hallo bitte
kannst es ja mal selber testen
natürlich vorher fullbackup machen
ich bin unendlich traurig
mein Avatar ist heute (18.09.2020 verstorben)
RIP mein bester Freund
Das ist keine Sicherheitslücke. Die Samba Verwaltung läuft extra, auch die Samba User Verwaltung mit extra Passwort. Siehe auch Link nur für registrierte und freigeschaltete Mitglieder sichtbar. . Allerdings ist im OpenAtv z.B die OptionUhh! Das nenne ich eine handfeste Sicherheitslücke. Unter Linux kann im normalen Leben nur root die /etc/shadow lesen. Dass man auf doof darin auch noch herummalen kann ist der Hammer.
Danke für die Info.gesetzt, womit die Samba Nutzer Verwaltung ausgehebelt wird. Im Heimnetzwerk ohne "verspielte" Kids kein Problem..in anderen Umgebungen schonCode:guest account = root
Geändert von Hannibal (09.01.2014 um 17:33 Uhr)
nur zur info falls @miese.ratte es mal testen möchte
ich habe die shadow auf den pc geschoben
von meine et1 und et2
dann per WordPad alles aus shadow der et1 makiert (ausser das Passwort)
notepad++ geöffnet und ein neues dokument geöffnet
das kopierte aus et1 da rein kopiert
Schadow der et2 geöffnet
Passwort da rauskopiert
in das Notepad++ dokument reinkopiert und gespeicher
das Notepad++ dokument in den et1 reinkopiert (\\ipderbox)
jetzt hatte der et 1 das Passwort der et2 (hatte auf beiden unterschiedliche Passwörter)
wie oben schon geschrieben habe ich auch das getestet
meinem et ein neues passwort vergeben (einfach willkürlich was reingehämmert )
da ich nicht gewusst habe was ich da reingehämmert habe hatte ich auch keinen zugriff mehr über Telnet
dann halt per Link nur für registrierte und freigeschaltete Mitglieder sichtbar. die shadow wieder auf den pc gespeicher
und dann eine zweite shadow wo ich noch auf dem pc hatte das Passwort in das andere reinkopiert
hat da mit dem Passwort funktioniert (wusste natürlich wie es entschlüssel heist)
habe mir jetzt für den fall der fälle das verschlüsselte Passwort (dreambox) auf dem pc gespeichert
so kann ich immer auf dreambox zurück falls ich es mal vergessen habe und dann per Telnet ein neues eingeben
ich bin unendlich traurig
mein Avatar ist heute (18.09.2020 verstorben)
RIP mein bester Freund
@Hannibal:
"guest account = root" ist keine Sicherheitslücke?
Ich nenne so eine Einstellung ein offenes Scheunentor. Wenn das als Standardvorgabe drin ist, ist das echt schlimm. Solche Geräte sind für "böse Buben" willkommenes Freiwild.
@alocin:
Du brauchst Dir keine Sorgen machen. Auf die Box kommst Du immer rauf.
Du brauchst nur den Passwort-Hash komplett entfernen. Dann gilt ein leeres Passwort als korrekt.
Gruß
Geändert von Miese.Ratte (09.01.2014 um 17:45 Uhr)
Ich hatte dir ja geschrieben das dies die Imagebauer so Standardmässig drinhaben. Die Änderung habe ich in 2 Sekunden erledigt oder eben Samba abgeschalten. Und im Heimnetzwerk sehe ich es nicht als Sicherheitslücke!!!....zumindest habe ich meine Frau unter Kontrolle!! Wer sollte sich sonst in deinem Heimnetzwerk herumtreiben??? Falls du Besuch von außerhalb mal hattest liegt die Lücke ganz woanders
Nochmal anders gesagt, im Admin Firmensubnetz haben wir auch ziemlich viel offen, wenn sich dort einer zu schaffen machen würde hätten wir woanders etwas falsch gemacht. Hochsensibles ist natürlich doppelt abgesichert!!!
Geändert von Hannibal (09.01.2014 um 17:55 Uhr)
hallo miese.ratte
habe ja hier schon ein/zweimal geschrieben das ich mich eigentlich mit solchen Sachen wenig auskenne
daher die frage an dich
was meinst du damit>>>Passwort-Hash
die Datei shadow löschen?
ist es nicht so das openpli 4.0 ein passwort für den Telnet zugriff vorraussetzt (oder doch für ftp zugriff)
nicht erschlagen>>>ich weis es nicht besser
ich probiere halt viel rum und bekomme dann das ein oder andere mal geregelt>>>obwohl es dann oft einfachere wege gibt
ich bin unendlich traurig
mein Avatar ist heute (18.09.2020 verstorben)
RIP mein bester Freund
Darf ich auch antworten?
Code:root:hiV/tPYiHcN6M:16078:0:99999:7:::das rote ist der hash. Einfach entfernen. So setzt man auch an Servern das Passwort zurück. Ein Passwort-Hash entschlüsseln geht nämlich nicht.
The local username
The password hash, more on this later
Number of days since the start of unix time (01/01/1970) that the password was last changed
Minimum number of days before the password can be changed
Maximum number of days before the password must be changed. 99999 means that the user will not be forced to change their password
Number of days before forcing the password change that the user will be warned.
The number of days after expiration that the account will be disabled
Days since the start of unix time that the account has been disabled
Currently unused but reserved for future use
Geändert von Hannibal (09.01.2014 um 19:09 Uhr)
ok
weis ja das es das Passwort beinhaltet
kann man ja dann auch so nennen damit ich es wenigstens verstehe
ich bin unendlich traurig
mein Avatar ist heute (18.09.2020 verstorben)
RIP mein bester Freund
Es ist nun mal aber eine Kryptologische Hashfunktion und nicht mehr das Passwort im Klarnamen
ok
akzeptiert
wieder was dazugelernt
ich bin unendlich traurig
mein Avatar ist heute (18.09.2020 verstorben)
RIP mein bester Freund
hallo
ich wollte mich nicht dazu äussern
aber
er soll mal ihre lieblingssendung einfach umschalten
dann wird er sehen wer der herr im hause ist
ich bin unendlich traurig
mein Avatar ist heute (18.09.2020 verstorben)
RIP mein bester Freund
Lesezeichen