Линукс с паролем или без

Как сделать пользователя без пароля ?

Народ, у меня совсем тупой вопрос — можно ли сделать пользователя без пароля ? А то утилитка useradd не хочет пустой пароль глотать.

Re: Как сделать пользователя без пароля ?

В файлах /etc/passwd и /etc/shadow 2-е поле вручную сделать пустым.

Re: Как сделать пользователя без пароля ?

Re: Как сделать пользователя без пароля ?

при вводе пользователя на запрос пароля нажать просто Enter (но одной кнопкой, а не по буквам 😉

Re: Как сделать пользователя без пароля ?

Чеж за такой useradd. У меня, чтоб сразу забить пароль — то надо параметр -p, если параметра нет — то и пароля нет. А пароль я стовлю с помощью passwd.

Re: Как сделать пользователя без пароля ?

>Чеж за такой useradd. У меня, чтоб сразу забить пароль — то надо параметр -p, если параметра нет — то и пароля нет. А пароль я стовлю с помощью passwd.]

Если используется теневой пароль (shadow), то так ничего не получится. Useradd в любом случае поставит по дефолту в /etc/passwd во 2-м поле крест «x», а в /etc/shadow во 2-м поле — «!!». И вход в систему будет невозможен. Приходится либо удалять это вручную, если нужен вход без пароля (или, как написал anonymous (*) (2003-07-28 17:40:46.081333)), либо проставлять пароль.

Re: Как сделать пользователя без пароля ?

Извиняюсь за предыдущее, не сразу понял что нужно. Сам если и завожу без пароля, то только пользователей которые не должны заходить в систему вообще.

А чтоб пускал и не спрашивал пароль, достаточно очистить второе поле в /etc/passwd

Источник

Какой логин и пароль?

Ничего не понимаю. Помогите кто-нибууууууудь! Купила ноутбук с Linux. Просит логин и пароль. А он ведь новый. Что вводить нужно?

Re: Какой логин и пароль?

Продавец что говорит?

Re: Какой логин и пароль?

password: qwerty или 1234

Re: Какой логин и пароль?

или пароль root

потом useradd (имя пользователя по англиийски)

система попросит ввести пароль для пользователя (дважды) введите пароль, какой вам нравиться. Все. Это и будет ваш логин/пароль.

Re: Какой логин и пароль?

тогда нужно еще и рута удалить после, а то брешь будет

Re: Какой логин и пароль?

Вот и кому это упёрлось перебирать? Да, вот сейчас она всё бросит и в ручную брутфорсить будет. Или продавец скажет, или книжка прилагалась. Последнее — вообще должно быть однозначно.

Если это, конечно, не тролль неприличной толщины.

Re: Какой логин и пароль?

Снесите Линукс (он не нужен) и поставьте туда православный корпоративный XP

Re: Какой логин и пароль?

passwd для кого придумали?

2автор потом из под рута выполняете команду passwd это смена пароля.

Re: Какой логин и пароль?

просто предлагаю проверить самый очевидный вариант.

если не прокатит, то это не отнимет много времени (10 сек. макс)

а потом уже ваши варианты, а я не тролль, топик стартер больше похож

Re: Какой логин и пароль?

Да я про не(го/ё), в общем-то 🙂

Re: Какой логин и пароль?

Ога. мне вот пришлось ручками аткое убивать. ибо там пароль поставил кто-то и все. и я хз что-там, а продавцы молчат.. после получаса секса (моего, а я не девушка первый раз в консоль смотрящая) оно сдалось.. как выяснилось пароль был просто root. но я не додумался..

Re: Какой логин и пароль?

LiveCD под рукой не было, наверно.

Re: Какой логин и пароль?

Re: Какой логин и пароль?

При загрузке он, скорее всего пишет что-нибудь вроде «Press ESC to enter GRUB menu». Нажимаешь ESC. Только быстро, пока надпись не исчезла.

Если опоздала — дождись того места, где просит пароль, и перезагрузись.

Вошла в меню GRUB. Там несколько вариантов загрузки линукса.
Если есть какой-нибудь «single mode», «runlevel 1», «init 1» или «recovery» — замечательно. Выбирай его и жми Enter.

Если такого нет, то нужно отредактировать одну из имеющихся конфигураций.
Никуда не двигая указатель, нажми ‘e’ (латинскую). Появится список команд для загрузки данной конфигурации.
Выбери строку, начинающуюся с «kernel». Снова нажми ‘e’, чтобы её редактировать.
Появится экран для редактирования этой строки. В конце строки добавь пробел и допиши single.
Если в этой строке есть слова «quiet» или «splash», лучше их удалить.
Нажми Enter, чтобы сохранить изменённую строку, а затем ‘b’ (латинскую B), чтобы загрузиться с изменённой конфигурацией.

В некоторых системах, например, Ubuntu, выдаст меню восстановления системы (Recovery Menu), или нечто подобное. В нём надо выбрать «root» или «single» или «shell». В других системах такого может не быть.

Появится командная строка.
Набери less /etc/shadow
Если заругается («command not found»), значит надо вместо less писать more.

Откроется файл со списком пользователей. Enter — сместиться на строку вниз, «пробел» — на страницу вниз. В less также можно двигаться вверх-вниз стрелками и PgUp и PgDn, в more — только вниз «пробелом» и Enter. Для выхода надо нажать q, more выйдет автоматически, когда дойдёт до конца.

В этом файле каждая строка имеет вид:
имя:зашифрованный пароль:много цифр и двоеточий.
Если вместо зашифрованного пароля стоит восклицательный знак или звёздочка, этот пользователь не может войти в систему, поэтому нам неинтересен.
Запиши все имена, где между первыми двумя двоеточиями стоит не «!», не «*», а бессмысленный набор символов.
Это и есть записанные в системе логины. Обычно они состоят из латинских букв и цифр.

Скорее всего, в системе будет 2 логина, один из которых «root» (в Ubuntu и некоторых лругих линуксах «root» не работает, логин будет всего один).

Выйди из файла, нажав q.

Набери passwd логин, поставив вместо «логин» любой из логинов, кроме «root».
Программа спросит пароль, набери желаемый пароль. Скорее всего, при наборе пароля на экране ничего не будет отображаться.
Программа ещё раз спросит пароль, набери его же.

Если пароли совпали, программа ответит, что сменила пароль, иначе сообщит, что пароли не совпадают.

Если программа заругается, что пароли слишком простые, придумай что-нибудь посложнее.

Можешь поменять пароли и для остальных логинов. Если сменишь пароль для «root», могут быть проблемы, если придётся сдавать ноутбук в сервис.

Перезагрузись. Когда машина спросит логин и пароль, вводи один из найденных логинов (кроме «root») и свой пароль к нему.

Источник

Уязвимости неуязвимого Linux

Cреди обычных пользователей и даже ИТ-сотрудников распространено убеждение в повышенной безопасности ОС семейства Linux по сравнению с «дырявой виндой» и «попсовой макосью». Однако, как показало наше исследование, открытость исходников не избавляет Linux от ошибок и уязвимостей, которые несут риски, связанные с безопасностью. В этом посте мы рассмотрим, почему Linux стал привлекательной мишенью для злоумышленников, а также обсудим основные угрозы и риски, связанные с этой операционной системой.

Фото: Trend Micro

По данным Linux Foundation, ещё в 2017 году под управлением Linux работали 90% клиентских ресурсов у всех облачных провайдеров, причём в девяти из десяти случаев и сам облачный провайдер использовал в качестве основной ОС именно Linux. Но облаками дело не ограничивается: 82% всех выпущенных в мире смартфонов также используют Linux, а среди суперкомпьютеров доля Linux составляет 99%.

По мере того, как предприятия и организации переносят данные в облака, где царит Linux, вектор интереса злоумышленников смещается на слабые места этого семейства операционных систем: уязвимости, неправильные настройки и пробелы в безопасности, а также вредоносное ПО.

Уязвимости

Одним из самых распространённых методов проникновения в систему — использование уязвимостей. Отсутствие процедур управления и отслеживания уязвимостей, не говоря уже об отсутствии выстроенных процессов установки исправлений, может привести к тому, что системы окажутся беззащитными после обнаружения очередной уязвимости и публикации эксплойта для неё. Часто эксплойт публикуют уже через несколько часов после её обнаружения. Для Linux эта проблема более критична, поскольку открытый исходный код позволяет быстро найти проблемную функцию и написать код для эксплуатации ошибки.

Количество критических уязвимостей в различных дистрибутивах за 2015-2020 год. Источник: Trend Micro

Важно отметить, что значительное количество уязвимостей в сервисе или платформе не обязательно означает, что эти уязвимости обязательно несут существенный риск.

Каждый производитель дистрибутива Linux выполняет свою процедуру обработки уязвимостей. В то время как исправления от вендоров приходят в разное время, заплатки upstream, будь то оригинальный пакет или исходный код утилиты, появляются первыми. Вендоры Linux отвечают за исправление уязвимостей в таких компонентах, как ядро, утилиты и пакеты. В 2019 году Red Hat исправил более 1000 CVE в своём дистрибутиве Red Hat Enterprise Linux (RHEL), согласно их отчёту Product Security Risk Report. Это более 70% от общего числа уязвимостей, исправленных во всех продуктах.

Количество важных и критических рекомендаций по безопасности для различных дистрибутивов Linux за 2015-2020 годы. Источник: Trend Micro

Уязвимости приложений, работающих под управлением Linux, были причиной нескольких серьёзных инцидентов. Например, нашумевшая утечка данных в Equifax произошла в результате эксплуатации уязвимости CVE-2017-5638 в Apache Struts. Тогда хакеры проникли в корпоративную сеть бюро кредитных историй Equifax 13 мая 2017 года, но подозрительную активность служба безопасности заметила только в конце июля. Киберпреступники провели внутри сети 76 дней, успев за это время скачать из 51 базы данных личную информацию 148 млн американцев — это 56% взрослого населения США. Помимо американских граждан в утечку попали сведения 15 млн клиентов Equifax в Великобритании и около 20 тыс. граждан Канады. Общие расходы Equifax в результате этого инцидента за два следующих года составили более 1,35 млрд долларов США и включают расходы на укрепление систем безопасности, поддержку клиентов, оплату юридических услуг, а также выплаты по судебным искам.

Уязвимости публичных приложений входят в состав фреймворка MITRE ATT&CK (ID T1190), а также перечислены в топ-10 уязвимостей OWASP и являются наиболее популярными векторами проникновения в Linux-системы.

Ошибки конфигурации

Небезопасные настройки довольно распространены и всегда были критическим вопросом в области безопасности. Первая версия OWASP Top 10 Web Risks от 2004 года, включала в себя «Небезопасное управление конфигурацией» (Insecure Configuration Management); в версии списка 2017 года название изменилось на «Ошибочные настройки безопасности» (Security Misconfiguration).

Когда предприятия стали массово переходить на облачные технологии для обеспечения операционной и экономической устойчивости во время пандемии COVID-19, неправильная конфигурация стала ещё более серьёзной проблемой: по мере переезда предприятий и организаций в новые экосистемы они непреднамеренно вносили ошибки в конфигурации облачной инфраструктуры, контейнеров и бессерверных сред.

Ниже перечислены наиболее распространённые проблемы безопасности в конфигурации Linux.

Слабые пароли в Linux как массовое явление

Использование паролей по умолчанию или слабых паролей до сих пор удивительно распространено, причём даже самые популярные дистрибутивы не отличаются в лучшую сторону.

Например, в дистрибутивах Debian/Ubuntu время жизни пароля по умолчанию составляет 99 999 дней, а если требуется принудительно задать сложность пароля, придётся устанавливать пакет libpam-pwquality или его аналог.

Настройки времени жизни пароля по умолчанию в Ubuntu (файл /etc/login.defs). Источник: linuxtechi

Известный пример злоупотребления из-за отсутствия аутентификации произошёл в Tesla, когда злоумышленники получили доступ панели управления административной консоли, смогли взломать работающую подсистему Kubernetes и получить AWS-удостоверения Tesla для запуска майнера криптовалюты.

В ноябре 2020 года ФБР выпустило предупреждение о том, что злоумышленники злоупотребляют неправильно настроенными экземплярами SonarQube, который обнаруживает ошибки и уязвимости в безопасности исходного кода. Из-за того, что некоторые организации не поменяли настройки систем по умолчанию, они были доступны через порт 9000 с использованием учётных данных admin/admin.

Такая же проблема массово присутствует среди работающих под управлением Linux IoT-устройств, производители которых часто не утруждают себя безопасными настройками паролей. Многие IP-камеры и роутеры также поставляются без паролей или с паролями по умолчанию, которые можно легко найти в общедоступной базе паролей по умолчанию (Default Passwords Database). Причём в некоторых случаях пароли жёстко прошиты и не могут быть изменены.

Уязвимые службы в интернете

Развитие специализированных поисковых систем привело к тому, что уязвимый открытый порт в интернете можно расценивать как приглашение к атаке. Например, используя специализированную поисковую систему Shodan, мы обнаружили более 8 тыс. уязвимых экземпляров Redis, размещённых в публичном облаке без TLS-шифрования и даже без пароля. Позже оказалось, что все они уже использовались кем-то для майнинга криптовалюты.

Открытые файловые ресурсы на Linux-серверах

Публично доступные FTP-, SMB- и NFS-ресурсы, разрешённый листинг каталогов на веб-серверах под управлением Linux, открытые облачные службы хранения данных Amazon S3 и Azure Blob создают потенциальный риск несанкционированного доступа. С помощью Shodan мы обнаружили более 3 млн уязвимых публичных FTP-серверов.

Общее количество уязвимых публичных FTP-серверов по состоянию на 5 января 2021 года. Источник: Trend Micro

Вредоносное ПО

Под Linux существуют многие разновидности вредоносных программ: вымогатели, криптомайнеры, руткиты, черви, бэкдоры и трояны удалённого доступа (RAT). Преступники успешно используют их для получения финансовой выгоды, шпионажа, саботажа, хактивизма или просто из желания доказать, что системы могут быть скомпрометированы.

Ниже перечислены наиболее распространённые типы вредоносных программ в экосистеме Linux.

Вымогатели

Это, безусловно, самая финансово успешная категория вредоносных программ за последнее время. Учитывая растущую популярность Linux, злоумышленники, управляющие вымогателями, считают эту операционную систему очень перспективной мишенью.

В качестве примера Linux-вымогателей можно привести RansomEXX/Defray7777, относительно недавно портированный под эту операционную систему. Его применяла кибергруппировка Gold Dupont, атакующая организации из сфер здравоохранения и образование и технологические отрасли.

Другой вымогатель — Erebus, впервые замеченный в сентябре 2016 года, — в июне 2017 года Erebus заразил 153 Linux-сервера южнокорейской хостинговой компании NAYANA и вывел из строя 3400 клиентских сайтов.

Криптомайнеры

Относительно новым мотивом для злоумышленников является проникновение и злоупотребление вычислительными ресурсами для добычи криптовалюты.

Многие вредоносные криптомайнеры не просто заражают Linux-системы, но и очищают их от присутствия майнеров-конкурентов, а также стремятся захватить как можно более мощные системы с практически неограниченными вычислительными возможностями, такие как контейнеры Docker или Redis.

Для проникновения в систему майнеры используют распространённые уязвимости. Например, программа coinminer, детектируемая компанией Trend Micro под названием Coinminer.Linux.MALXMR.SMDSL64, использует уязвимости обхода авторизации SaltStack (CVE-2020-11651) и обхода каталога SaltStack (CVE-2020-11652).

Вредоносные скрипты

Командные интерпретаторы присутствуют на всех UNIX-машинах, поэтому злоумышленники активно используют его, тем более что это значительно проще, чем использовать скомпилированные вредоносные программы.

Причин популярности вредоносных скриптов для атак на Linux:

они легко загружаются в виде текстовых файлов;

они имеют небольшой размер;

меньше вероятность того, что они будут легко обнаружены;

они могут быть созданы «на лету».

Веб-шеллы и бэкдоры

Веб-шелл — установленный на веб-сервере скрипт, который выполняет команды преступника и обеспечивает ему прямой доступ к взломанной системе. Например, в августе 2020 года мы столкнулись с Ensiko, веб-оболочкой PHP, нацеленной на Linux, Windows, macOS или любую другую платформу, на которой установлен PHP. Помимо удалённого выполнения кода с помощью Ensiko злоумышленники могут выполнять команды оболочки и повреждать веб-сайты.

Руткиты

Руткит — набор вредоносных программ, которые внедряются в Linux-систему, частично или полностью подменяя стандартные системные утилиты, драйверы и библиотеки. Основная цель руткита — скрывать своё присутствие от администраторов и пользователей скомпрометированной системы, обеспечивая злоумышленнику полный или частичный контроль.

В ходе наших исследований мы сталкивались с несколькими семействами руткитов. Чаще всего это были Umbreon, Drovorub или Diamorphine.

Рекомендации

Предприятия продолжают внедрять Linux, причём использование этой ОС не ограничивается серверными задачами. Крупные предприятия активно устанавливают свободную ОС на десктопы пользователей. Очевидно, что когда киберпреступники заметят эту тенденцию, они будут всё чаще нацеливаться на среду Linux с целью получения финансовой выгоды.

Вот несколько рекомендаций по обеспечению безопасности систем Linux:

внедрите в качестве обязательного принцип «Инфраструктура как код» (Infrastructure as Code, IaC), который гарантирует что системы создаются должным образом, а их конфигурации соответствуют решаемым задачам;

используйте принцип наименьших привилегий и модель совместной ответственности;

контролируйте целостность операционной системы, чтобы подозрительные изменения не могли произойти незаметно;

отслеживайте сетевой периметр, проводите мониторинг всех устройств, систем и сетей;

замените пароли по умолчанию на сильные и безопасные, по возможности всегда включайте многофакторную аутентификацию;

регулярно устанавливайте обновления и исправления ошибок.

Источник