Terminale root lasciato aperto

Problemi e discussioni inerenti al networking, ai server, backup dati e alla sicurezza in generale
Rispondi
galactic_cowboy
Arciere
Messaggi: 205
Iscritto il: 23 aprile 2009, 13:39

Messaggio da galactic_cowboy » 26 giugno 2010, 19:20

Oggi ho fatto una sciocchezza che non è da me.
Ho dato il mio solito yaourt -Syu --aur giornaliero da gnome-terminal loggato come root con su e poi sono uscito di corsa per un urgenza.
Sono mancato un'ora e mezza circa e al ritorno mi sono accorto che nella fretta avevo lasciato il terminale aperto con l'utente root loggato....
Essendo un paranoico nato per quanto riguarda queste cose in primis pongo la domanda: quant'è pericoloso ciò? e nel caso sia molto pericoloso ... quali controlli posso fare per avere la sicurezza che in quell'ora e mezza non sia successo qualcosa?
Ho dato una controllata a /var/log/everything.log e "sembrerebbe" tutto regolare.
grazie in anticipo come sempre.

Asa
Arciere Provetto
Messaggi: 456
Iscritto il: 3 giugno 2009, 14:53
Località: Milano
Contatta:

Messaggio da Asa » 26 giugno 2010, 20:12

il terminale root è onnipotente, quindi pericolosissimo, per fortuna la scarsa diffusione di linux ci permette di godere di una certa "security through obscurity", visto che chi sa usare la shell è lo 0.1% delle persone è difficile che capiti di fronte al nostro computer.

Comunque il comando history riporta la cronologia dei comandi lanciati, a meno che l'ipotetico malfattore l'abbia cancellata puoi vedere quali sono gli ultimi comandi.
Ultima modifica di Asa il 26 giugno 2010, 20:13, modificato 1 volta in totale.

Avatar utente
Berseker
Amministratore
Messaggi: 4432
Iscritto il: 27 settembre 2007, 10:18
Architettura: x86_64 (64bit)
Località: Lecco (provincia)

Messaggio da Berseker » 26 giugno 2010, 20:19

scusa ma da casa tua passa così tanta gente criminogena, per di più esperta di sistemi linux?
Leggete il Regolamento e cercate sempre su googleforumwiki prima di chiedere.
Tag x thread risolti: [Risolto] + Spazio messo all'inizio del titolo. Grazie

ArchWiki / Board Internazionale / Blog

c1830468
Arciere Provetto
Messaggi: 538
Iscritto il: 18 settembre 2009, 21:08

Messaggio da c1830468 » 26 giugno 2010, 21:02

quoto berseker ;)

Prova a guardate la bash history ;)

oceans11
Arciere
Messaggi: 331
Iscritto il: 29 gennaio 2009, 17:11

Messaggio da oceans11 » 26 giugno 2010, 21:21

...ora si facciano avanti quelli che odiano sudo!! :P
Ultima modifica di oceans11 il 26 giugno 2010, 21:22, modificato 1 volta in totale.
LFS user #21853 - Vendo moduli corsair sodimm ddr sdram da 1GB (modello VS1GSDS333).
Nuovi, ancora impacchettati, garanzia a vita del produttore. Contattatemi via pm.

galactic_cowboy
Arciere
Messaggi: 205
Iscritto il: 23 aprile 2009, 13:39

Messaggio da galactic_cowboy » 26 giugno 2010, 22:06

Grazie delle risposte (ammetto che mi sono messo a ridere per la risposta più che legittima di Berseker :lol: ).
Comunque preciso che non parlavo di pericoli derivanti dal fatto che qualcuno mettesse mani al terminale sedendosi al mio pc.
Parlavo di pericoli dall'esterno... non so magari un pc con un account di root attivo potrebbe essere appetibile ad eventuali malintenzionati in rete e forse più facilmente penetrabile?

marco
Little John
Messaggi: 967
Iscritto il: 3 settembre 2007, 13:54
Architettura: x86_64 (64bit)
Località: Cagliari

Messaggio da marco » 26 giugno 2010, 23:33

oceans11 ha scritto:...ora si facciano avanti quelli che odiano sudo!! :P
Infatti, sudo con tutti i permessi equivale a tenere sempre aperte le porte dell'utente root.
Linux registered user # 443055

oceans11
Arciere
Messaggi: 331
Iscritto il: 29 gennaio 2009, 17:11

Messaggio da oceans11 » 27 giugno 2010, 8:46

marco ha scritto:
oceans11 ha scritto:...ora si facciano avanti quelli che odiano sudo!! :P
Infatti, sudo con tutti i permessi equivale a tenere sempre aperte le porte dell'utente root.
e perchè?
LFS user #21853 - Vendo moduli corsair sodimm ddr sdram da 1GB (modello VS1GSDS333).
Nuovi, ancora impacchettati, garanzia a vita del produttore. Contattatemi via pm.

marco
Little John
Messaggi: 967
Iscritto il: 3 settembre 2007, 13:54
Architettura: x86_64 (64bit)
Località: Cagliari

Messaggio da marco » 27 giugno 2010, 11:14

Perché chiunque può installare qualsiasi cosa senza conoscere la password; basta che apri uno script che ti arriva dove c'è sudo etc.
Ultima modifica di marco il 27 giugno 2010, 11:17, modificato 1 volta in totale.
Linux registered user # 443055

oceans11
Arciere
Messaggi: 331
Iscritto il: 29 gennaio 2009, 17:11

Messaggio da oceans11 » 27 giugno 2010, 12:26

Scusami ma proprio non capisco...sudo chiede la password dell'utente.
LFS user #21853 - Vendo moduli corsair sodimm ddr sdram da 1GB (modello VS1GSDS333).
Nuovi, ancora impacchettati, garanzia a vita del produttore. Contattatemi via pm.

marco
Little John
Messaggi: 967
Iscritto il: 3 settembre 2007, 13:54
Architettura: x86_64 (64bit)
Località: Cagliari

Messaggio da marco » 27 giugno 2010, 13:14

Si, però c'è gente (forse non su arch linux) che lo imposta senza password. E in ogni caso se qualcuno riesce a intercettare la password utente può fare quello che vuole.
Ultima modifica di marco il 27 giugno 2010, 13:16, modificato 1 volta in totale.
Linux registered user # 443055

aleph
Robin Hood
Messaggi: 1530
Iscritto il: 12 febbraio 2008, 16:30
Contatta:

Messaggio da aleph » 27 giugno 2010, 14:44

per un pc ad uso desktop (monoutente) avere l'accesso come utente dà già comunque accesso a tutti i dati, per cui proteggere particolarmente l'account di root non è necessario . . il discorso è ovviamente molto diverso su sistemi multiutente e/o in ambito server . . .
ImmagineOutside of a dog, computers are a man's best friend, inside a dog it's too dark to type.

Avatar utente
ambro
Robin Hood
Messaggi: 1933
Iscritto il: 27 agosto 2009, 21:37
Località: Verona

Messaggio da ambro » 27 giugno 2010, 16:10

A parte il fatto che io odio il comando sudo e che se devo fare qualcosa di particolare uso root e so che sto usando root... e se faccio qualche cacchiata so che avrei potuto farla usando root. Se non la voglio fare uso l'utente normale!
Comunque tornando al post principale io non mi preoccuperei troppo per aver lasciato il terminale root incustodito (se fisicamente alla macchina non può accedere nessun altro) perché se qualcuno da remoto volesse accedere al tuo pc (ammettendo che tu abbia lasciato delle falle nel firewall o servizi incustoditi in ascolto (SSH)) non ha bisogno che tu sia loggato come root, ma l'accesso se lo procura da solo (craccando la password o quant'altro).
PC: Amd FX-6100-Nvidia GT630-SSD- 64bit - kernel 4.3-ck - KDE Plasma 5
Mediacenter: Asrock Q2900 Itx - VGA Intel - 64bit - kernel 4.3-ck - lxde - Kodi - isengard
Netbook: Asus eeepc1001 - i686 - kernel 4.3 - lxde

Avatar utente
veleno77
Moderatore
Messaggi: 6282
Iscritto il: 25 marzo 2008, 18:26
Architettura: x86 (32Bit)
Località: Torino
Contatta:

Messaggio da veleno77 » 27 giugno 2010, 17:03

credo che sudo sia un buon tool e utile. ovvio che sta sempre all'utente gestirlo in modo consono.. non avere una password utente ad esempio è deleterio di natura
Se avete risolto il vostro problema, editate il primo post aggiungendo [Risolto] al titolo.
Problemi con Arch ? 1°Metodo-2°Metodo-3°Metodo
ArchWiki Translation Team - Cerchiamo traduttori!

the_shade
Arciere
Messaggi: 167
Iscritto il: 17 giugno 2009, 14:18

Messaggio da the_shade » 27 giugno 2010, 18:54

proprio riguardo al sudo :D
http://mihaiv.wordpress.com/2009/07/17/ ... with-sudo/

Il mio dubbio quindi è:
L'unico modo sicuro per eseguire un comando da root è la sequenza CTRL+ALT+F1 > login come root > comando ??
"Molti uomini credono in un dio per poter vivere... io ho smesso di credere... a me vivere non basta"

gabriele.lanaro
Novello Arciere
Messaggi: 101
Iscritto il: 25 gennaio 2009, 23:47

Messaggio da gabriele.lanaro » 27 giugno 2010, 20:05

Non succede niente se lasci la shell aperta loggato come root, probabilmente è molto più "pericoloso" avere un qualche processo poco sicuro che gira come root (che ne so un demone).
Sto fatto della sicurezza non lo capirò mai, ma chi può essere interessato a mettersi a bucare e trovare un probabile router con firewall + una macchina linux di un utente qualunque, per ottenere cosa poi?

oceans11
Arciere
Messaggi: 331
Iscritto il: 29 gennaio 2009, 17:11

Messaggio da oceans11 » 27 giugno 2010, 23:39

non per iniziare un flame, ma se un utente è sprovvisto di password allora sudo o non sudo c'è poco da fare. Sicuramente se usi sudo non ti capita di lasciare la shell di root aperta, questo è un dato certo. Ma alla fine dei conti ha ragione veleno, è una questione di "consapevolezza utente".

Per tornare in tema, potresti controllare la history della bash, come ti hanno già consigliato, verificare tutti i log generati in quell'ora e mezza, (che sò, ad esempio qualche pacchetto nuovo installato) controllare i job di cron e [paranoia on] verificare le date/ore di accesso ai file, per evidenziare eventuali modifiche[paranoia off]. Magari installati pure rkhunter oppure chkrootkit, controlla la cronologia del browser (soprattutto i download), cambia password ed installati sudo :p
LFS user #21853 - Vendo moduli corsair sodimm ddr sdram da 1GB (modello VS1GSDS333).
Nuovi, ancora impacchettati, garanzia a vita del produttore. Contattatemi via pm.

Avatar utente
veleno77
Moderatore
Messaggi: 6282
Iscritto il: 25 marzo 2008, 18:26
Architettura: x86 (32Bit)
Località: Torino
Contatta:

Messaggio da veleno77 » 28 giugno 2010, 0:21

gabriele.lanaro ha scritto:Non succede niente se lasci la shell aperta loggato come root, probabilmente è molto più "pericoloso" avere un qualche processo poco sicuro che gira come root (che ne so un demone).
Sto fatto della sicurezza non lo capirò mai, ma chi può essere interessato a mettersi a bucare e trovare un probabile router con firewall + una macchina linux di un utente qualunque, per ottenere cosa poi?
bè potrebbe usarti come ponte per fare affari loschi...
Se avete risolto il vostro problema, editate il primo post aggiungendo [Risolto] al titolo.
Problemi con Arch ? 1°Metodo-2°Metodo-3°Metodo
ArchWiki Translation Team - Cerchiamo traduttori!

Rispondi