home *** CD-ROM | disk | FTP | other *** search
/ Hackers Toolkit 2.0 / Hackers_Toolkit_v2.0.iso / HTML / archive / Texts / Improving-Security / security7.txt < prev    next >
Encoding:
Text File  |  1999-11-04  |  6.6 KB  |  153 lines
  1. We have seen incidents in which intruders obtain password files from sites
  2. and then try to compromise accounts by cracking passwords. Once intruders
  3. gain access to a user account, they attempt to gain root access through a
  4. cracked root password or by exploiting another vulnerability.
  5.  
  6. These incidents point to the need for system administrators to adequately
  7. defend their systems from this type of attack. We urge you to do the
  8. following.
  9.  
  10.   1. Protect your password file so that an intruder cannot obtain a copy of
  11.      it.
  12.   2. Ensure that good passwords are selected so that they cannot easily be
  13.      cracked, or use a technology in which passwords are not located in the
  14.      password file.
  15.   3. Ensure that you are up-to-date with security patches and workarounds.
  16.   4. Watch for unusual activity.
  17.  
  18. More specifically, here are steps you can take to minimize the possibility
  19. that your password file (with passwords in it) can fall into the hands of
  20. an intruder.
  21.  
  22. 1. Protect your password file.
  23.  
  24.    * Use a shadow password. Under a shadow password system, the /etc/passwd
  25.      file does not have encrypted passwords in the password field. Instead,
  26.      the encrypted passwords are held in a shadow file that is not
  27.      world-readable. Consult your system manuals to determine whether or
  28.      not a shadow password capability is available on your system and to
  29.      get information on how to set up and manage such a facility.
  30.    * Use a technology, such as one-time passwords or Kerberos, that does
  31.      not rely on having passwords in the password file.
  32.  
  33.      For more information on one-time passwords, see Appendix B in
  34.  
  35.      ftp://info.cert.org/pub/cert_advisories/CA-94:01.network.monitoring.attacks
  36.  
  37.    * Ensure that you are up-to-date with sendmail and are using smrsh. Some
  38.      sendmail vulnerabilities can be exploited by intruders to obtain a
  39.      copy of a password file.
  40.  
  41.      Information on known sendmail vulnerabilities can be obtained from:
  42.  
  43.      ftp://info.cert.org/pub/cert_advisories/CA-93:16.sendmail.vulnerability
  44.  
  45.      ftp://info.cert.org/pub/cert_advisories/CA-93:16a.sendmail.vulnerability.supplement
  46.  
  47.      ftp://info.cert.org/pub/cert_advisories/CA-93:16a.README
  48.  
  49.      ftp://info.cert.org/pub/cert_advisories/CA-95:05.sendmail.vulnerabilities
  50.  
  51.      ftp://info.cert.org/pub/cert_advisories/CA-95:05.README
  52.  
  53.      ftp://info.cert.org/pub/cert_advisories/CA-95:08.sendmail.v.5.vulnerability
  54.  
  55.      ftp://info.cert.org/pub/cert_advisories/CA-95:08.README
  56.  
  57.      ftp://info.cert.org/pub/cert_advisories/CA-95:11.sun.sendmail-oR.vul
  58.      ftp://info.cert.org/pub/cert_advisories/CA-95:11.README
  59.  
  60.      ftp://info.cert.org/pub/cert_advisories/CA-95:13.syslog.vul
  61.      ftp://info.cert.org/pub/cert_advisories/CA-95:13.README
  62.  
  63.      ftp://info.cert.org/pub/cert_advisories/CA-96.04.corrupt_info_from_servers
  64.  
  65.      ftp://info.cert.org/pub/cert_advisories/CA-96.04.README
  66.  
  67.           The smrsh program can be obtained from
  68.  
  69.      ftp://info.cert.org/pub/tools/smrsh/
  70.  
  71.           smrsh is also included in the sendmail 8.7.5 distribution.
  72.  
  73.    * If you are using the NCSA httpd 1.5a-export and APACHE httpd 1.0.3
  74.      (and previous versions), ensure that you have followed the advice in
  75.      the advisory listed below.
  76.  
  77.      ftp://info.cert.org/pub/cert_advisories/CA-96.06.cgi_example_code
  78.  
  79.    * To help defend your site from NIS-based attacks, you may wish to
  80.      install a portmapper/rpcbind replacement that has access control built
  81.      in. Note that an attacker may still be able to find the portnumber of
  82.      the NIS server by scanning all privileged ports of the target machine.
  83.      While the portmapper replacement won't defend you from this attack,
  84.      effective packet filtering can defend you and effective logging will
  85.      alert you to any attack in progress. To deny access to the NIS server
  86.      you have to block all privileged portnumbers (all portnumbers less
  87.      than 1024) on your router except those "well known" services you need
  88.      and that are on fixed portnumbers (like telnet and ftp). A replacement
  89.      for portmapper/rcpbind that has access control and logging is
  90.      available from
  91.  
  92.      ftp://ftp.win.tue.nl/pub/security/portmap_3.BLURB
  93.      ftp://ftp.win.tue.nl/pub/security/portmap_3.shar.Z
  94.      ftp://ftp.win.tue.nl/pub/security/portmap_3.shar.Z.asc
  95.  
  96.      ftp://ftp.win.tue.nl/pub/security/rpcbind_1.1.README
  97.      ftp://ftp.win.tue.nl/pub/security/rpcbind_1.1.tar.Z
  98.      ftp://ftp.win.tue.nl/pub/security/rpcbind_1.1.tar.Z.asc
  99.  
  100.    * Ensure that your anonymous ftp area is configured correctly. Intruders
  101.      frequently exploit an ftp area that is not correctly configured to
  102.      obtain the password file of the ftp server. For more information on
  103.      configuring your ftp server, see the document "Anonymous FTP
  104.      Configuration Guidelines" available at
  105.  
  106.      ftp://ftp.cert.org/pub/tech_tips/anonymous_ftp_config
  107.  
  108. 2. Ensure that the passwords being used on accounts cannot easily be
  109. guessed or cracked by intruders.
  110.  
  111. You may wish to verify that good passwords are being selected at your site
  112. (in accordance with your organization's policies and procedures). Crack is
  113. a tool you can use to do this. It is a freely available program designed to
  114. identify standard UNIX DES encrypted passwords that can be found in widely
  115. available dictionaries by standard guessing techniques outlined in the
  116. Crack documentation.
  117.  
  118. Crack is available by anonymous FTP from
  119.  
  120. ftp://info.cert.org/pub/tools/crack
  121.  
  122. 3. Ensure that you are up-to-date with patches and workarounds on your
  123. machines.
  124.  
  125.      Keeping up-to-date can help minimize the likelihood that you will be
  126.      root compromised if user accounts are compromised. For information
  127.      about the latest patches and workarounds, contact your vendor. You can
  128.      also find information in
  129.  
  130. ftp://info.cert.org/pub/latest_sw_versions
  131.  
  132. 4. Watch for unusual activity.
  133.  
  134.      Use all of the logging facilities available, including wtmp, syslog,
  135.      and process accounting. Use tcp wrappers and log all connection
  136.      attempts for all services made available via inetd. Examine these logs
  137.      looking for suspicious activity. One tool that is available to analyze
  138.      syslog files is SWATCH. It is available at
  139.  
  140. ftp://ftp.stanford.edu/general/security-tools/swatch
  141.  
  142. Copyright 1996 Carnegie Mellon University This material may be reproduced
  143. and distributed without permission provided it is used for noncommercial
  144. purposes and the copyright statement is included.
  145.  
  146. CERT is a service mark of Carnegie Mellon University.
  147.  
  148. The CERT Coordination Center is sponsored by the Defense Advanced Research
  149. Projects Agency (DARPA). The Software Engineering Institute is sponsored by
  150. the U.S. Department of Defense.
  151.  
  152. ---------------------------------------------------------------------------
  153.