Страница 1 из 1

как определить имеет ли пользователь пароль? (+)

СообщениеДобавлено: 04 мар 2003, 19:52
Андрей Старков
Собственно сабж. с помощью какого средства, продукта? имеется ввиду если не установлено Password requied.

+ столкнулся с такой вещью - для экспериментов создал тестового пользователя без пароля, устанавливаю галочку Password requied, и спокойно вхожу в сеть по прежнему без пароля. только когда установил Force password change а Password expiration time на "сейчас", вылезло приглашение об истечении срока пароля. Разослал за несколько дней всем инструкцию, в понедельник вечером установил всем Password requied, Force password change и Password expiration time в ночь на вторник. Утром многие на приглашение об истечении срока пароля нажали Отмену ... и вошли в сеть! Причем как я понял у таких людей Password expiration time установилось в 2 января 1992 года. Посмотрю, конечно, завтра утром, но многие не один раз перегружали сегодня комп и входили все равно в сеть.
Это что, глюк? В сети Netware 5.1 SP5 6.0 SP2 и 4.10, все изменения делал в C1 1.3.3 через изменение свойств сразу всем выделенным пользователям

СообщениеДобавлено: 05 мар 2003, 07:03
Андрей Тр. aka RH
А что с Grace logins ( что в allowed и remaining ) ? Насчет "как проверить" : метод "в лоб" - взять софтинку с любого "хакерского" сайта, проверяющую список пользователей на предмет пустых паролей или же написать самому batник на основе имен юзеров.

Вероятно, есть и более "правильный" метод с проверкой атрибутов в дереве и т.д., но тут надо думать и читать .. вопрос в целесообразности.

СообщениеДобавлено: 05 мар 2003, 13:26
Музалёв Николай
Вообще то есть предложение - ну их, хакеров... От греха....

А попробовать можно сл. образом:
внесите в сценарий регистрации что то типа :
WRITE
WRITE " WARNING !!!"
WRITE " pass. EXPIRE after %PASSWORD_EXPIRES days !!!!! "
WAIT
CLS

и если в строке приемлимое число, то пароль есть, а если 32к, то либо бессрочный пароль, что == его отсутствию, либо его просто нет.
PS. Мне кажется, что должна быть переменная , прямо проверяющая наличие пароля....

вот Grace Login то я и не поставил (+)

СообщениеДобавлено: 05 мар 2003, 15:04
Андрей Старков
внимательно почитав доки обнаружил, что если Grace Login не установить, люди все равно будут продолжать входить в сеть.
Составив DsReport'ом отчет я выснил, что те, кто на пердупреждение об истечении срока пароля нажали "Нет" - у них сбросилась дата на 2 января 1992 года, те кто жмет "Да", но потом отказывается от ввода нового пароля - у тех дата истечения срока остается неизменной, ну а те кто ввел новый пароль - у тех дата сдвинулась вперед. Так и вычислил людей :-))

СообщениеДобавлено: 09 мар 2003, 09:42
Андрей Тр. aka RH
DSSec.exe: Report NDS Security Issues

Create reports on users who have no passwords, insecure password restrictions,or excessive rights.

http://www.novell.com/coolsolutions/tools/1637.html

спасибо огромное!! (+)

СообщениеДобавлено: 09 мар 2003, 21:11
Андрей Старков
Месяц назад копался в КуулСолюшен и видел эту утилиту и когда возникла потребность у меня было стойкое ощущение, что я подобное где-то видел. Но забыл, где. Перерыл свои архивы по 3 раза, потом уже спросил здесь.
Еще раз спасибо!!! после выходных попробую.

Есть еще способы...

СообщениеДобавлено: 15 мар 2003, 15:43
botler
Привет всем...

Вот читал документик в AppNotes (June 2000) под названием NetWare: closing doors to hackers и там рассматривалась эта же проблема. Цитирую:

One freeware utility that is often to use by hackers to identify user accounts with no passwords is called CHKNULL. This simple DOS command line utility cheks all User objects to see wich have "null" (no) passwords, without triggering any failed login attempts in intruder detection.

Of course, you can use this utility, found at http://www.nmrc.org , to audit password compliance and close any no-passwords security holes you may find.

CHKNULL has several parameters which you can use to extend its functionality:
usage: chknull [-p] [-n] [-v] [wordlist]
-p=chek username and password
-n=don't chek null password
-v=verbose output
also can chek specified words on the command line as passwords

A similar function can be performed by using Novell's NLIST command, as shown:
NLIST users

Вообще можно в свойствах юзера поставить Require a password и тогда должно быть все ОК! А вот у кого эта опция не зачекена можно увидеть с помощью nlist.

СообщениеДобавлено: 15 мар 2003, 17:44
Андрей Тр. aka RH
Интересно .. Ну да, говоря "хакерские сайты" я имел в виду NMRC и прочие astalavist'ы. Вообще, то, что упомянутая утилитка делает это "without triggering any failed login attempts in intruder detection" - это довольно изящно ( интересно, как именно она это делает ). Так то можно выудить список объектов СХ'ом ( открытых для public - даже не логинясь ) и для каждого попытаться сделать банальный логин с пустым паролем.