Hidden admin/User

Обсуждение технических вопросов по продуктам Novell

Hidden admin/User

Сообщение Михаил Гусев » 22 сен 2003, 17:37

А не подскажет ли многоуважаемый ALL, как создать скрытого пользователя. Говорят, такое можно в НДС
Спасибо
Михаил Гусев
 
Сообщения: 4
Зарегистрирован: 22 сен 2003, 17:01

Сообщение Андрей Тр. aka RH » 22 сен 2003, 17:42

"Телепаты в отпуске" (с) .. в каком смысле скрытого, от кого ..
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Re: Hidden admin/User

Сообщение Андрей Фисенко » 22 сен 2003, 18:33

Михаил Гусев писал(а):А не подскажет ли многоуважаемый ALL, как создать скрытого пользователя. Говорят, такое можно в НДС
Спасибо


Я вам скажу, однако, такую вещь - скрыть пользователя в НДС нельзя!!!
Максимум можно создать юзера, которым нальзя порулить стандартными способами и которого не видно из стандартных утелеит администрирования. Вот и все.
Как минимум, статистику коннектов и консоль монитора еще никто не отменял.
Андрей Фисенко, SUSE
[url=http://www.suse.com][/url]
Андрей Фисенко
 
Сообщения: 1311
Зарегистрирован: 05 июн 2002, 08:13
Откуда: Красноярск

Re: Hidden admin/User

Сообщение Аркадий Глазырин » 23 сен 2003, 22:18

Андрей Фисенко писал(а):Я вам скажу, однако, такую вещь - скрыть пользователя в НДС нельзя!!!
Максимум можно создать юзера, которым нальзя порулить стандартными способами и которого не видно из стандартных утелеит администрирования. Вот и все.
Как минимум, статистику коннектов и консоль монитора еще никто не отменял.


Именно это человеку и надо. Уверенно могу сказать, что имея права S на контейнер можно напрочь отрезать права доступа к нему. Совместно с рядом действий это позволяет запрятать в контейнере администратора, которого, без определённого уровня знаний даже и обнаружить то нельзя. Особенно, если под тем логином никто не логинится, а он просто закопан, как партизанский тайник.

PS На казённом сервере у меня один такой "закопан". "Закапывал" старательно. Трастисы выделял по отдельности и все запрещал. Т.е. не пачкой. Года два уже как та ветка спрятана. Я уже и пароль то не помню. Благо, что он там не меньше 12 знаков и ой-как не прост.

Могу научить как это делать. Мне будет просто приятно обучить тебя.
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Сообщение Андрей Тр. aka RH » 24 сен 2003, 04:48

А что там такого хитрого .. назначаешь этому "скрытому" пользователю требуемые права на его контейнер, потом ставишь соответствующий фильтр на данный контейнер ( не наоборот ), ну и еще при желании до этого ( чтоб от этого пользователя была какая-то польза .. каламбур-с ) назначаешь security equivalence с определёнными объектами. ИМХО если человек способен осознанно выполнить подобные манипуляции, то "определенный уровень знаний" у него уже есть.

Вообще, похожие темы здесь уже проскакивали. Сошлись на том, что dsbrowse, например, еще никто не отменял. А товарищу, может, достаточно прикрыть browse на требуемого пользователя .. ну и там от админа спрятать :) что есть нехорошо.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Re: Hidden admin/User

Сообщение Андрей Фисенко » 24 сен 2003, 07:32

Arkadi, Goblins Chief писал(а):Могу научить как это делать. Мне будет просто приятно обучить тебя.


Знаешь, я уже лет семь, как этим не балуюсь.
Как только понял, что скрыть все-равно нельзя насовсем, забросил эту затею.

PS.
Заметать следы надо уметь так, чтобы ты сам потом их не нашел.
Последний раз редактировалось Андрей Фисенко 24 сен 2003, 14:14, всего редактировалось 2 раз(а).
Андрей Фисенко, SUSE
[url=http://www.suse.com][/url]
Андрей Фисенко
 
Сообщения: 1311
Зарегистрирован: 05 июн 2002, 08:13
Откуда: Красноярск

Re: Hidden admin/User

Сообщение Vadziku » 24 сен 2003, 07:49

Андрей Фисенко писал(а):Знаешь, я уже лет семь, как этим не балуюсь.
Как только понял, что скрыть все-равно нельзя насовсем, забросил эту затею.

PS.
Заметать следы надо уметь так, чтобы ты сам потом их не нашел.

Точно-точно. И отрезать этого пользователя от управления главным админом тоже не получится. Техника рассчитанная только на администратора с низким уровнем квалификации.
Vadziku
 
Сообщения: 97
Зарегистрирован: 20 июл 2002, 15:46
Откуда: Almaty, Kazakhstan

Re: Hidden admin/User

Сообщение Аркадий Глазырин » 24 сен 2003, 15:43

Андрей Фисенко писал(а):PS.
Заметать следы надо уметь так, чтобы ты сам потом их не нашел.


Что я и сделал. Моей квалификации не хватает, чтоб "откопать".
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Re: Hidden admin/User

Сообщение Аркадий Глазырин » 24 сен 2003, 15:45

Vadziku писал(а):Точно-точно. И отрезать этого пользователя от управления главным админом тоже не получится. Техника рассчитанная только на администратора с низким уровнем квалификации.


А ну-ка расскажи ка мне как обнаружиь такого "скрытого" юзера, даже имея S на ROOT.
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Ой, я Вас умоляю...

Сообщение Андрей Фисенко » 24 сен 2003, 16:06

Arkadi, Goblins Chief писал(а):А ну-ка расскажи ка мне как обнаружиь такого "скрытого" юзера, даже имея S на ROOT.


Горячие финские парни.
Во-первых, ответ уже прозвучал. DSView и DSBrowse еще никто не отменял.
http://support.novell.com/cgi-bin/searc ... 944597.htm

Во-вторых, есть такая утиль, которая находит именно эти объекты.
http://www.novell.com/coolsolutions/tools/1098.html

В третьих, никто не отменяет статистику коннектов данного юзера (я уже писал про это).

В четвертых, имея под рукой утильку, которая на любой контейнер может дать прямое право S, много ума не надо...

Я ясно выразился или будем лить воду дальше?
Андрей Фисенко, SUSE
[url=http://www.suse.com][/url]
Андрей Фисенко
 
Сообщения: 1311
Зарегистрирован: 05 июн 2002, 08:13
Откуда: Красноярск

Re: Ой, я Вас умоляю...

Сообщение Аркадий Глазырин » 24 сен 2003, 18:16

Андрей Фисенко писал(а):
Arkadi, Goblins Chief писал(а):А ну-ка расскажи ка мне как обнаружиь такого "скрытого" юзера, даже имея S на ROOT.


Горячие финские парни.
Во-первых, ответ уже прозвучал. DSView и DSBrowse еще никто не отменял.
http://support.novell.com/cgi-bin/searc ... 944597.htm

Во-вторых, есть такая утиль, которая находит именно эти объекты.
http://www.novell.com/coolsolutions/tools/1098.html

В третьих, никто не отменяет статистику коннектов данного юзера (я уже писал про это).

В четвертых, имея под рукой утильку, которая на любой контейнер может дать прямое право S, много ума не надо...

Я ясно выразился или будем лить воду дальше?


Хм. Получается, что решение есть. Просто оно состоит из ряда промежуточных решений...

Постараюсь интереса ради найти свой же закопанный логин. Типа тренировка будет.
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Re: Hidden admin/User

Сообщение Михаил Гусев » 25 сен 2003, 12:02

Vadziku писал(а):
Андрей Фисенко писал(а):Знаешь, я уже лет семь, как этим не балуюсь.
Как только понял, что скрыть все-равно нельзя насовсем, забросил эту затею.


Это из природы каталога, в общем-то, ясно.

PS.
Заметать следы надо уметь так, чтобы ты сам потом их не нашел.

Точно-точно. И отрезать этого пользователя от управления главным админом тоже не получится. Техника рассчитанная только на администратора с низким уровнем квалификации.


Именно это и требуется. Просто
а- сейчас по ряду причин с Новеллом не работаю
б- мне ЛИЧНО такое не нужно, попросили с бывшей работы, а зачем изобретать велосипед :)
Михаил Гусев
 
Сообщения: 4
Зарегистрирован: 22 сен 2003, 17:01

Re: Hidden admin/User

Сообщение Михаил Гусев » 25 сен 2003, 13:05

Arkadi, Goblins Chief писал(а):
Андрей Фисенко писал(а):Я вам скажу, однако, такую вещь - скрыть пользователя в НДС нельзя!!!
Максимум можно создать юзера, которым нальзя порулить стандартными способами и которого не видно из стандартных утелеит администрирования. Вот и все.
Как минимум, статистику коннектов и консоль монитора еще никто не отменял.


Именно это человеку и надо. Уверенно могу сказать, что имея права S на контейнер можно напрочь отрезать права доступа к нему. Совместно с рядом действий это позволяет запрятать в контейнере администратора, которого, без определённого уровня знаний даже и обнаружить то нельзя. Особенно, если под тем логином никто не логинится, а он просто закопан, как партизанский тайник.

PS На казённом сервере у меня один такой "закопан". "Закапывал" старательно. Трастисы выделял по отдельности и все запрещал. Т.е. не пачкой. Года два уже как та ветка спрятана. Я уже и пароль то не помню. Благо, что он там не меньше 12 знаков и ой-как не прост.

Могу научить как это делать. Мне будет просто приятно обучить тебя.

Я жду :)
Михаил Гусев
 
Сообщения: 4
Зарегистрирован: 22 сен 2003, 17:01

Re: Hidden admin/User

Сообщение Аркадий Глазырин » 26 сен 2003, 09:46

Михаил Гусев писал(а): Я жду :)


Начнём.
O=EMA.
Внутри неё содаём OU=HIDDEN
Внутри OU=HIDDEN.O=EMA создаём CN=STEPAN
Даём ему права S на OU=HIDDEN.O=EMA
Заходим под логином STEPAN.HIDDEN.EMA

Зашли.

Запустили NWadmin.

Нашли в дереве HIDDEN.EMA
Правая кнопка мыши. "Трастис оф Тис обджектс".
Видим слева "Инхеретейбэел Райтс Фильтэр".
Заходим туда. Перед тобой слева "Обджектс ррайтс".
Убираём всё.
Далее справа "Проперти райтс".
Можно взять и убрать сразу всё. ("Алл пропертис" убрать все флажки.)
Тут правда подлезть легко можно. Чтоб сделать ооочень сложным легальный обход надо выбрать "Селект Пропертис" и для каждой позиции снять флажки.

Всё.

Заходи под прежним админом и попробуй найти STEPAN.HIDDEN.EMA
Да, не давай STEPAN.HIDDEN.EMA права на файловую систему!
Это легко ловится.
Дай только S на ROOT. Внутри HIDDEN.EMA сделай элиасы на тома. Так удобнее будет.
Будет надо - зайдет этот STEPAN.HIDDEN.EMA, сам назначит себе права S на файловую систему, сделает своё "чёрное дело" и снова уберёт их. Негр в ночи.
Причина онкологий - иммунодефицит. Он вызывается загаром, нервотрёпкой, прививками от гриппа, генномодифицированными дрожжами, например "Саф-Момент", приёмом наркотиков, особенно героиновой группы. + Грибы и паразиты.
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Сообщение Константин Ошмян » 26 сен 2003, 12:24

Goblins Chief писал(а):Дай только S на ROOT
Тем не менее, легальный админ при внимательном просмотре увидит, что на [Root] имеет права какой-то "левый" пользователь (при просмотре списка Trustees объекта [Root]). И сможет их (эти права) обрубить, сводя смысл всей затеи практически к нулю - как я понимаю, именно это (в том числе) имел в виду Андрей Фисенко.
Аватара пользователя
Константин Ошмян
 
Сообщения: 991
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 54

cron