Harvesting tickets from Linux
Зберігання облікових даних в Linux
Системи Linux зберігають облікові дані в трьох типах кешів, а саме Файли (у каталозі /tmp
), Ядро Keyrings (особливий сегмент у ядрі Linux) та Пам'ять процесу (для використання в одному процесі). Змінна default_ccache_name в /etc/krb5.conf
вказує тип зберігання, за замовчуванням встановлюється FILE:/tmp/krb5cc_%{uid}
, якщо не вказано інше.
Вилучення облікових даних
У документі 2017 року, Крадіжка облікових даних Kerberos (GNU/Linux), описано методи вилучення облікових даних з keyrings та процесів, зокрема механізм keyring ядра Linux для управління та зберігання ключів.
Огляд вилучення Keyring
Системний виклик keyctl, введений у версії ядра 2.6.10, дозволяє додаткам простору користувача взаємодіяти з keyrings ядра. Облікові дані в keyrings зберігаються як компоненти (типовий принципал та облікові дані), відмінні від файлових ccaches, які також включають заголовок. Сценарій hercules.sh з документу демонструє вилучення та відновлення цих компонентів у використовуваний файл ccache для крадіжки облікових даних.
Інструмент для вилучення квитків: Tickey
На основі принципів сценарію hercules.sh, інструмент tickey спеціально призначений для вилучення квитків з keyrings, виконується за допомогою /tmp/tickey -i
.
Посилання
Last updated