UNIVERSIDADE ESTADUAL PAULISTA. Administração de Redes TCP/IP. Comandos r no UNIX rlogin, rcp, rsh /etc/hosts.equiv e.rhosts

Transcrição

1 unesp UNIVERSIDADE ESTADUAL PAULISTA Administração de Redes TCP/IP Comandos r no UNIX rlogin, rcp, rsh /etc/hosts.equiv e.rhosts Prof. Dr. Adriano Mauro Cansian adriano@acmesecurity.org UNESP IBILCE São José do Rio Preto 2008

2 Aplicações de Rede Comandos r no UNIX rlogin, rcp, rsh Prof. Dr. Adriano Mauro Cansian UNESP - IBILCE - São José do Rio Preto 1. Introdução 1 Algumas aplicações de rede exigem configurações especiais. Estas configurações não são exatamente relativas à administração da rede TCP/IP. Entretanto, a correta configuração e operação destas aplicações influencia diretamente a rede e a segurança do sistema. Por isso, são abordadas nesta oportunidade. Arquivo /etc/inetd.conf configura todas as aplicações básicas de rede num sistema operacional UNIX. Um exemplo deste arquivo está apresentado como apêndice, no final deste material. Veremos inicialmente os comandos r do UNIX, os quais devem ser configurados com cuidado, para evitar comprometimento à segurança do sistema, ou bloqueio a algumas funcionalidades de rede. Além disso, os comandos r são geralmente foco de ataques envolvendo tentativas de intrusão em sistemas conectados à Internet. 1 Créditos: este material foi produzido, em sua maior parte, por intermédio do livro texto adotado no curso: Hunt, Craig TCP/IP Network Administration - O Reilly & Associates, Inc. - 1.a Edição - Capítulo 9, p.192. Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 1

3 2. Os comandos r O UNIX possui um conjunto de aplicações de rede, que são semelhantes ao FTP e ao telnet. As mais importantes são: rlogin significa remote login Permite acesso de sessões interativas entre hosts, através da emulação de terminais. É muito similar ao telnet. rcp significa remote copy Permite copiar arquivos de, e para, sistemas remotos. A sintaxe é similar ao comando cp (copy), com a adição de que o nome do host remoto pode ser anexado ao path. É similar ao FTP, mas não é interativo (é do tipo command-line interface). rsh significa remote shell Permite enviar comandos para serem executados num host remoto. As saídas e erros produzidos pelo host remoto são enviados para o host local que originou a chamada. Não há similar na suíte de aplicações TCP/IP. Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 2

4 3. Protegendo os comandos r Por default os comandos r não são atingidos pelas verificações padrão de login e password eles necessitam de configurações especiais para evitar problemas de segurança. Devido a problemas de segurança algumas instalações eliminam completamente os comandos r, inibindo sua execução (comentando-os) no arquivo /etc/inetd.conf. Este procedimento é recomendável se você necessita de segurança adicional entretanto, algumas facilidades e funcionalidades do sistema não estarão disponíveis. Como base nas necessidades e particularidades das instalações locais, cabe ao administrador do sistema ponderar entre a funcionalidade e a segurança, e decidir sobre a disponibilidade do recurso. Para a configuração e proteção dos comando r, além do arquivo /etc/inetd.conf, existem outros dois arquivos importantes. São eles: /etc/hosts.equiv $HOME/.rhosts É possível fazer com que os comando r sejam parcialmente seguros. É possível forçar uma verificação de password para todos os usuários. Para fazer isso, basta eliminar o arquivo /etc/hosts.equiv e não permitir que os usuários criem arquivos pessoais de $HOME/.rhosts Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 3

5 Esta é a opção menos radical ao invés de simplesmente desativar os comandos r. Quando estes arquivos são removidos, os comandos r irão forçar o usuário a fornecer as informações de controle de acesso e autenticação (login e password). [ Entretanto ainda há um problema com o comando rcp ele não implementa autenticação por password. ] Por outro lado muitos sites gostam do poder e da conveniência de usar os comandos r com liberdade de acesso, sem senhas. Isso pode ser feito com segurança, num ambiente controlado desde que exista uma configuração apropriada dos arquivos /etc/hosts.equiv e.rhosts com segurança apropriada. Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 4

6 USUÁRIOS E HOSTS CONFIÁVEIS / Relacões de Confiança Ao invés de autenticação por senhas estes comandos e arquivos usam seu próprio sistema, com base em hosts e usuários confiáveis. Usuários confiáveis (trusted users) em hosts confiáveis (trusted hosts) têm acesso total permitido ao sistema local, sem a necessidade de senhas. Hosts confiáveis são chamados de hosts equivalentes, ou seja, possuem uma equivalência, ou uma igualdade, entre si. Como isso é feito O sistema assume que um usuário que possui acesso num host remoto confiável, deve ter o mesmo nível de acesso no host local. O sistema assume que contas de usuário com o mesmo nome (mesmo USERNAME), em ambos os hosts, pertencem ao mesmo usuário. Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 5

7 Por exemplo Para um usuário com username kevin, logado num host confiável garante-se o mesmo acesso que um usuário KEVIN, no sistema local. Diz-se então que os usuários são equivalentes, uma vez que os hosts são confiáveis entre si, e possuem o mesmo nível de equivalência. Ou seja, as contas possuem privilégios equivalentes kevin no sistema remoto, tem o mesmo nível de acesso na máquina local que teria o kevin (local). Este sistema de autenticação exige pequenas bases de dados que são definidas pelo administrador do sistema, e que definem quais são os hosts confiáveis e os usuários confiáveis. Os arquivos usados para configurar os comandos r são: /etc/hosts.equiv definem os hosts e usuários confiáveis para o sistema todo. $HOME/.rhosts define os hosts e usuários confiáveis para uma conta de usuário individual Por exemplo, kevin pode definir quais são os hosts e usuários do sistema que são confiáveis para sua conta, ou seja, ele pode definir os usuários que são equivalentes a ele no sistema. Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 6

8 4. O arquivo /etc/hosts.equiv Este arquivo define os hosts e usuários que devem receber nível confiável (trusted) ou equivalente para acesso aos comandos r do sistema. Este arquivo também pode definir explicitamente quais máquinas e usuários não podem acessar os r.!! Atenção!! não ter acesso considerado confiável NÃO significa não ter acesso! Significa apenas que há a exigência de se fornecer password para acessar os comandos r nesta conta, portanto é preciso bloquear explicitamente aqueles a quem não se deseja dar acesso. Formato das entradas do arquivo /etc/hosts.equiv [+ - ] [ hostname ] [ username ] O hostname é o nome do host seguro, e pode ser precedido de um sinal + O sinal + não tem significado, a menos que usado sozinho Um sinal de + sem um hostname em seguida, significa um wildcard (um * ) e quer dizer qualquer host. Se um host recebe acesso confiável (nível equivalente) usuários logados naquele host confiável recebem o mesmo acesso que o mesmo username recebe no host local, sem fornecer um password. Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 7

9 O username após o hostname é opcional é o nome de um username no host confiável ao qual é garantido acesso a todas as contas do sistema local. Se um username é especificado ele não precisa ter o mesmo username na máquina local, mas sim pode acessar todas as contas de usuários sem o fornecimento de password. Exemplo: Considere que na máquina WOLVERINE há a seguinte entrada em /etc/hosts.equiv : master +adriano Interpretação o usuário ADRIANO, quando procedente de uma conexão vinda da máquina MASTER, pode ter acesso para execução de comandos r a todas as contas na máquina WOLVERINE, sem fornecer password Ou seja, username adriano em master tem equivalência de acesso igual a todos e quaisquer usuários locais em wolverine, em se tratando do uso e eplicação de comandos r isso significa um nível de acesso muito alto. Exceção o conta do usuário root 1 não é englobada por esta regra. No exemplo, o usuário adriano vindo de master não teria acesso a conta root em wolverine, para execução de comandos r, sem fornecer a senha de root (mas não signica que n]ão teria acesso se tivesse a senha). 1 O usuário root é a conta de mais alto nível de acesso nos sistemas UNIX. É a conta do administrador do sistema, que controla todas as operações. Também é chamada de conta superuser ou simplesmente super-usuário. Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 8

10 O hostname também pode vir precedido por um sinal de menos ( - ) explicitamente diz que aquele host não é equivalente para o sistema, ou seja, usuários vindos daquele host devem fornecer password quando usam os comandos r para interagir com o sistema local. O mesmo se aplica para o sinal de - na frente de um username o determinado usuário vindo deste determinado host deve fornecer senha para acessar recursos no sistema local, através do comando r. Exemplo: Entradas no arquivo /etc/hosts.equiv numa máquina fictícia, chamada uga, e o respectivo efeito produzido aos comandos r nesta máquina local: zamunda -zamunda zamunda kevin mx.sugar.com.br - adriano sugar +kevin Qualquer usuário de uma máquina zamunda pode acessar os mesmos recursos locais que um usuário com mesmo username em uga acessa. Nega acesso sem senha para qualquer usuário de zamunda que acesse o mesmo username em uga. Nega acesso sem senha no sistema uga, para o usuário kevin, vindo de zamunda. Nega acesso sem senha no sistema local uga, para o usuário adriano, vindo de mx.sugar.com.br Permite usuário kevin, vindo de sugar acessar todas as contas locais em uga, sem fornecer um password. Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 9

11 + kevin Permite kevin acessar todas as contas em uga, sem fornecer um password, independente de qual host venha o acesso. (Atencão! Aqui está um exemplo a ser evitado) No último exemplo: um intruso poderia criar uma conta kevin no sistema dele, e ganhar acesso imediato a todas as contas do sistema remoto, sem precisar de uma senha. Regra NUNCA use um sinal de + sozinho, no lugar de um hostname ou de um username! Isso abre uma grande e gravíssima falha de segurança no seu sistema. Cuidado: um simples erro de digitação pode ter conseqüências graves. Considere a seguinte entrada no /etc/hosts.equiv de wolverine: Na máquina wolverine: + master kevin O administrador possivelmente queria dar acesso livre de senha em wolverine para o usuário kevin, vindo da máquina master. Entretanto, com o espaço colocado após o + ele está dizendo na verdade o seguinte: permita acesso livre de senha para uso dos comandos r na wolverine, para os usuários master e kevin, não importando de que máquina no mundo eles venham. Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 10

12 Mas, ainda é possível piorar isso... considere a seguinte entrada: + + está dizendo o seguinte: Permita acesso livre de senha para uso dos comandos r na wolverine, para quaisquer usuários, não importando de que máquina no mundo eles venham. 5. O arquivo.rhosts É o arquivo que permite garantir ou negar acesso sem senha, para contas específicas de usuários. É colocado no diretório-raiz do usuário (home-dir 1 ) e contém entradas que definem os hosts e usuários confiáveis para aquela conta. Usa o mesmo formato que o /etc/hosts.equiv, e funciona do mesmo jeito. Como já dito, há diferença no escopo:.rhosts controla o acesso a uma única conta individual. /etc/hosts.equiv controla acesso ao sistema inteiro. 1 O home-dir do usuário, em sistemas UNIX, é identificado como ~username. Por exemplo, se o home-dir do usuário adriano é /home/wolverine/dcce/adriano, este path pode ser identificado como ~adriano na máquina em questão. Desta forma, é possível fazer cd ~adriano para acessa-lo. Outra forma equivalente é usar a variável $HOME. Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 11

13 A diferença funcional é mostrada neste exemplo a seguir. Considere a seguinte entrada: master cansian No /etc/hosts.equiv de wolverine: Significa o usuário cansian da máquina master pode acessar todos os recursos de comandos r, em qualquer conta local de wolverine, sem fornecer uma senha. No.rhosts do usuário adriano, em wolverine: A mesma entrada significa usuário cansian pode realizar um rlogin em wolverine, vindo de master, como se fosse o usuário adriano, sem fornecer uma senha mas não garante acesso sem senha a outras contas em wolverine. Isso permite que os usuários tenham equivalência entre contas de usernames diferentes que eles eventualmente possuam útil quando um mesmo usuário possui ou administra contas com usernames diferentes. Permite também que o usuário proteja sua conta pessoal. Imagine que: Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 12

14 Meu username em master é mauro, mas meu username em wolverine é adriano. Outra pessoa (usuário) em wolverine tem username mauro. Eu quero acesso sem senha para minha conta em master a partir de wolverine, e quero ter certeza que outro usuário (com mesmo username) não tenha acesso sem senha na minha conta, para execução de comandos r. Então coloco o seguinte em meu.rhosts de master: wolverine adriano wolverine -mauro Problema: desta forma, os usuários podem fornecer acesso a outras contas e outros usuários, mesmo que o arquivo /etc/hosts.equiv não exista. Isso pode criar um problema de segurança ou acesso aos sistemas que você administra. Pergunta-se: como resolver este problema? (exercício) 6. Root access - acesso privilegiado Procedência de processamento de.rhosts e /etc/hosts.equiv: /etc/hosts.equiv é pesquisado primeiro, seguido do arquivo.rhosts do usuário sobre o qual que se deseja fazer o acesso, se este existir. O primeiro explicita as regras. O.rhosts não consegue sobrescrever as definições de hosts.equiv Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 13

15 Quando um username root tenta acessar um sistema remoto com comandos r o /etc/hosts.equiv não é checado. Somente o.rhosts do usuário onde se tenta o acesso é verificado. Isso permite o acesso de root ser mais controlado. Se o hosts.equiv fosse usado para controlar acesso de root entradas que permitissem acesso confiável ao seu sistema abririam sua conta de root, e permitiriam acesso aos privilégios de root na máquina local que está sendo acessada. Ou seja, o root de uma máquina remota teria poder sobre a máquina local, se elas fossem equivalentes e confiáveis entre si. Isto é um root de uma máquina remota poderia ganhar acesso irrestrito a sua máquina. Mas muitas vezes, se deseja dar acesso de equivalência entre usuários, mas não entre as contas de root, pois os administradores das máquinas equivalentes podem não ser os mesmos. Afinal, você não confiaria em outro administrador, a ponto de dar sua senha de root para ele, não é? Desta forma você pode usar hosts.equiv para dar acesso a outros sistemas remotos, sem se preocupar com acesso a sua conta de root. Exercícios Ler e entender: % man hosts.equiv e % man.rhosts Prof. Adriano Mauro Cansian Administração de Redes TCP/IP Comandos r - 14