Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Root SSH access met verschillende wachtwoorden die bijna op het origineel lijken?
10-11-2011, 23:13 door Anoniem, 5 reacties
Beste bezoekers van security.nl,
Ik heb een fenomeen dat ik al eens eerder heb mee gemaakt op een linux machine;
Ik heb een brandende vraag:
Hoe is het mogelijk dat ik op een server toegang krijg tot het root account met een ander wachtwoord dan oorspronkelijk het wachtwoord is, voorbeeld:
SSH toegang voor account root is:
Username: root (uiteraard)
Password: abcdefgh1ab (oorspronkelijk wachtwoord).
Ik krijg toegang met alle mogelijke combinaties waarin de laatste 2 letterssteeds veranderen voorbeeld:
root:abcdefgh1aa
root:abcdefgh1bb
root:abcdefgh1cc
Hoe is dit mogelijk en hoe kan ik dit aanpassen dat maar 1 combinatie toegang heeft (zoals oorspronkelijk de bedoeling is bij een root account)
Server draait op CentOS 5.
Iemand een idee of een gelijke ervaring?
Grt,
AvantiServ
Ik heb een fenomeen dat ik al eens eerder heb mee gemaakt op een linux machine;
Ik heb een brandende vraag:
Hoe is het mogelijk dat ik op een server toegang krijg tot het root account met een ander wachtwoord dan oorspronkelijk het wachtwoord is, voorbeeld:
SSH toegang voor account root is:
Username: root (uiteraard)
Password: abcdefgh1ab (oorspronkelijk wachtwoord).
Ik krijg toegang met alle mogelijke combinaties waarin de laatste 2 letterssteeds veranderen voorbeeld:
root:abcdefgh1aa
root:abcdefgh1bb
root:abcdefgh1cc
Hoe is dit mogelijk en hoe kan ik dit aanpassen dat maar 1 combinatie toegang heeft (zoals oorspronkelijk de bedoeling is bij een root account)
Server draait op CentOS 5.
Iemand een idee of een gelijke ervaring?
Grt,
AvantiServ
Reacties (5)
11-11-2011, 13:28 door
SirDice
Het lijkt er op dat er is ingesteld dat wachtwoorden maar maximaal 8 of 9 karakters mogen zijn. De 'extra' karakters worden gewoon genegeerd.
11-11-2011, 13:33 door
SirDice
Even zoeken en dit zou zo maar de reden kunnen zijn:
For security purposes, the installation program configures the system to use Message-Digest Algorithm (MD5) and shadow passwords. It is highly recommended that you do not alter these settings.
If MD5 passwords are deselected during installation, the older Data Encryption Standard (DES) format is used. This format limits passwords to eight alphanumeric character passwords (disallowing punctuation and other special characters) and provides a modest 56-bit level of encryption.
http://www.linuxtopia.org/online_books/centos_linux_guides/centos_linux_security_guide/s1-wstation-pass.html
For security purposes, the installation program configures the system to use Message-Digest Algorithm (MD5) and shadow passwords. It is highly recommended that you do not alter these settings.
If MD5 passwords are deselected during installation, the older Data Encryption Standard (DES) format is used. This format limits passwords to eight alphanumeric character passwords (disallowing punctuation and other special characters) and provides a modest 56-bit level of encryption.
http://www.linuxtopia.org/online_books/centos_linux_guides/centos_linux_security_guide/s1-wstation-pass.html
Hartelijk dank voor je antwoord SirDice, dit was inderdaad precies het probleem.
Nu is het opgelost en gebruik ik MD5 :)
Grt.
AvantiServ
Nu is het opgelost en gebruik ik MD5 :)
Grt.
AvantiServ
MD5 wordt niet meer als secure beschouwd, sha512 is bij moderne installs standaard.
17-11-2011, 08:53 door
SirDice
Door Anoniem: MD5 wordt niet meer als secure beschouwd, sha512 is bij moderne installs standaard.
Het is in ieder geval altijd nog veiliger dan de vorige DES instelling ;)Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?