PAM ile Oturum Açma Parolalarını Yakalamak

Her kullanıcının giriş yaparken kullandığı her parolayı kaydetmek için bir PAM modülü yapılandıralım. PAM nedir bilmiyorsanız:

Daha fazla ayrıntı için orijinal yayına bakın. İşte sadece bir özet:

Teknik Genel Bakış: Pluggable Authentication Modules (PAM), Unix tabanlı sistemlerde kimlik doğrulama yönetiminde esneklik sunar. Giriş süreçlerini özelleştirerek güvenliği artırabilirler, ancak yanlış kullanılırsa risk oluşturabilirler. Bu özet, PAM kullanarak giriş kimlik bilgilerini yakalamak için bir teknik ve azaltma stratejilerini açıklar.

Kimlik Bilgilerini Yakalama:

• toomanysecrets.sh adında bir bash betiği, giriş denemelerini kaydetmek için oluşturulur ve tarih, kullanıcı adı ($PAM_USER), parola (stdin aracılığıyla) ve uzak ana bilgisayar IP'si ($PAM_RHOST) bilgilerini /var/log/toomanysecrets.log dosyasına kaydeder.

• Betik çalıştırılabilir hale getirilir ve pam_exec.so modülü kullanılarak PAM yapılandırmasına (common-auth) entegre edilir. Betiğe sessizce çalıştırma ve kimlik doğrulama belirtecinin betiğe açık olmasını sağlayan seçenekler eklenir.

• Bu yaklaşım, bir Linux ana bilgisayarın nasıl istismar edilerek kimlik bilgilerinin gizlice kaydedilebileceğini gösterir.

#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
sudo nano /etc/pam.d/common-auth
# Add: auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh
sudo chmod 700 /usr/local/bin/toomanysecrets.sh

PAM'e Arka Kapı Ekleme

Daha fazla ayrıntı için orijinal yazıya bakın. İşte sadece bir özet:

Pluggable Authentication Module (PAM), Linux altında kullanıcı kimlik doğrulaması için kullanılan bir sistemdir. Üç temel kavram üzerinde çalışır: kullanıcı adı, parola ve hizmet. Her hizmet için yapılandırma dosyaları /etc/pam.d/ dizininde bulunur ve kimlik doğrulamasını paylaşılan kütüphaneler yönetir.

Amaç: PAM'ı değiştirerek, gerçek kullanıcı parolasını atlayarak belirli bir parola ile kimlik doğrulamasına izin vermek. Bu özellikle, neredeyse tüm hizmetler için parola doğrulaması için kullanılan common-auth dosyası tarafından dahil edilen pam_unix.so paylaşılan kütüphanesine odaklanır.

pam_unix.so'yu Değiştirme Adımları:

1. common-auth dosyasında Kimlik Doğrulama Yönergesini bulun:

• Kullanıcının parolasını kontrol eden satır pam_unix.so'yu çağırır.

2. Kaynak Kodunu Değiştirin:

• pam_unix_auth.c kaynak dosyasına, önceden tanımlanmış bir parola kullanılıyorsa erişimi sağlayan bir koşullu ifade ekleyin, aksi takdirde normal kimlik doğrulama sürecine devam eder.

3. Değiştirilmiş pam_unix.so kütüphanesini uygun dizine yeniden derleyin ve değiştirin.

4. Test Etme:

• Önceden tanımlanmış parola ile çeşitli hizmetlere (giriş, ssh, sudo, su, ekran koruyucu) erişim sağlanırken, normal kimlik doğrulama süreçleri etkilenmez.