Paul Green et moi avons discuté d'une nouvelle commande sur laquelle il travaille, appelée check_module_security. Le sujet des commandes inutiles disponibles à l'invite de connexion est apparu. Jon Schmidt de Transaction Design le recommande dans un article sur le verrouillage de la porte de grange.
Commandes internes :
display_current_module (prelogin)
list_modules (prelogin) display_date_time (prelogin)
list_systems (prelogin)
display_line (prelogin)
login (prelogin)
If there are other commands shown, remove them.
Je me suis mis à penser à des commandes comme list_modules et list_systemsMême si vous aviez pris la peine de sécuriser votre propre module ou système, ces commandes pourraient donner à un pirate informatique un indice sur d'autres modules/systèmes qui pourraient ne pas être aussi sûrs et être exploités avec login -module. Nous nous sommes donc interrogés sur la manière d'empêcher leur utilisation au moment de la préinscription. Voici un moyen que j'ai trouvé :
Créez un fichier à nom unique qui servira de nom de liste d'accès. Dans ce cas, j'ai choisi prelogin_no_access pour être attaché à toute commande à laquelle je veux interdire l'accès à certains utilisateurs. Le contenu du fichier n'a aucune utilité - ce sont les listes de contrôle d'accès qui y sont attachées qui comptent. Le fichier va dans un endroit spécial : (master_disk)>system>acl répertoire. L'utilisateur que nous voulons restreindre est PreLogin.Systemqui est l'utilisateur qui exécute l'invite de connexion. N'oubliez pas de permettre l'accès aux autres utilisateurs (après la connexion). Vous devez être un utilisateur privilégié et membre de l SysAdmin sur la plupart des sites pour effectuer ces opérations.
change_current_dir (master_disk)>system>acl
create_file prelogin_no_access
give_access null prelogin_no_access -user PreLogin.System
give_access write prelogin_no_access -user *.*
Assurez-vous que les commandes que vous voulez restreindre sont configurées dans internal_commands.tin pour utiliser cette liste d'accès...
%phx_vos#m14_mas>system.14.7>configuration>internal_commands.tin 07-10-02 12:14
/ =nom module_courant_d'affichage
=nom_liste_d'accès prénom_non_accès
=audit 0
/ =modules_liste_de_noms
=nom_liste_d'accès prénom_non_accès
=audit 0
Si vous avez dû apporter une modification, vous devez alors appliquer les changements.
create_table internal_commands.ti
broadcast_file internal_commands.table (master_disk)>system
configure_commands
Maintenant, vous pouvez essayer d'utiliser une commande interdite à la connexion
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login 12:13:19
help
Internal Commands:
change_password (prelogin) help (prelogin)
display_current_module (prelogin) list_modules (prelogin)
display_date_time (prelogin) list_systems (prelogin)
display_line (prelogin) login (prelogin)
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login 12:13:23
list_modules
command_processor: Not enough access to perform operation. list_modules.
Je n'ai pas restreint TOUTES les commandes internes ; ainsi, celles qui ne sont pas affectées peuvent toujours être utilisées.
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login 12:13:29
list_systems
phx_osn . . . . . . online (local)
phx_test . . . . . . online (local)
phx_vos . . . . . . online (current system)
N'oubliez donc pas de restreindre ceux qui vous semblent importants.
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login 12:13:39
display_current_module
command_processor: Not enough access to perform operation.
display_current_module.
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login 12:13:53
Il y a un bonus : si vous avez activé la journalisation de la sécurité, une entrée est faite dans le journal de sécurité pour vous dire que quelqu'un a essayé d'utiliser une des commandes.
1: 07-10-02 12:16:20 mst PreLogin.System %phx_vos#tli_log.m15_65
Target: list_modules
Text: Not enough access to perform operation. Validating object access.
Avons-nous tout obtenu ? Pas du tout. Voici une petite liste des lacunes de ce rapide tutoriel :
- La bannière de connexion donne toujours le nom du module, même si les commandes list_modules et display_current_module sont désactivées.
- La bannière de connexion donne toujours l'indice qu'il s'agit d'un système VOS lorsqu'elle affiche le nom de la version.
- La commande list_systems est toujours opérationnelle (délibérément pour cet exemple, mais elle devrait être interdite également).
Des points bonus sont accordés à ceux qui repèrent ce qui pourrait être fait d'autre. Indice : les fonctions de commandement fonctionnent toujours.
-Dan Danz, consultant technique de VOS Services
Paul Green et moi avons discuté d'une nouvelle commande sur laquelle il travaille, appelée check_module_security. Le sujet des commandes inutiles disponibles à l'invite de connexion est apparu. Jon Schmidt de Transaction Design le recommande dans un article sur le verrouillage de la porte de grange.
Commandes internes :
display_current_module (prelogin)
list_modules (prelogin) display_date_time (prelogin)
list_systems (prelogin)
display_line (prelogin)
login (prelogin)
If there are other commands shown, remove them.
Je me suis mis à penser à des commandes comme list_modules et list_systemsMême si vous aviez pris la peine de sécuriser votre propre module ou système, ces commandes pourraient donner à un pirate informatique un indice sur d'autres modules/systèmes qui pourraient ne pas être aussi sûrs et être exploités avec login -module. Nous nous sommes donc interrogés sur la manière d'empêcher leur utilisation au moment de la préinscription. Voici un moyen que j'ai trouvé :
Créez un fichier à nom unique qui servira de nom de liste d'accès. Dans ce cas, j'ai choisi prelogin_no_access pour être attaché à toute commande à laquelle je veux interdire l'accès à certains utilisateurs. Le contenu du fichier n'a aucune utilité - ce sont les listes de contrôle d'accès qui y sont attachées qui comptent. Le fichier va dans un endroit spécial : (master_disk)>system>acl répertoire. L'utilisateur que nous voulons restreindre est PreLogin.Systemqui est l'utilisateur qui exécute l'invite de connexion. N'oubliez pas de permettre l'accès aux autres utilisateurs (après la connexion). Vous devez être un utilisateur privilégié et membre de l SysAdmin sur la plupart des sites pour effectuer ces opérations.
change_current_dir (master_disk)>system>acl
create_file prelogin_no_access
give_access null prelogin_no_access -user PreLogin.System
give_access write prelogin_no_access -user *.*
Assurez-vous que les commandes que vous voulez restreindre sont configurées dans internal_commands.tin pour utiliser cette liste d'accès...
%phx_vos#m14_mas>system.14.7>configuration>internal_commands.tin 07-10-02 12:14
/ =nom module_courant_d'affichage
=nom_liste_d'accès prénom_non_accès
=audit 0
/ =modules_liste_de_noms
=nom_liste_d'accès prénom_non_accès
=audit 0
Si vous avez dû apporter une modification, vous devez alors appliquer les changements.
create_table internal_commands.ti
broadcast_file internal_commands.table (master_disk)>system
configure_commands
Maintenant, vous pouvez essayer d'utiliser une commande interdite à la connexion
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login 12:13:19
help
Internal Commands:
change_password (prelogin) help (prelogin)
display_current_module (prelogin) list_modules (prelogin)
display_date_time (prelogin) list_systems (prelogin)
display_line (prelogin) login (prelogin)
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login 12:13:23
list_modules
command_processor: Not enough access to perform operation. list_modules.
Je n'ai pas restreint TOUTES les commandes internes ; ainsi, celles qui ne sont pas affectées peuvent toujours être utilisées.
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login 12:13:29
list_systems
phx_osn . . . . . . online (local)
phx_test . . . . . . online (local)
phx_vos . . . . . . online (current system)
N'oubliez donc pas de restreindre ceux qui vous semblent importants.
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login 12:13:39
display_current_module
command_processor: Not enough access to perform operation.
display_current_module.
VOS Release 15.3.0ai, Module %phx_vos#m15
Please login 12:13:53
Il y a un bonus : si vous avez activé la journalisation de la sécurité, une entrée est faite dans le journal de sécurité pour vous dire que quelqu'un a essayé d'utiliser une des commandes.
1: 07-10-02 12:16:20 mst PreLogin.System %phx_vos#tli_log.m15_65
Target: list_modules
Text: Not enough access to perform operation. Validating object access.
Avons-nous tout obtenu ? Pas du tout. Voici une petite liste des lacunes de ce rapide tutoriel :
- La bannière de connexion donne toujours le nom du module, même si les commandes list_modules et display_current_module sont désactivées.
- La bannière de connexion donne toujours l'indice qu'il s'agit d'un système VOS lorsqu'elle affiche le nom de la version.
- La commande list_systems est toujours opérationnelle (délibérément pour cet exemple, mais elle devrait être interdite également).
Des points bonus sont accordés à ceux qui repèrent ce qui pourrait être fait d'autre. Indice : les fonctions de commandement fonctionnent toujours.
Entreprise