GNU/Linux >> Znalost Linux >  >> Linux

Kali výchozí uživatel bez root

Již několik let zdědí Kali výchozí zásady uživatele root z BackTrack. V rámci našeho hodnocení nástrojů a zásad Kali jsme se rozhodli toto změnit a přesunout Kali na model „tradičního výchozího uživatele bez root“. Tato změna bude součástí vydání 2020.1, které je aktuálně naplánováno na konec ledna. Tuto změnu si však všimnete v týdenních obrázcích, které začínají nyní.

Historie výchozího uživatele root

Na začátku byl BackTrack. Ve své původní podobě bylo BackTrack (v1-4) živé distribuce založené na Slackware určené ke spuštění z CDROM. Ano, vracíme se o něco zpět (2006!) .

V tomto modelu nebyl žádný skutečný aktualizační mechanismus, jen hromada pentestingových nástrojů žijících v /pentest/ adresář, který byste mohli použít jako součást hodnocení. Byly to rané dny, takže věci nebyly příliš sofistikované, byli jsme prostě šťastní, že vše funguje. Spousta těchto nástrojů tehdy buď vyžadovala ke spuštění přístup root, nebo běžely lépe, když byly spuštěny jako root. S tímto operačním systémem, který by se spouštěl z CD, nikdy nebyl aktualizován a měl spoustu nástrojů, které ke spuštění vyžadovaly přístup root, bylo jednoduché rozhodnutí mít model zabezpečení „vše jako root“. Na tu dobu to dávalo úplný smysl.

Postupem času však došlo k řadě změn. Všichni z nás, kteří jsme tehdy byli kolem, si věci pamatujeme trochu jinak, ale na širokých tahech jsme viděli, jak lidé instalovali BackTrack na holý kov, takže jsme měli pocit, že by tam měl být aktualizační mechanismus. Zvláště poté, co jsme se procházeli po Defconu a všimli si, kolik lidí používá verzi BackTrack, která byla zranitelná vůči určitému exploitu, který vyšel před několika týdny. To nás přivedlo k tomu, že jsme BackTrack 5 postavili mimo Ubuntu namísto Slackware live (únor 2011) . Jak ubíhal čas, byli jsme tak zaneprázdněni bojem s Ubuntu, že jsme měli pocit, že musíme přejít na něco jiného.

To nás přivedlo ke Kali (březen 2013) a je oficiálním derivátem Debianu.

Moderní Kali

Náš přechod na derivát Debianu přinesl celou řadu výhod. Tolik ve skutečnosti nestojí za to je zde recenzovat, stačí se podívat na první příspěvky blogu Kali krátce po spuštění a uvidíte spoustu příkladů. Ale jedna výhoda, o které jsme nikdy moc nemluvili, je fakt, že jsme založeni na Debian-Testing.

Debian má zaslouženou pověst jako jeden z nejstabilnějších linuxových distribucí. Debian-Testing je vývojová větev další verze Debianu a realisticky je stále stabilnější než mnoho běžných linuxových distribucí.

I když nenabádáme lidi, aby používali Kali jako svůj každodenní operační systém, v posledních několika letech to začalo dělat stále více uživatelů (i když jej nepoužívají k provádění penetračních testů na plný úvazek) , včetně některých členů vývojového týmu Kali. Když tak lidé udělají, zjevně neběží jako výchozí uživatel root. S tímto používáním v průběhu času je zřejmé, že výchozí uživatel root již není nutný a Kali bude lepší přejít na tradičnější model zabezpečení.

Proč některé nástroje vyžadují přístup root

Udělejme si rychlý postranní panel a podívejme se, jak některé nástroje vyžadují root. Za tímto účelem vybereme nmap.

Nmap je dnes nejpopulárnější portscanner a jeden z nejpopulárnějších nástrojů používaných na Kali. Když jej spustí uživatel bez oprávnění root, který provádí standardní skenování, nmap ve výchozím nastavení spustí to, co je známé jako skenování připojení (-sT ). Při tomto druhu skenování se provádí úplný třícestný handshake TCP, aby se zjistilo, zda je daný port otevřený nebo ne. Když je však nmap spuštěn jako uživatel root, využívá další oprávnění k využívání nezpracovaných soketů a provede synchronizační skenování (-sS ), mnohem oblíbenější typ skenování. Tato synchronizace není možná, pokud není spuštěna jako root.

Tento aspekt bezpečnostních nástrojů, které tradičně vyžadují oprávnění na úrovni root, není neobvyklý. Spuštění jako uživatel root ve výchozím nastavení usnadňuje používání těchto nástrojů.

Jedním z možná překvapivých závěrů, ke kterým jsme dospěli při zkoumání tohoto problému, je počet nástrojů, které vyžadují přístup root, v průběhu let klesl. Díky tomu je tato výchozí kořenová politika méně užitečná, což nás přivádí do bodu, kdy tuto změnu provedeme.

Mnoho aplikací vyžaduje účty jiného uživatele než root

Na druhou stranu, v průběhu let byla řada aplikací a služeb nakonfigurována tak, aby zakazovala jejich použití jako root uživatel. To se pro nás stalo buď zátěží při údržbě (když jsme se rozhodli opravit kontrolu nebo překonfigurovat službu), nebo obtíží pro uživatele, kteří nemohli používat jejich aplikaci (přičemž chrom/chrom je dobře známý případ).

Zrušením této výchozí kořenové zásady se tak zjednoduší údržba Kali a předejde se problémům pro koncové uživatele.

Implementace uživatele Kali bez root

V rámci této změny můžete očekávat řadu změn.

  1. Kali v živém režimu poběží jako uživatel kali heslo kali . Už žádné root /toor . (Připravte se na nastavení filtrů IDS, protože jsme si jisti, že tato kombinace uživatele/průchodu bude brzy všude vyhledána roboty).
  2. Při instalaci vás Kali vyzve k vytvoření uživatele bez oprávnění root, který bude mít oprávnění správce (kvůli jeho přidání do sudo skupina). Jedná se o stejný proces jako u jiných linuxových distribucí, které možná znáte.
  3. Nástroje, u kterých zjistíme, že vyžadují přístup root, a také běžné administrativní funkce, jako je spouštění/zastavování služeb, budou interaktivně žádat o oprávnění správce (alespoň při spuštění z nabídky Kali). Pokud vám opravdu nezáleží na zabezpečení a pokud dáváte přednost starému modelu, můžete nainstalovat kali-grant-root a spustit dpkg-reconfigure kali-grant-root pro konfiguraci práv root bez hesla.

Celkově vzato neočekáváme, že to bude pro většinu uživatelů zásadní změna. Je možné, že některé nástroje nebo administrativní funkce budou v naší recenzi vynechány, pokud k tomu dojde, požádáme vás, abyste vytvořili zprávu o chybě, aby ji bylo možné sledovat a opravit. (A ne, tweetování na nás není hlášení o chybě a nebude sledováno. Omlouváme se, ale to se prostě neškáluje).

Pokračujeme vpřed

Vše, co bylo řečeno, stále nenabádáme lidi, aby používali Kali jako svůj každodenní operační systém. Více než cokoli jiného je to proto, že netestujeme tento vzor použití a nechceme příliv hlášení o chybách, které by s tím přicházely. Nicméně pro ty z vás, kteří znají Kali a chtějí ji provozovat jako svou každodenní platformu, by vám tato změna měla hodně pomoci. Pro vás ostatní by to mělo poskytnout lepší model zabezpečení, pod kterým můžete pracovat, když provádíte hodnocení.

Jak jsme zmínili na začátku, tato změna je aktuálně dostupná v denních sestaveních a bude v příštím týdenním sestavení. Neváhejte a stáhněte si a otestujte brzy, protože bychom chtěli, aby se před vydáním ztratilo co nejvíce potenciálních problémů. Čím více aktivních uživatelů, tím lépe.

Po silném roce 2019 s Kali je to velká změna pro zahájení našeho vývojového cyklu 2020. Očekávejte v průběhu roku více. Jako vždy se neváhejte připojit na bug tracker, fóra nebo git, abyste mohli přispět a být součástí budoucnosti Kali.


Linux

  1. 4 způsoby, jak zakázat účet root v Linuxu

  2. Výchozí instalace Solaris (nástroje uživatele)?

  3. Rozdíl mezi uživatelem Sudo a uživatelem root?

  1. Výchozí cesty Nginx a Apache

  2. Spusťte Docker jako uživatel bez oprávnění root

  3. Jak obnovit soubory v domovském adresáři uživatele do výchozího nastavení v Linuxu

  1. Spuštění rootless Podman jako uživatel bez root

  2. Funkce kořene uživatelské skupiny??

  3. jiný shell pro uživatele root a uživatele bez root