mandag den 10. december 2012

Skifte kodeord over netværk

Nogen gange har man brug for at brugere selv kan skifte kodeord uden at de har terminal adgang til serveren. Det kan fx være igennem en hjemmeside.
For ikke at lave for mange sikkerheds brud i systemet kan man bruge et program der hedder poppassd.
poppassd kan opsættes som en netværks service og har FTP ligne kommunikation. Problemet med poppassd er bare at det er dårligt dokumenteret, fyldt med fejl og opsætningen forældet eller forkert.

Programmet er originalt skrevet for at understøtte mail systemerne Eudora and NUPOP du kan finde original programmet her http://netwinsite.com/poppassd/

Den originale version bruger passwd programmet direkte, denne metode er knap så fleksibel og det har desuden vist sig at under nogen omstændigheder mister passwd processen sin parrent process og bliver en zombie.

Det har ledt til udviklingen af en ny version kaldet poppassd-ceti, den version kan findes her http://freecode.com/projects/poppassd-ceti poppassd-ceti benytter sig af PAM som er en langt mere fleksibel metode til at håndtere bruger konti autorisations funktioner.

Men da der også med den nye version er brug for udokumenteret workarounds for at få det til at virke bliver det her dokumenteret.
Bruger du RetHat enterprise eller Scientific linux (og måske andre RPM baseret systemer) kan du installere poppassd-ceti fra denne RPM poppassd-1.8.5-3.rh9.re.i386.rpm http://rpm.pbone.net/index.php3/stat/4/idpl/5808798/dir/redhat_9/com/poppassd-1.8.5-3.rh9.re.i386.rpm.html
Hvis den klager over den mangler sysklogd, og kun sysklogd så kontroller du har syslog installeret (#rpm -qa | grep syslog) da den kan have et par forskellige navnet, fx rsyslog, når det er bekræftet, installer den bare med --nodeps

Du kan teste om programmet virker ved at bare skrive poppassd i prompten, neden for er en typisk poppassd transaktion:

S: Server/K: Klient

S: 200 HOSTNAME popassd v1.4 hello, who are you?\r\n
K: user BRUGERNAVN\r\n
S: 200 your password please.\r\n
K: pass EKSISTERENDE_KODE\r\n
S: 200 your new password please.\r\n
K: newpass NY_KODE\r\n
S: 200 Password changed, thank-you.\r\n
K: quit\r\n
S: 200 Bye-bye\r\n

Klager den over eksisterende kode ikke er korrekt selvom den uden tvivl er det, skyldes det forkert opsætning af PAM.
Skal poppassd skifte koder i lokal unix's shadow fil (normale unix brugere), erstat din PAM konfiguration i /etc/pam.d/poppassd med nedenstående:

#%PAM-1.0
auth       required     /lib/security/pam_unix.so shadow nullok
account    required     /lib/security/pam_unix.so
password   required     /lib/security/pam_cracklib.so retry=3
password   required     /lib/security/pam_unix.so use_authtok nullok

Når det er testet kan der forsættes med opsætning af poppassd som netværks service.
Start med at definere din service i /etc/services
Vi skal bruge port 106, hvis den allerede bruges så kommenter de linjer med port 106 ud med # og indsæt i stedet nedenstående linje:

poppassd        106/tcp
Herefter bruger vi xinetd som har sine konfigurationer i individuelle filer for hver service, vi skal derfor bruge filen /etc/xinet.d/poppassd med følgende indhold.

service poppassd
{
        disable                 = no
        port                    = 106
        socket_type             = stream
        protocol                = tcp
        wait                    = no
        user                    = root
        server                  = /usr/sbin/poppassd
        passenv                 = PATH
        env                     = HOME=/var/poppassd
        bind                    = 127.0.0.1
        only_from               = 127.0.0.1
        log_on_success  += HOST DURATION
        log_on_failure  += HOST
}
Efter rettelser i xinet.d konfigurations filer skal xinetd reloades
#/etc/init.d/xinetd reload

Test herefter med telnet at programmet virker som netværks service
$telnet localhost 106

fredag den 7. december 2012

Snyd med USB harddiske og nøgler/sticks

Selvom det er en gammel nyhed, ser det ud til det i Danmark er mere aktuelt end nogen sinde før.
Der snydes med størrelsen på USB harddiske og USB Flash nøgler/sticks der sælges på internettet og hos isenkræmmere.

Så sent som i går var en stribe falske USB nøgler i omløb på Den Blå Avis (dba.dk). Efter en henvendelse blev de hurtigt fjerne uden kommentarer fra sælgeren.

Det er ikke altid lige let at gennemskue om der er snyd med USB nøgler og harddiske, det anbefales derfor altid kun at købe EDB udstyr fra en rigtig forhandler.

I dette tilfælde er der nogle helt tydelige beviser som gælder mange af dem.

USB nøglen på billedet var annonceret med 500GByte plads til mellem 700kr og 1000kr.
Maksimum størrelse på USB nøgler er i dag 256GByte.
Hukommelse på USB flash nøgler kommer altid i blokke af 8bits per byte, så når der engang kommer USB flash nøgler på over 500GByte vil størrelsen være 512GByte.
Kingston har slet ikke en model der ligner den annonceret. Så at sikre sig producenten overhovedet har modellen som forsøges solgt kan nogle gange også være et tydeligt tegn på snyd. Men det kan ALDRIG være et tegn på der ikke er snydt! Nogle pirat kopier ligner til forveksling originalerne. Endnu være er at et eventuelt billede af produktet ikke stemmer overens med det man har modtaget, når man tager luppen frem og gennemgår font typer og størrelser, så stol aldrig på billeder af produktet.

Snyd med harddiske er sjældent ligeså lette at gennemskue da det findes i alskens størrelser og de falske er altid bygget over en pirat kopi af original produktet.

Læg mærke til den fine kasse og emballage på billedet til venstre, men indholdet af harddisken er knap så fint som det ses på billedet til højre.

Fælles for både USB nøgler og harddiske er at når man sætter dem i computeren bliver de vist med den falske størrelse og man ligger ikke mærke til det hvis man fylder dem over deres rigtige størrelse før man igen skal bruge filerne. Da vil de være tomme.

Det skal pointeres at der snydes også med de helt små størrelser af USB flash nøgler/sticks. Her er det ofte den billige pris der er afslørende.

Baggrunden for opslag og artikler her på AOit er mine mere end sidste ti års erfaringer i drift og brug af LAMP platformen til at løse et utal af opgaver. En platform der består af Linux, Apache, MySQL og PHP. Alle fire frit og åben software og til at presentere data som som information bruger jeg HTML til formatering og CSS til layout.