Gå til innhold

Politiet henlegger cracker-sak


Anbefalte innlegg

Videoannonse
Annonse

sikkerhet på ntnu er elendig!!! :( jeg går på datateknikk første år: nå driver vi med JSP og MySQL ,men det er kjemperart å tenke på at de 20000 studenter og ansatte kan lese mine koder (dermed databasepassord) som ligger i 'public' :D IDI ha'kke løst det problemet enna,fordi de er så opptatte av å beskyte seg utefra. :mrgreen:

P.S. alle brukernavn er tilgjengelige for de som er innefor stud.ntnu.no og, så hva er vitsen med å bytte dem ut? åh ja, the power of computing!!!

Endret av simonj
Lenke til kommentar
sikkerhet på ntnu er elendig!!! :( jeg går på datateknikk første år: nå driver vi med JSP og MySQL ,men det er kjemperart å tenke på at de 20000 studenter og ansatte kan lese mine koder (dermed databasepassord) som ligger i 'public' :D IDI ha'kke løst det problemet enna,fordi de er så opptatte av å beskyte seg utefra. :mrgreen:

P.S. alle brukernavn er tilgjengelige for de som er innefor stud.ntnu.no og, så hva er vitsen med å bytte dem ut? åh ja, the power of computing!!!

For det første så ble login aldri byttet, for det andre hva er problemet med at det eventuellt går an å få tak i passordet som du har på it-intro databasen din. Skal du lagre statshemligheter hadde det jo vært greit med database et annet sted?

Lenke til kommentar
[quote name='Torbjørn' date='11/11/2003 : 18:36'] simonj:

Vet du hva du snakker om? Tror du virkelig at "sikkerheten på ntnu er elendig!!" bare fordi public_html området er åpent for alle? (som det er på alle *nix systemer) [/quote]
jeg bryr meg ikke om databasepassordene mine (bruker flere brukerer ,gir ikke nok rettigheter til JSP ,gir ikke lov å liste min public - ok... glem det!)
men jeg snakker om at [b]/etc/passwd er leselig for alle[/b] ,og det må være mer eller mindre alvorlig... synes du ikke?
Lenke til kommentar
For det første så ble login aldri byttet, for det andre hva er problemet med at det eventuellt går an å få tak i passordet som du har på it-intro databasen din....

- sorry om login

- it-intro databasen ,jeg skal ikke ha hemmeligheter (har hjemmeserver for det) ,men jeg ble skikkelig forbanne når hadde oppdaget at noen skrevet mye rart inn i news_databasen min ,glad at ingen prøvt å droppe alle tabeller!

Lenke til kommentar

Mysql passordene bør du legge i en fil som ikke er lesbare for alle, men kun lesbare for degselv og webserveren. Dvs, du lar den være lesbar for "apache".

IT intro er ikke ment for å dekke passord sikkerhet. Det får du neste år.

 

/etc/passwd er leselig for alle på alle linux systemer. Den inneholder ikke passordene dine - kun brukernavn.

Lenke til kommentar

2petterg : tusen takk for tipsen :D

 

(det er ikke shadow så klart, men den inneholder epost alias,virkelig navn ++ -så det kunne brukes av en eller annen spam'er . -> jeg føler meg ikke så trygt uansett, er jeg sjisofren?)

Endret av simonj
Lenke til kommentar

på ntnu har du tilgang til å lage flere brukere, lag da en bruker som du bruker administrativt for å lage databaser og tabeller, deretter en bruker som *kun* har select tilgang, som du legger passordet til i php-fila. da får de ikke gjort noe annet enn å lese innlegg selvom de har mysql brukeren.

 

mysql-useradm create somonj_lesenews
mysql-useradm passwd simonj_lesenews
mysql-dbadb editperm simonj_newsdb
*legge inn 'Y' på select og 'N' på alt annet

 

se følgende link:

http://infoweb.ntnu.no/utvikling+og+progra...base/mysql.html

Endret av Torbjørn
Lenke til kommentar
2petterg : tusen takk for tipsen :D

 

(det er ikke shadow så klart, men den inneholder epost alias,virkelig navn ++ -så det kunne brukes av en eller annen spam'er . -> jeg føler meg ikke så trygt uansett, er jeg sjisofren?)

studentsøk på ntnu er åpent likevel, ie søke etter navn, brukernavn, whatever.

Lenke til kommentar
Mysql passordene bør du legge i en fil som ikke er lesbare for alle, men kun lesbare for degselv og webserveren. Dvs, du lar den være lesbar for "apache".

IT intro er ikke ment for å dekke passord sikkerhet. Det får du neste år.

 

/etc/passwd er leselig for alle på alle linux systemer. Den inneholder ikke passordene dine - kun brukernavn.

dette er en falsk trygghet.

 

hvem som helst andre (på samme server) kan lage et php script som åpner hans filer med apache-brukeren.

Lenke til kommentar
dette er en falsk trygghet.

 

hvem som helst andre (på samme server) kan lage et php script som åpner hans filer med apache-brukeren.

joda. Det er mulig, men det blir litt mer prosjekt enn å kjøre

cat /local/www.stud/users/brukernavn/fil.php

 

Er det ikke mulig å sperre via f.x. .htaccess at fila med passord ikke kan nås direkte, men må gå via den fila den er inkludert i?

 

Det finnes også mer avanserte løsninger - Vet jeg har sett noen som virka ganske sikre, men siden jeg kjøre min egen server hadde jeg ikke behov for det, og tok heller ikke vare på linken.

Det er selvsagt en god ide og også begrense mysql tilgangen til kun den serveren som kjører webserver, og ellers begrense så mange rettigheter som mulig. Litt dumt at NTNU fortsatt kjører versjon 3.23. Fra versjon 4.x har dette med rettighets begrensninger blitt mye bedre.

 

-pg

Lenke til kommentar

vanlige brukere har ikke lov til å chown'e eller chgrp'e sine filer for deretter å chmod'e til o|g +s. meg vitende hvertfall.

 

mulig .htaccess løsningen fungerer, jeg har tenkt på den selv, men synes det høres urimelig ut, og har heller ikke funnet noe etter et par kjappe google søk.

 

Det som derimot hjelper; simonj; er å kjøre md5() på passord du skal lagre i databasen. det gjør at andre ikke får lest eventuelle passord du måtte ha, da de er enveis-hash'er.

Endret av Torbjørn
Lenke til kommentar

ok, hvis det er umulig å sikre seg mot trouble, da kan jeg prøve gjøre det vanskelig ....fikk ikke lov å kjøre 'chown httpd secure.txt' ,men jeg har 711 rett i /local/www.stud/users/mittbrnavn , ingen får liste mappen ,men hvis du leser index.jsp så ser hvilke filer som inkluderes , deretter filer som inkluderes i de inkluderte og så vid ,til slutt kommer du til den siste filen (eller får bonus_level i underkatalogen).... det tar litt tid :D (den vanlige bruker kan maks oppdatere counter database - ikke noe mer (bare select) - OK)

 

P.S Torbjørn: md5, men blir det ikke mulighet til å 'stjele lenk' (inkludere i andre fil som leser det for deg) ? da tar jeg ikke sjanse med det . Men jeg har funnet ut at jeg har public på IDI serveren og, er det poeng i å bruke den i sted for stud ellers?

Endret av simonj
Lenke til kommentar

absolutt, det minsker antall brukere som har tilgang

på den annen side vil de som har tilgang være mer kapable til å drive ugang.

 

jeg mente brukerpassord. hvis du har noen form for brukerregistrering med login mot din mysql database, så vil det ikke hjelpe dem å finne passordet i tabellen hvis det er kryptert.

Lenke til kommentar

Men selv om du bruker md5 er det vel nok å få ut kildekoden på php/jsp fila?

 

Greit nok at det funker om du har en side hvor brukeren skal taste inn passord hver gang, men hvis du f.x. lager en gjestebok hvor hvem som helst skal kunne skrive en hilsen uten å taste noe passord, må passordet uansett ligge i kildekoden.

 

Har ikke vanlig brukere tilgang til chown :gruppe på stud? Tenkte da at man kunne ta

"chown :apache includefil.php"

og gi gruppe lesetilgang, mens andre ikke har noen tilgang.

 

hmm Man må vel være medlem av apache gruppen for å få til dette. Hvis du er medlem av apache, så er jo alle andre stud også det, da har de jo likevel lesetilgang... Ble ikke så enkelt dette.

Plagsomt at jeg ikke har link til den artikkelen som tok for seg akkurat dette!

 

-pg

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...