Przechowywanie poświadczeń w systemie Linux

Systemy Linux przechowują poświadczenia w trzech rodzajach pamięci podręcznych, a mianowicie Plikach (w katalogu /tmp), Kernel Keyrings (specjalny segment w jądrze Linuxa) i Pamięci procesu (do użytku jednoprocesowego). Zmienna default_ccache_name w pliku /etc/krb5.conf ujawnia używany rodzaj pamięci podręcznej, domyślnie ustawiony na FILE:/tmp/krb5cc_%{uid}, jeśli nie jest określony.

Wyodrębnianie poświadczeń

W artykule z 2017 roku, Kradzież poświadczeń Kerberos (GNU/Linux), opisane są metody wyodrębniania poświadczeń z keyringów i procesów, ze szczególnym uwzględnieniem mechanizmu keyringa jądra Linuxa do zarządzania i przechowywania kluczy.

Przegląd wyodrębniania keyringów

Wywołanie systemowe keyctl, wprowadzone w wersji jądra 2.6.10, umożliwia aplikacjom przestrzeni użytkownika interakcję z keyringami jądra. Poświadczenia w keyringach są przechowywane jako składniki (domyślny podstawowy i poświadczenia), odrębne od plikowych pamięci podręcznych, które zawierają również nagłówek. Skrypt hercules.sh z artykułu demonstruje wyodrębnianie i odtwarzanie tych składników w celu kradzieży poświadczeń.

Narzędzie do wyodrębniania biletów: Tickey

Bazując na zasadach skryptu hercules.sh, narzędzie tickey jest specjalnie zaprojektowane do wyodrębniania biletów z keyringów, uruchamiane za pomocą /tmp/tickey -i.

Odwołania

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/