Linux'ta Kimlik Bilgisi Depolama

Linux sistemleri, kimlik bilgilerini üç tür önbellekte depolar: Dosyalar (/tmp dizininde), Kernel Keyrings (Linux çekirdeğinde özel bir bölüm) ve İşlem Belleği (tek işlem için kullanılır). /etc/krb5.conf dosyasındaki default_ccache_name değişkeni, kullanılan depolama türünü ortaya çıkarır ve belirtilmezse varsayılan olarak FILE:/tmp/krb5cc_%{uid}'yi kullanır.

Kimlik Bilgilerinin Çıkarılması

2017 tarihli Kerberos Kimlik Bilgisi Çalma (GNU/Linux) adlı makale, kimlik bilgilerinin keyringlerden ve işlemlerden nasıl çıkarılacağına dair yöntemleri açıklar ve Linux çekirdeğinin anahtarları yönetmek ve depolamak için kullandığı keyring mekanizmasına odaklanır.

Keyring Çıkarılması Genel Bakışı

2.6.10 çekirdek sürümünde tanıtılan keyctl sistem çağrısı, kullanıcı alanı uygulamalarının çekirdek keyringleriyle etkileşimde bulunmasına olanak tanır. Keyringlerdeki kimlik bilgileri, dosya ccachelerinden (başlık da içeren) farklı olarak bileşenler halinde depolanır (varsayılan başlıca ve kimlik bilgiler). Makaleden hercules.sh betiği, bu bileşenleri çıkararak ve kullanılabilir bir dosya ccache'e dönüştürerek kimlik bilgisi çalma işlemi gösterir.

Bilet Çıkarılma Aracı: Tickey

hercules.sh betiği prensiplerine dayanan tickey aracı, keyringlerden biletlerin çıkarılması için özel olarak tasarlanmış olup /tmp/tickey -i komutuyla çalıştırılır.

Referanslar

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/