CuPER Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору значит есть локальная домашняя сеть из компов на Виндах... Файловый сервер  на linux...    для виндовых юзеров устроена файлопомойка при помощи Самбы... на самбу заведен только 1 пользователь "nobody"... выдержки из конфига самбы... [global] guest account = nobody share mode = yes (ибо достало окно ввода пароля...) invalid users = root (так... на всякий случай... правда пользователь root все равно в самбе не зарегин) only users = no   //тут не все... привел ток необходимое   [tmp] comment = temporary file space path = /home/tmp read only = no writable = yes public = yes [Video] comment = films path = /home/video read only = yes writable = no (а принципе риад онли должно хватить... но так... на всякий случай...) public = yes [ну и другое в том же духе] юзер, если можно так выразиться... nobody шела не имеет... значит взял SSS (сканер безопасности)... он мне выдал уязвимость для Win/самба - доступ по нулевой сессии... ну с виндами ясно.... мне вот интересно... каким макаром это может произойти в linux-е... с таким -то конфигом...     или я чего-то не понимаю....     заранее спасибо... Замечание за неинформативное название темы. Исправлено. Demetrio Всего записей: 7 | Зарегистр. 16-09-2004 | Отправлено: 14:50 26-01-2005 | Исправлено: Demetrio, 19:09 26-01-2005

WhiteRabbit Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В Linux все происходит так же как и в Windows: здесь уязвимость не в том,что кто-то запустит эксплоит и получит права админа, а  в том, что в такой конфигурации кто угодно может получить список расшаренных на самбе ресурсов, да и прочитать сами файлы тоже. Если ты сознательно разрешил анонимный доступ к своей Самбе и если это единственная уязвимость твоего Линукса, можешь спать спокойно. Всего записей: 177 | Зарегистр. 18-08-2003 | Отправлено: 22:06 26-01-2005

CuPER Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору доступ к самбе могут получить тока юзеры из внутренней сети... hosts allow = 192.168.10.     все остальное закрыто политикой iptables... (эх сколько кофе было выпито и сигарет выкурено =) ) меня просто интересовал вопрос КАК (если предположить гипотетически... с учетом того что в сети явно ни кто даже на юзера не тянет...) может быть организовано проникновение? просто есть доступ к и-нету... (радиоканал с другой сеткой)... через эту же машину... вообще конешно надобы разнести файлопомойку и биллинг...   машина не откликается на пинг и на скан портов.... до момента авторизации юзера на доступ к инету... для учета трафика используется Stargazer http://local.com.ua/?op=39&st=1 .... даже по SSH соединиться нельзя... =)   я сам с сервером могу работать только при включенном авторизаторе... посему вопрос достаточно щекотливый...   ЗЫ. Demetrio! Вы не правы! Объяснять права доступа в Samba, мне не нужно... меня исключительно дыра интересует... ее характер и степень опасности Всего записей: 7 | Зарегистр. 16-09-2004 | Отправлено: 22:55 26-01-2005 | Исправлено: CuPER, 22:59 26-01-2005

Alexandr_dzuba Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Объяснять права доступа в Samba, мне не нужно... меня исключительно дыра интересует... ее характер и степень опасности Ведь уже обяснили: Цитата: В Linux все происходит так же как и в Windows: здесь уязвимость не в том,что кто-то запустит эксплоит и получит права админа, а  в том, что в такой конфигурации кто угодно может получить список расшаренных на самбе ресурсов, да и прочитать сами файлы тоже. Если ты сознательно разрешил анонимный доступ к своей Самбе и если это единственная уязвимость твоего Линукса, можешь спать спокойно. Всего записей: 148 | Зарегистр. 25-03-2004 | Отправлено: 06:49 27-01-2005

WhiteRabbit Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Маленькая поправка к самому себе : кто угодно из твоей локальной сети, 192.168.10.x. Возможные варианты проникновения - кто-то пришел с ноутбуком и воткнулся в свободное сетевое гнездо или прямо в хаб; кто-то из юзеров поставил в свою машину модем и сделал доступ к ней из дома; или юзер вышел не заблокировав машину а кто-то посторонний воткнул в нее флэшку. Так что характер дыры - не производится разделение пользователей локалки на группы и контроль их прав доступа к информации. Степень опасности зависит от многих вещей: характера информации на самбе, рода деятельности фирмы, крутости и заинтересованности конкурентов, дисциплинированности и зарплаты юзеров и.т.д. Судя по всему, ты хорошо защитил сеть снаружи и техническими способами, но это только часть дела. Во-первых, сеть надо защищать и изнутри тоже. Во-вторых, тут так же как технические, важны организационные способы защиты - разделение юзеров на группы с разными правами,  контроль их доступа к ресурсам, обеспечение невозможности посторонних подключений к локалке и т.д. Так что если тебя так заботит безопасность, организуй, например NTLM авторизацию на Самбе. Всего записей: 177 | Зарегистр. 18-08-2003 | Отправлено: 08:46 27-01-2005

CuPER Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору это не корпоративная сеть... это домашняя сеть... в институте наша кафедральная сеть стороится по другому принципу... есть домен, есть список компов входящих в этот домен... есть юзер с правами включения машины в домен, у каждого юзера на самбе свой собственный раздел, проверка подлиности идет по нескольким характеристикам...  имя машины, ip, мак адрес логин пароль юзера и еще кое что =) ...  ну там другие требования....   Но дома сеть без выделенного сервера... есть только сервер интернета и самба на нем же... вот просто с учетом уровня знаний пользователей не уверен в целесообразности организации домена... ___или все-таки стоит?___  юзера все из одной группы... гости =) права на доступ к серверу есть только непосредственно у root-а... тобеж у меня... на самбу был принудительно открыт гостевой доступ... меня не интересует способность юзеров заходить на самбу... =) мне интересно может ли данная уязвимость привести к проникновению на сервер с полномочиями суперпользователя... я сейчас работаю над тем чтобы при авторизации юзера на  старгейзере так же был невозможен скан портов... вообще думаю наверно имеет смысл сменить дефолтовый порт для ssh... поскольку большинство сканеров определяет порт по собственной базе... положим это будет 5456 порт вместо 22 врятли до кого допрет что это порт удаленного управления... а на 22 чат заведу =) Всего записей: 7 | Зарегистр. 16-09-2004 | Отправлено: 02:56 28-01-2005 | Исправлено: CuPER, 02:57 28-01-2005

WhiteRabbit Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору CuPER     Для домашней сети домен организовывать, конечно, не стоит.Регулярно читай bugtrack и обновляй версию самбы - этого хватит в 95% случаем   Цитата: меня не интересует способность юзеров заходить на самбу... =) мне интересно может ли данная уязвимость привести к проникновению на сервер с полномочиями суперпользователя...     Данная и сама по себе нет. Но в сочетании с другими уязвимостями и ошибками в настройке сервера - все может быть Например,  в случае если самба не на отдельном разделе и кто-то начнет туда писать туда фильмы пока не забьет все место - права root он наверно не получит, но добиться неработоспособности сервера - вполне реально. Всего записей: 177 | Зарегистр. 18-08-2003 | Отправлено: 09:19 28-01-2005 | Исправлено: WhiteRabbit, 09:19 28-01-2005

CuPER Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору СПАСИБ =) Всего записей: 7 | Зарегистр. 16-09-2004 | Отправлено: 16:12 28-01-2005

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Объясните права доступа в Samba

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование