[mdk-re] Re: [mdk-re] Потенциальная дыра или нет?

[Dmitry V. Levin]

On Tue, Aug 14, 2001 at 01:20:10PM +0400, Roman S wrote:
> Обнаружил в архиве логов интересную штуку - удалённый
> вход через SSH по профилю, который уже был заблокирован!

Что понимается под "профиль, который уже был заблокирован"?

> У профиля в доме валялся SSH-ключик...

chown 0:0 ~профиль
chmod 0 ~профиль
userdel профиль

Эта последовательность надежно блокирует профиль. :)

> В связи с тем, что сейчас нет системы для экспериментов
> - Вопрос:
> Это исходное отверстие в Slackware (вход по SSH
> заблокированным пользователем) или "творчество"
> администратора?  

Это специфика авторизации openssh при использовании ключа.
Поведением можно управлять при помощи /etc/pam.d/sshd, имея в виду, что
при авторизации по ключу "auth" обрабатываться не будет.

> Если дыра, то есть ли в Spring?
> Если есть, то как бороть?

В очередной версии, скорее всего, будет 2 pam-файла для openssh: один для
pam auth и другой для не-pam auth (например, по ключу). Ибо сейчас,
например, при авторизации по ключу строка
auth       required     /lib/security/pam_nologin.so
просто не отрабатывает.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+

----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 232 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20010814/b4caa949/attachment-0010.bin>