mudar permissão do shadow.

cag · 03-11-2005, 13:23

Boa Tarde pessoal,
Estou com o seguinte problema:

Preciso mudar a permissão do shadow (/etc/shadow), para 640.
Mas quando mudo para essa permissão, e altero a senha de um usuário com o comando "passwd" o aquivo ganha a permissão default 600 automaticamente.

Existe alguma configuração para não acontecer isso ?

Obrigado

belvio · 04-11-2005, 10:10

Caro colega,

Isto ocorre por uma questão de segurança do propio comando passwd mantem as peremissões em 600.
Pois ai estão as senhas e se qualquer um tiver acesso mesmo que leitura a este arquivo, isto facilita que seja quebrado a senha root mesmo ela estando encriptada.

Agora vc pode resolver isto de duas maneiras, uma acressentando ao grupo root o usuário em questão que ira fazer acesso a este arquivo ou criando um script que faz a mudança de senha e logo abaixo muda a permissão do arquivo, não esquecendo de habilitar o setuid com o comando chmod 4711 [script] assim ele sera executado com as permissões de root, outra coisa importante a fazer é que voce tem que renomear ou criar uma copia do arquivo /usr/bin/passwd tipo /usr/bin/passwd.old e usar este arquivo renomeado ou a copia dele dentro do seu script blz.

cag · 04-11-2005, 10:25

Estou vendo que não tem outra maneira,

Vou fazer isso mesmo, muito obrigado.

Na verdade precisei fazer isso para colocar o modulo PAM do apache,
o mesmo deve ser rodado com o grupo "shadow-readers", e o shadow precisa ter a permissao 640 com o grupo shadow-readers para funcionar.

Funcionou legal, o único problema é esse.
O Comando passwd, muda para 600 e tira o retira o grupo shadow-readers também.

Ah outra coisa, pesquisei um pouco no google.
Uma saida é baixar o sorce desses pacotes, achar isso para modificar e instalar novamente o pacote shadow.
Mas assim complica um pouco a situação...

Valeu

**ruyneto** · 04-11-2005, 10:28

Cara tpo leia direitinho sobre esse modulo PAM do apache que pra mim voce pode estar dando um tiro no pé, pq o seguinte se algum usuario conseguir acessar com o grupo shadow-readers ou coisa assim consegue ver seu arquivo de passwd e roubar, então veja se não há outra maneira de fazer sem mudar a permissão pra 640.

falows

cag · 04-11-2005, 10:32

Opa, editei o post acima bem na hora que você postou.

Acredito eu que n tem outra maneira, eu sei que no squid é um arquivo que seta a permissao +s e funciona.

Já no apache precisa fazer isso, eu tb achei complicado dessa maneira.
Mas no próprio site está mostrando para fazer isso

cag · 04-11-2005, 16:56

Ta complicado mesmo, não pode que um daemon famoso como o apache não tem uma autentificação com o PAM que funcione.

http://pam.sourceforge.net/mod_auth_pam/shadow.html

Aí que mostra para mudar o grupo.

Mas volta esse erro com o comando "passwd".

É Complicado procurar no google a respeito desse assunto, encontra 1000 coisas mas nehuma resolve. :toim:

valeu :good:

**ruyneto** · 04-11-2005, 17:33

Cara eu nunca usei esse modulo pro apache so achei meio estranho pela brecha de segurança.

falows

cag · 04-11-2005, 17:49

concordo totalmente com você ruyneto.
Mas eu não estou rodando php/cgi etc...

É Só html mesmo, não tem nada que executa comandos do sistema.

Faz um bom tempo que não sai uma brecha de segurança desse nível no apache, acho eu que da para confiar...
Mesmo assim, se acontecer isso o cara ainda precisa quebrar a senha que está no shadow.

Mas todo cuidado é pouco nessa hora.

é que realmente eu preciso dessa autenticação, não tenho outra saída.

O único problema é que o comando passwd muda tudo.

Estou vendo que o único caminho é fazer um script com passwd mudando as permissões, grupo etc...

Vou dar mais uma pesquisada, se eu encontrar alguma solução volto a postar.

Muito Obrigado.

**ruyneto** · 04-11-2005, 21:22

Postado originalmente por cag

concordo totalmente com você ruyneto.
Mas eu não estou rodando php/cgi etc...

É Só html mesmo, não tem nada que executa comandos do sistema.

Faz um bom tempo que não sai uma brecha de segurança desse nível no apache, acho eu que da para confiar...
Mesmo assim, se acontecer isso o cara ainda precisa quebrar a senha que está no shadow.

Mas todo cuidado é pouco nessa hora.

é que realmente eu preciso dessa autenticação, não tenho outra saída.

O único problema é que o comando passwd muda tudo.

Estou vendo que o único caminho é fazer um script com passwd mudando as permissões, grupo etc...

Vou dar mais uma pesquisada, se eu encontrar alguma solução volto a postar.

Muito Obrigado.

Cara se o padrão de senha não for blowfish, todos os outros existem programinhas que quebram facil ( pelo menos blowfish é o unico que não conheço um programa bom) então é bom sempre ficar esperto.

falows

PS: não vo citar nomes de programas.

mudar permissão do shadow.

Ferramentas de Tópicos