozna ten PIN) z nej slo

Re: Více správců serveru - delegace root práv

2014-12-30 Tema obsahu Dan Lukes
On 12/30/14 07:56, Vilem Kebrt: z mych zkusenosti je daleko snazsi zmenit egid na aktivnim userovi na wheel v procesu nez to same provest s preskokem na euid 0/egid0. To je skutecne vec nazoru a individualnich preferenci. Ale zde se uz bavime o soukromych nazorech, asi bych to stahl mimo

Re: Více správců serveru - delegace root práv

2014-12-30 Tema obsahu Miroslav Prýmek
On 12/30/2014 02:57 AM, Dan Lukes wrote: Pokud se od vsude mozne prihlasujes klicem, vzrusta sance, ze ten klic driv nebo pozdejc nekde zapomenes. Nebo ti ho z pocitace odesle nejaky virus, ty takove veci zajimaji - a ono se neda stoprocentne spolehnout, ze zadnej nechytis. Ja tohle resim

Re: Více správců serveru - delegace root práv

2014-12-30 Tema obsahu Vilem Kebrt
Takovyhle token pouziva napriklad pro autorizaci vpnek Juniper (jmenuje se to Yubico)... Ja tohle resim tokenem s neexportovatelnym klicem a ssh-agentem s potvrzovanim pouziti klice. Jeste vic by se mi libilo hw potvrzovaci tlacitko primo na tokenu, ale zadnej takovej jsem nikdy nevidel. Slo

Re: Více správců serveru - delegace root práv

2014-12-30 Tema obsahu Miroslav Prýmek
On 12/30/2014 09:58 AM, Vilem Kebrt wrote: Vzhledem k aktualnimu pracovnimu vytizeni asi budu mit trochu problem se uplne rozepsat, ale pokud by nekoho neco zajimalo, jsem samozrejme k dispozici. Souhlasim s tebou Dane ze zde neexistuje univerzalni pravda. Jen pro informaci, minuly tyden se

Re: Více správců serveru - delegace root práv

2014-12-30 Tema obsahu Miroslav Prýmek
On 12/30/2014 11:10 AM, Vilem Kebrt wrote: Takovyhle token pouziva napriklad pro autorizaci vpnek Juniper (jmenuje se to Yubico)... Napsal jsem to moc kratce - myslel jsem, ze neznam zadny standardni token (podporujici PKCS11) s tlacitkem. Klice, ktere jsou zalozene na ruznem typu OTP

Re: Více správců serveru - delegace root práv

2014-12-30 Tema obsahu Dan Lukes
Miroslav Prýmek wrote: Pokud se od vsude mozne prihlasujes klicem, vzrusta sance, ze ten klic driv nebo pozdejc nekde zapomenes. Ja tohle resim tokenem s neexportovatelnym klicem a ssh-agentem s potvrzovanim pouziti klice. Jeste vic by se mi libilo hw potvrzovaci tlacitko primo na tokenu,

Re: Více správců serveru - delegace root práv

2014-12-29 Tema obsahu Miroslav Prýmek
On 12/10/2014 15:03, Dan Lukes wrote: V podstatě díky tomu, že mám ssh puštěné pouze do management sítě a koneckonců i já sám se hlásím rovnou jako root, tak asi kolegovi nebudu vytvářet obyč účet kolega. To je otazka osobnich preferenci. Je to sice ucet dostupny jen z omezene site a ne z

Re: Více správců serveru - delegace root práv

2014-12-29 Tema obsahu Miroslav Prýmek
On 12/10/2014 05:36, Vilem Kebrt wrote: Ahoj, tady musim naprosto souhlasit s Danem, timhle jsi v podstate shodil zabezpeceni superuzivatele na uroven pridani se do skupiny wheel. Coz vzhledem k jednoduchosti zapisu do /etc/group je imho silne hazardni. Ma otazka miri trochu jinam, co

Re: Více správců serveru - delegace root práv

2014-12-29 Tema obsahu Dan Lukes
On 12/29/14 18:34, Miroslav Prýmek: On 12/10/2014 15:03, Dan Lukes wrote: V podstatě díky tomu, že mám ssh puštěné pouze do management sítě a koneckonců i já sám se hlásím rovnou jako root, tak asi kolegovi nebudu vytvářet obyč účet kolega. To je otazka osobnich preferenci. Je to sice ucet

Re: Více správců serveru - delegace root práv

2014-12-29 Tema obsahu Miroslav Prýmek
On 12/29/2014 10:56 PM, Dan Lukes wrote: Rekneme, ze mas heslo dlouhe, dobre zvolene, takze pravdepodobnost, ze se nekdo trefi je mala. [...] A tim se dostavame zpatky k logu. Zatimco hlasky: authentication error for ... from 115.231.222.171 je dneska asi tak jedine mozny ignorovat, hlaska

Re: Více správců serveru - delegace root práv

2014-12-29 Tema obsahu Jozef Drahovsky
Dňa 29. 12. 2014 o 22:56 Dan Lukes napísal(a): Nejbeznejsi zpusob prolomeni hesla je try. At uz slovnikovy nebo brutal-force. Vzhledme k tomu, ze takove utoky probihaji prakticky permanentne, nijak zvlast ti nepomuze, ze si je logujes. To bys nedelal nic jinyho, nez cetl logy a zakazoval

Re: Více správců serveru - delegace root práv

2014-12-29 Tema obsahu Zbyněk Burget
Dne 29. 12. 2014 v 23:37 Jozef Drahovsky napsal(a): Dňa 29. 12. 2014 o 22:56 Dan Lukes napísal(a): Nejbeznejsi zpusob prolomeni hesla je try. At uz slovnikovy nebo brutal-force. Vzhledme k tomu, ze takove utoky probihaji prakticky permanentne, nijak zvlast ti nepomuze, ze si je logujes. To

Re: Více správců serveru - delegace root práv

2014-12-29 Tema obsahu Miroslav Prýmek
On 12/30/2014 12:31 AM, Zbyněk Burget wrote: ale posledni dobou nejak premyslim o tom, jestli to ma nejaky hlubsi smysl. To je jednoduchy - nema ;) A to naprosto nechapu, jaky ze uzitek by mohl mit nekdo z hacknuti meho routeru (pripadne nektereho mikrotiku u meho zakaznika), ze je takovy

Re: Více správců serveru - delegace root práv

2014-12-29 Tema obsahu Dan Lukes
On 12/29/14 23:15, Miroslav Prýmek: pokud se k tomu uctu prihlasujes klicem, je pravdepodobnost prolomeni astronomicky nizka. Pokud se od vsude mozne prihlasujes klicem, vzrusta sance, ze ten klic driv nebo pozdejc nekde zapomenes. Nebo ti ho z pocitace odesle nejaky virus, ty takove veci

Re: Více správců serveru - delegace root práv

2014-12-29 Tema obsahu Vilem Kebrt
Ahoj, z mych zkusenosti je daleko snazsi zmenit egid na aktivnim userovi na wheel v procesu nez to same provest s preskokem na euid 0/egid0. Ale zde se uz bavime o soukromych nazorech, asi bych to stahl mimo konferu :) Vilem On 12/29/2014 06:40 PM, Miroslav Prýmek wrote: On 12/10/2014

Re: Více správců serveru - delegace root práv

2014-12-29 Tema obsahu Vilem Kebrt
Ahoj, tady ti mohu odpovedet pomerne presne, privesi ti ho do botnetu a pote ho vyuzije na cokoliv chce, takovych veci chytam v praci 3-5 do tydne (do pasticek :) ). Vilem On 12/30/2014 12:31 AM, Zbyněk Burget wrote: Dne 29. 12. 2014 v 23:37 Jozef Drahovsky napsal(a): Dňa 29. 12. 2014 o

Re: Více správců serveru - delegace root práv

2014-12-16 Tema obsahu Jan Jurak
On 10.12.2014 0:48, Tomáš Skočdopole wrote: Zdravím vespolek, jen bych se chtěl zeptat, jak řešíte root práva na servery pokud je třeba je udělit více správcům? Používáte sdílené heslo, či su nebo sudo? Potřebuji pustit na server i svého kolegu a nechci mu dávat svoje heslo k rootu a

Re: Více správců serveru - delegace root práv

2014-12-16 Tema obsahu Robert Vojcik
Inak sudo ma prepinac -i kedy vam to vrati shell, pripade staci pustis sudo bash a je po probleme. -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l

RE: Více správců serveru - delegace root práv

2014-12-10 Tema obsahu Tomáš Skočdopole
a druhej rootkolega, do kterého se vždy přepne? Co by tedy měl mít účet rootkolega za vlastnosti? Díky Tomáš Subject: Re: Více správců serveru - delegace root práv From: majo-user...@cerny.sk Date: Wed, 10 Dec 2014 06:47:29 +0100 To: users-l@freebsd.cz Dan Lukes wrote

Re: Více správců serveru - delegace root práv

2014-12-10 Tema obsahu Miroslav Lachman
Tomáš Skočdopole wrote on 12/10/2014 10:46: Dane, jak si psal, že kolega musí 'su' volat se jmenem toho superuzivatele, ktery byl pro nej vytvoren - to znamená že kolega má mít dva účty? Jeden obyč kolega a druhej rootkolega, do kterého se vždy přepne? Co by tedy měl mít účet rootkolega za

RE: Více správců serveru - delegace root práv

2014-12-10 Tema obsahu Tomáš Skočdopole
Aha, tak už je mi to vcelku jasné, díky moc za objasnění. Vytvořil jsem tedy takto roota pro kolegu: pw useradd rootkolega -u 0 -c Root kolega -g wheel -s csh -o -m pokud se přihlásím pod tímto účtem, tak akorát mě zarazilo, že si systém myslí, že to je přímo root a né rootkolega, ale to v

Re: Více správců serveru - delegace root práv

2014-12-10 Tema obsahu Miroslav Lachman
Tomáš Skočdopole wrote on 12/10/2014 14:24: pokud se přihlásím pod tímto účtem, tak akorát mě zarazilo, že si systém myslí, že to je přímo root a né rootkolega # whoami root # id uid=0(root) gid=0(wheel) groups=0(wheel) Ano, to je proto, ze oba ucty maji stejne UID = 0, podle ktereho ve

Re: Více správců serveru - delegace root práv

2014-12-10 Tema obsahu Dan Lukes
Tomáš Skočdopole wrote: pw useradd rootkolega -u 0 -c Root kolega -g wheel -s csh -o -m Takovejch pismenek. Aby mu ruka neupadla, az to za to su bude psat ;-) Muj superuzivatelsky ucet ma v nazvu dve pismena. Na detailnejsi popis je '-c' ... pokud se přihlásím pod tímto účtem, tak akorát mě

Více správců serveru - delegace root práv

2014-12-09 Tema obsahu Tomáš Skočdopole
Zdravím vespolek, jen bych se chtěl zeptat, jak řešíte root práva na servery pokud je třeba je udělit více správcům? Používáte sdílené heslo, či su nebo sudo? Potřebuji pustit na server i svého kolegu a nechci mu dávat svoje heslo k rootu a zároveň nechci vytvářet další nové heslo, které bych

Re: Více správců serveru - delegace root práv

2014-12-09 Tema obsahu Dan Lukes
Tomáš Skočdopole wrote: jen bych se chtěl zeptat, jak řešíte root práva na servery pokud je třeba je udělit více správcům? Používáte sdílené heslo, či su nebo sudo? Jako bezpecak mam na tohle nazor naprosto nekompromisni. Sdilene ucty (=vice osob zna heslo k temuz uctu) jsou naprosto

Re: Více správců serveru - delegace root práv

2014-12-09 Tema obsahu Dan Lukes
Tomáš Skočdopole wrote: Nakonec jsem upravil jednu řádku v /etc/pam.d/su a na heslo se to neptá, No, tohle jsem napoprve uplne prehledl. takže jsem spokojen a mám co chci Velka otazka ovsem je, jestli si uvedomujes co opravdu mas ... Tak se chci zeptat, jestli nedělám náhodou něco

Re: Více správců serveru - delegace root práv

2014-12-09 Tema obsahu Vilem Kebrt
Ahoj, tady musim naprosto souhlasit s Danem, timhle jsi v podstate shodil zabezpeceni superuzivatele na uroven pridani se do skupiny wheel. Coz vzhledem k jednoduchosti zapisu do /etc/group je imho silne hazardni. Ma otazka miri trochu jinam, co konkretne potrebuje kolega delat ze na to nestaci

Re: Více správců serveru - delegace root práv

2014-12-09 Tema obsahu Marián Černý
Dan Lukes wrote: Zkoušel jsem příkaz su - přidal jsem daného uživatele do skupiny wheel. Ovšem pokud uživatel použije su, vyzve ho to k zadání hesla, ovšem ne svého hesla, ale hesla roota, což mě nepomůže. su ma parametr - jmeno uzivatele, na ktereho se chceme prepnout. Ano, bez