[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Security hole. remote root access.

Вряд ли, конечно, но просто, чтобы исключить:

А вы раздел с /root форматировали во время установки нового debian поверх 
старого? Может быть, ключ остался со времен старого debian?


On Thursday, September 20, 2012 09:01:07 AM Damir Hakimov wrote:
> 19 сентября 2012 г., 22:00 пользователь Andrey Rahmatullin
> 
> <wrar@wrar.name> написал:
> > > Собственно дыра обнаруживается так: с другой машины, из-под рута говорим
> > > ssh-copy-id  new-machine-ip
> > > ... и ... собс-но все!
> > 
> > Просит пароль рута.
> 
> Товарищи господа! Я, конечно, извиняюсь - видимо бага где-то в голове,
> только никак не пойму где именно...
> Вот лог (сохранившийся в screen)
> ----------------------------------------------------------------------------
> -----------------------------------------------------
> root@backup:/home/bu/data# ping bogdo
> PING bogdo (192.168.10.164) 56(84) bytes of data.
> 64 bytes from bogdo (192.168.10.164): icmp_req=1 ttl=64 time=3.41 ms
> 64 bytes from bogdo (192.168.10.164): icmp_req=2 ttl=64 time=0.327 ms
> 64 bytes from bogdo (192.168.10.164): icmp_req=3 ttl=64 time=0.354 ms
> ^C
> --- bogdo ping statistics ---
> 3 packets transmitted, 3 received, 0% packet loss, time 2000ms
> rtt min/avg/max/mdev = 0.327/1.365/3.415/1.449 ms
> root@backup:/home/bu/data# ssh-copy-id bogdo
> The authenticity of host 'bogdo (192.168.10.164)' can't be established.
> RSA key fingerprint is 4f:17:4e:4f:b1:43:a8:45:a6:7b:60:24:a7:43:e1:9a.
> Are you sure you want to continue connecting (yes/no)? yes
> Warning: Permanently added 'bogdo' (RSA) to the list of known hosts.
> Now try logging into the machine, with "ssh 'bogdo'", and check in:
> 
>   .ssh/authorized_keys
> 
> to make sure we haven't added extra keys that you weren't expecting.
> 
> root@backup:/home/bu/data# slogin bogdo
> Linux bogdo 2.6.32-5-686 #1 SMP Sun May 6 04:01:19 UTC 2012 i686
> 
> The programs included with the Debian GNU/Linux system are free software;
> the exact distribution terms for each program are described in the
> individual files in /usr/share/doc/*/copyright.
> 
> Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
> permitted by applicable law.
> Last login: Wed Sep 19 10:23:57 2012 from 192.168.10.103
> ----------------------------------------------------------------------------
> -------------------
> 
> Никаких пассвордов не спросили.
> Вот вывод grep "root: /etc/shadow /etc/passwd" с машины bogdo:
> /etc/shadow:root:$6$ofYFpmiI$IIZ.iY/mO0VK8W2Rf5brbWSEJ5fKvyA3wQ6aY5.OF/M.lO1
> QiRm8XFBnxtgdLxbzcB2TkZnJ3N2zGKsXYdjuj.:15600:0:99999:7:::
> /etc/passwd:root:x:0:0:root:/root:/bin/bash
> 
> Т.е. пассворд руту УЖЕ установлен. И, на момент "ssh-copy-id bogdo" он
> уже БЫЛ установлен.
> 
> Теперь, самое интересное:
> ----------------------------------------------------------------------------
> ------- root@bogdo:~/.ssh# cat authorized_keys | grep root@backup | wc -l
> 2
> root@bogdo:~/.ssh# cat authorized_keys | grep root@backup | uniq | wc -l
> 1
> ----------------------------------------------------------------------------
> -------
> 
> Я в недоумении, дорогая редакция, откуда там две одинаковые строки с
> одним ключом??
> Если она там была на момент показанного выше "ssh-copy-id bogdo", то почему
> The authenticity of host 'bogdo (192.168.10.164)' can't be established.  ??
> 
> А если ее там не было - то почему не спросили пассворд??
> 
> PS. У меня тут апгрейд серверов - и Я штуки 4 этих debian-ов поставил
> с понедельника. (Решил, что проще переустановить, ибо некоторые
> дебианы аж sarge, и апдейтить их до сквизи Я поленился). Так вот,
> показанное Выше поведение ssh-copy-id (не понятно, чем вызванное) Я
> наблюдал дважды.  Пожалуй, надо попытаться смоделировать эту ситацию
> начисто.
> 
> --
> DamirX
Reply to: