Controllo degli accessi in UNIX

Transcript

1 Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Controllo degli accessi in UNIX Alessandro Reina <ale@security.dico.unimi.it> Aristide Fattori<joystick@security.dico.unimi.it> A.A Alessandro Reina Controllo degli accessi in UNIX A.A / 1

2 Permessi d accesso Chi? Cosa? Soggetti UNIX: utenti gruppi processi Oggetti UNIX: file Alessandro Reina Controllo degli accessi in UNIX A.A / 1

3 Soggetti e oggetti: diritti Soggetti diritti d accesso determinati da UID/GID Oggetto diritti d accesso memorizzati insieme all oggetto stesso (inode) Alessandro Reina Controllo degli accessi in UNIX A.A / 1

4 Permessi d accesso Tipologie di permessi d accesso: lettura (r o 4), scrittura (w o 2), esecuzione (x o 1). Per i file: r: permette di leggere il file w: permette di scrivere il file x: permette l esecuzione Per le directory: r: permette di leggere il contenuto delle directory (elenco dei file) w: permette di modificare il contenuto delle directory x: permette l attraversamento della directory Alessandro Reina Controllo degli accessi in UNIX A.A / 1

5 Permessi d accesso Process Credentials in Unix ogni processo possiede le proprie credenziali (UID, GID); determinano cosa un processo può fare; l utilizzo richiede supporto sia dal processo che dalla risorsa interessata; Nome uid, gid euid, egid fsuid, fsgid suid, sgid Descrizione real UID/GID effective UID/GID effective file access UID/GID saved UID/GID Alessandro Reina Controllo degli accessi in UNIX A.A / 1

6 Permessi d accesso quando un processo è creato eredita la credenziali del padre; le credenziali possono essere modificate successivamente (e.g. system call); solitamente uid, euid, suid hanno lo stesso valore; cosa succede quando un processo esegue un programma setuid? Alessandro Reina Controllo degli accessi in UNIX A.A / 1

7 Permessi d accesso setuid Quando un processo esegue un programma setuid i campi euid e fsuid sono impostati con l UID del proprietario del file. passwd le password sono salvate in un file comune al quale non è possibile accedere da utente non privilegiato; per cambiare la password l utente invoca il programma /usr/bin/passwd che ha il flag setuid impostato ed il cui proprietario è l utente con UID = 0 (root); quando il processo forkato dalla shell esegue passwd le credenziali del processo euid e fuid sono impostate con valore pari al UID del proprietario del file, cioè 0; il processo può accedere al file perché quando il kernel controlla i permessi trova fsuid a 0; Alessandro Reina Controllo degli accessi in UNIX A.A / 1

8 Permessi d accesso programmi setuid Un utente maligno può sfruttare bug nel codice per effettuare privilege escalation. Unix permette ai processi di acquisire il privilegio setuid solo quando necessario e rilasciarlo quando non se ne ha più bisogno. system call: getuid, geteuid, getresuid, setuid, seteuid, setresuid. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

9 Permessi d accesso Basati su effective UID/GID: Algoritmo real UID/GID: ereditati dal genitore; riconducibili solitamente a UID/GID dell utente che ha iniziato la sessione di lavoro associata al processo effective UID/GID: UID utilizzato quando viene effettuato il controllo dei privilegi del processo; solitamente coincide con RUID 1 se UID del soggetto corrisponde al proprietario del file, si fa riferimento ai bit di permesso relativi al proprietario; altrimenti 2 se un GID del soggetto corrisponde al gruppo del file si fa riferimento ai bit di permesso relativi al gruppo; altrimenti 3 si utilizzano i bit relativi a world Alessandro Reina Controllo degli accessi in UNIX A.A / 1

10 Permessi speciali Per i file: SGID: associa all eseguibile in esecuzione i permessi del gruppo d appartenenza SUID: associa all eseguibile in esecuzione i permessi del proprietario del file Per le directory: sticky: non consente di modificare un file a un utente diverso dal proprietario, neanche dagli utenti che hanno permesso di scrittura sulla directory SGID: fa in modo che i permessi dei file creati appartengano al gruppo definito SGID Alessandro Reina Controllo degli accessi in UNIX A.A / 1

11 Problema: passwd? ls -l /usr/bin/passwd -????????? 1 root root Feb 15 21:54 /usr/bin/passwd Alessandro Reina Controllo degli accessi in UNIX A.A / 1

12 Soluzione: setuid ls -l /usr/bin/passwd -rwsr-xr-x 1 root root Feb 15 21:54 /usr/bin/passwd ale@scattering:~$ cat /proc/13618/status Name: passwd State: S (sleeping) Tgid: Pid: PPid: TracerPid: 0 Uid: Gid: Quando un utente cambia la propria password usando il comando passwd il RUID corrisponde all UID dell utente che ha eseguito il programma mentre EUID corrisponde al proprietario del file, cioè root. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

13 umask permessi di default impostati alla creazione di un file, secondo una maschera definita maschera di default impostata tramite il comando umask la maschera indica i permessi che non vengono attribuiti; e.g., umask 022 non viene permessa la scrittura ne al gruppo ne ad altri utenti (permessi reali & umask). Alessandro Reina Controllo degli accessi in UNIX A.A / 1

14 Attributi (1) Oltre i permessi è possibile definire alcuni attributi ai file che devono essere supportati dai filesystem (ext2 ext3). Attributo A a c i s u S Descrizione Non aggiorna la data di accesso (atime) Permette l aggiunta al file solo in append Dice al kernel di compr. e decompr. immutabile, non permette nessuna modifica al file cancella i dati con altri dati nulli. Recupero file dalla cancellazione ogni scrittura viene eseguita immediatamente. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

15 Attributi (2) chattr [opzioni] [modalità] file... si possono specificare gli attributi con i segni +=- + vengono aggiunti gli attributi specificati, con - vengono rimossi gli attributi specificati, = vengono impostati gli attributi cosi come specificati. lsattr [opzioni] file... Opzione Descrizione -R operazione ricorsiva -a Elenca tutti i file (anche nascosti) -d Elenca anche le directory Alessandro Reina Controllo degli accessi in UNIX A.A / 1

16 chown (1) chown comando per cambiare proprietario al file. chown [opzioni] [utente][:[gruppo]] file R lavora in modo ricorsivo from=utente:gruppo cambia i file del utente:gruppo Alessandro Reina Controllo degli accessi in UNIX A.A / 1

17 chown (2) chown ale miofile cambia l utente del file miofile impostando l utente ale chown ale:users miofile cambia l utente e gruppo del file miofile rispettivamente nell utente ale e gruppo users chown -R from=root ale miadir cambia l owner dei file appartenenti all utente root nell utente ale Alessandro Reina Controllo degli accessi in UNIX A.A / 1

18 chgrp (1) chgrp comando per cambiare gruppo al file. chgrp [opzioni] gruppo file... chgrp users file questo comando imposta il gruppo users associato al file. chgrp -R users /home/ale questo comando imposta in modo ricorsivo il gruppo users associati ai file contenuti nella directory e sottodirectory. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

19 chmod (1) chmod comando per cambiare permessi. chmod [opzioni] modalità dei permessi file... u g o a Utente proprietario del file Gruppo proprietario Utente diverso Tutti gli utenti indifferentemente Alessandro Reina Controllo degli accessi in UNIX A.A / 1

20 chmod (2) r w x s t accesso lettura permesso scrittura permesso esecuzione Riguarda file eseguibili e directory (SUID SGID) file eseguibili e directory. STICKY bit chmod -R go-rwx /* Toglie al gruppo e agli altri utenti la possibilità di scrittura lettura ed esecuzione della directory e nelle directory successive. chmod -R a+rx /* Assegna a tutti gli utenti il permesso di lettura ed esecuzione partendo dalla directory e considerando le sottodirectory. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

21 sudo vs. su Necessità di ottenere accesso con un altro utente: sudo (comando), su (login shell). sudo: non richiede la condivisione della password; su: si; sudo: solitamente implica l esecuzione di un comando; su: no; sudo: permette la definizione di determinati vincoli (/etc/sudoers); su: no; sudo: mantiene il log di tutti i comandi; su: no; Alessandro Reina Controllo degli accessi in UNIX A.A / 1

22 Esercizio 0x00 Creare l utente foobar, impostare la sua umask in modo tale che possa creare file e directory leggibili e scrivibili solo da lui (i.e. negando qualsiasi altro permesso a group e other) Alessandro Reina Controllo degli accessi in UNIX A.A / 1

23 Esercizio 0x01 Permettere a foobar di creare la directory /usr/local/foobar senza aggiungerlo al gruppo root, senza creare la directory come utente root e senza cambiare proprietario/permessi della directory /usr/local. Tale modifica deve persistere ad eventuali reboot del sistema. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

24 Esercizio 0x02 Creare la directory /usr/local/foobar/tmp e permettere l accesso, la scrittura e la lettura in tale directory a tutti (user, group, other). Far in modo che soltanto gli utenti proprietari dei file creati nella directory possano cancellarli. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

25 Esercizio 0x03 Creare la directory /usr/local/foobar/bin e copiarvi un programma che permetta di leggere il contenuto di un file. Impostare opportunamente i permessi e il proprietario del programma copiato per consentire all utente foobar di leggere il file /etc/shadow, senza aggiungere l utente foobar al gruppo shadow e senza cambiare il gruppo al file /etc/shadow. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

26 Esercizio 0x04 Creare la directory /home/foobar/suid-file/, cercare tutti i file suid root e copiarli nella directory appena creata. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

27 Esercizio 0x05 Creare un file appendme in /home/foobar/ in modo tale che sia solamente possibile aggiungere dati e non eliminarne. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

28 Esercizio 0x06 Scrivere un programma C che scriva su stdout le credenziali del processo relativo all esecuzione del vostro programma. Si modifichi il proprietario del programma come root e si attribuiscano gli opportuni permessi in modo tale che tale programma sia eseguito con le credenziali dell utente root. Si modifichi il programma in modo tale da rilasciare i privilegi acquisiti in modo definitivo. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

29 Eventi di Sistema... aka Log I messaggi di log rappresentano eventi di sistema (programmi) o messaggi del kernel. L analisi di log permette di verificare: sicurezza del sistema stato del sistema syslogd: applicazioni users-pace; klogd: codice kernel-space; Alessandro Reina Controllo degli accessi in UNIX A.A / 1

30 Eventi di Sistema syslogd syslog.conf è il file di configurazione letto dal demone syslogd costituito da regole che definiscono cosa fare in base al tipo e alla priorità del messaggio ricevuto. iron4:/home/ale# cat /etc/syslog.conf... auth,authpriv.* /var/log/auth.log... mail.err /var/log/mail.err... Alessandro Reina Controllo degli accessi in UNIX A.A / 1

31 Eventi di Sistema iron4:/home/ale# tail -f /var/log/auth.log... sshd[12652]: pam_unix(sshd:session): session closed for user ale... sshd[13175]: Accepted publickey for ale from sshd[13175]: pam_unix(sshd:session): session opened... ale by (uid=0)... su[13195]: pam_unix(su:auth): authentication failure; logname=ale su[13195]: pam_authenticate: Authentication failure... su[13195]: FAILED su for root by ale... su[13195]: - /dev/pts/12 ale:root... su[13196]: Successful su for root by ale... su[13196]: + /dev/pts/12 ale:root... su[13196]: pam_unix(su:session): session opened... root by ale(uid=1008)... sshd[13217]: Accepted publickey for ale from sshd[13217]: pam_unix(sshd:session): session opened... ale by (uid=0)... sshd[13219]: Received disconnect from : 11: disconnected... sshd[13217]: pam_unix(sshd:session): session closed for user ale... sshd[13238]: Invalid user chupa from Alessandro Reina Controllo degli accessi in UNIX A.A / 1

32 Esercizio 0x07 Identificare tutte le richiesta di autenticazione fallite sul sistema. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

33 Schema di autenticazione password Identificazione utente nel sistema Definizione di alcune risorse usabili solo per particolari utenze. Necessità di identificare un utente per poter gestire l uso della risorsa in base ai permessi. Soluzione autenticazione classica basata sulla coppia: utente-password. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

34 Schema di autenticazione: utente-password Identificazione utente nel sistema Per ogni sistema è creata un associazione userid, password userid: fornisce l identificativo dell utente nel sistema. password: fornisce il segreto di autorizzazione per accedere alle risorse definite dal sistema per un particolare utente. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

35 Schema di autenticazione: utente-password File per la fase di autenticazione Lo schema di autenticazione classica è basata su due file: passwd: file leggibile da tutti gli utenti, contiene per ogni utente informazioni non sensibili come l account, gid, uid, tipo di shell,... shadow: file leggibile solo dall amministratore, contiene il segreto di autorizzazione, in forma criptata per accedere alle risorse definite dal sistema per un particolare utente, insieme ad altre informazioni non sensibili. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

36 Schema di autenticazione: cifratura segreto Cifratura segreto Vengono utilizzati due tipi di cifratura per registrare la password: DES modificato: le modifiche sono l introduzione del password salting, e 25 iterazione dell algoritmo. funzione hash: dato l hash y è computazionalmente intrattabile trovare un messaggio m tale che h(m) = y (e.g. MD5). Nel sistema Debian la scelta dello schema di cifratura è impostato nel file /etc/pam.d/common-password Alessandro Reina Controllo degli accessi in UNIX A.A / 1

37 Schema MD5 Schema MD5 Passi dell algoritmo: Viene calcolata la funzione hash MD5 sulla password inserita Viene registrato il risultato della funzione nel file /etc/shadow. L algoritmo MD5 risulta più robusto in quanto prende in considerazione l effettiva lunghezza della password, a differenza della funzione crypt che utilizza come chiave di DES la password dell utente troncata ad 8 caratteri. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

38 Cracker I programmi di Cracking di password sono utili sia per poter verificare le debolezze delle password del proprio sistema, sia per effettuare attacchi informatici. Uno dei più veloci cracker di password per sistemi UNIX, ma non solo è John the Ripper. oclhashcat-plus è un innovativo cracker di password che sfrutta le potenzialità della GPU. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

39 John The Ripper John the Ripper supporta diversi formati di cifratura tra cui: DES, MD5, Blowfish ed è stato testato su diverse architetture: x86, Alpha, SPARC. John the Ripper è reperibile all indirizzo oppure per debian: apt-get install john Alessandro Reina Controllo degli accessi in UNIX A.A / 1

40 Modalità operative di John Modalità operative Wordlistmode: attacco a dizionario puro consiste nel verificare tramite un file dizionario e alcune regole, le password del sistema. Single crack Mode: reperisce le informazioni da utilizzare per la costruzione delle password tramite il file delle password da analizzare. Incremental mode: attacco di forza bruta sul file delle password attraverso alcune regole stabilite dal file di conf. External mode: Modalità definita all esterno e poi passata al programma john. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

41 File di configurazione di john File di configurazione (john.conf john.ini) C è una sezione dedicata alle opzioni generali. Regole per la modalità wordlist e single crack. Regole per l incremental. Regole per la modalità esterna. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

42 Regole Wordlist Sezione[List.Rules:Wordlist] -c[rules]:non usare la regola se il cifrario non è case-sensitive. > 3: significa rifiuta la parola se è minore di 3 caratteri. l: rendi tutti i caratteri minuscoli. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

43 Regole Single Sezione[List.Rules:Single] 1: solo la prima parola dell account. 2: solo la seconda parola dell account. +: concatenazione delle parole. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

44 Regole Incremental Sezione[Incremental:NOME], NOME id MinLen: lunghezza minima di password da cercare. Maxlen: lunghezza massima di password da cercare. Charcount: numero massimo di caratteri diversi da impiegare nella ricerca. Extra: aggiunge un altro set di caratteri per la composizione della stringa di ricerca. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

45 Regole External Mode Sezione[List.External:NOME], NOME id funzioni dell interfaccia di comunicazione: init(): inizializzazione variabili globali. filter(): eventuali eliminazioni di alcune parole. generate(): generazione delle parole da confrontare. restore(): recupero sessione precedente. La comunicazione avviene tramite variabili globali, tutto le funzioni non ritornano nessun argomento e non ricevono nessun parametro. Le funzioni usano per la comunicazione con john delle variabili tipo int word[] Alessandro Reina Controllo degli accessi in UNIX A.A / 1

46 Regole External Mode Sezione[List.External:NOME], NOME id le funzioni utilizzate per l external mode utilizzano solo alcuni costrutti del linguaggio C: non sono supportate altre funzioni al di fuori di quelle standard supportato solo il ciclo while. supportati solo i tipi int e void. supportati solo gli array monodimensionali. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

47 Esempio External Mode filtro per trovare parti di stringa con sole lettere minuscole: [List.External:Filter Alpha] void filter() { int i, c; } i = 0; while (c = word[i++]) if (c < a c > z ) { word = 0; return; } Alessandro Reina Controllo degli accessi in UNIX A.A / 1

48 Esempi di utilizzo di john l utilizzo di john per l estrazioni del file password: # unshadow /etc/passwd /etc/shadow > passwordcheck l utilizzo di john per la modalità wordlist: # john -wordfile:password -rules passwordcheck l utilizzo di john per la modalità single crack: # john -single passwordcheck Alessandro Reina Controllo degli accessi in UNIX A.A / 1

49 Esempi di utilizzo di john l utilizzo di john per la modalità incremental: # john -incremental:alpha passwordcheck l utilizzo di john per mostrare le password trovate finora: # john -show passwordcheck l utilizzo di john per ripristinare la fase di cracking: # john -restore Alessandro Reina Controllo degli accessi in UNIX A.A / 1

50 Esempi di utilizzo di john l utilizzo di john per la modalità external: # john -wordfile:common-4 -external:filter_alpha password_check vengono considerate solo le stringhe alfabetiche del dizionario Alessandro Reina Controllo degli accessi in UNIX A.A / 1

51 Esercizio 0x08 Utilizzando le diverse modalità di John the Ripper, cercare di individuare il maggior numero di password possibili relative al file /root/pwd/ex-passwd. Alessandro Reina Controllo degli accessi in UNIX A.A / 1

52 Link Utili Unix history ( D. Klein, Foiling the Cracker: A Survey of, and Improvements to, Password Security, K. Thompson and R. Morris, Password Security: A Case History, D. Feldmeier and P. Karn UNIX Password Security? Ten Years Later, H. Chen, D. Wagner, and D. Dean Setuid Demystified, John The Ripper 1.6 ( UNIX password cracking tool. oclhashcat ( password cracking tool. Dictionaries at ftp://ftp.ox.ac.uk/pub/wordlists Alessandro Reina Controllo degli accessi in UNIX A.A / 1