systemx

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - sécurité

Fil des billets - Fil des commentaires

lundi, février 25 2013

Owncould - Mot de passe admin perdu

Si comme moi vous avez trop de mot de passe pour trop d'application et il vous arrive de vous arracher les cheveux à retrouver vos mots de passe d'application Web voici une méthode bien pratique pour récupérer ceux de Owncloud.
Il y a déjà bien longtemps, les mots de passe étaient codé via un algorythme de cryptage type md5 ou sha1, mais les regles de sécurité allant en se durcissant, on utilise générallement un "salt" qui est une chaine de caractère ajoutée au mot de passe avant cryptage pour éviter de retrouver les mot de passe à partir des encodages de ces mot de passe (type rainbow table).
Il s'avere donc extremement difficile de retrouve le mot de passe en comparant les encodage d'autant plus que l'on ne connais pas le "salt".
De plus owncloud ne semble pas proposer par défaut de récupération du mot de passe par mail, c'est compliqué de retrouver celui ci lorsqu'il est oublié mais j'ai trouvé une solution simple à mettre en place.
Il suffit d'utiliser les fonctions owncloud de gestion de mot de passe via une page php, cela se fait en créant une script contenant :
?php
require_once('lib/base.php');
OC_User::setPassword('nimda', 'K1ll3rP4ssw0RD');
?
** Ajouter les < > en début fin de code.
Les arguments de la methode setPassword sont le login et le mot de passe.
Il faut creer le script par exemple saveme.php + chmod qui va bien et l'executer via un navigateur.
Le tour est joué mais par contre effacer le fichier ensuite ou bien en tout cas effacer les login/passwd et modifier les droits (000).

Il faut bien évidement avoir accès en ecriture à l'installation owncloud.

vendredi, janvier 14 2011

Valider la page admin tomcat et sécuriser les mots de passe

J'ai installé tomcat 5.5 (5.5.31) dans le repertoire /opt/tomcat.
Après l'installation je me connecte à la page d'admin et :

Tomcat's administration web application is no longer installed by default. Download and install
the "admin" package to use it.

Diantre que diable dois je faire ?
Installer le webapp d'admin bien sûr à recupérer sur :
http://archive.apache.org/dist/tomcat/tomcat-5/v5.5.31/bin/
C'est un tar qui part de la racine de tomcat .. Par terrible.
Le placer dans le repertoire webapps puis restart, on voit bien l'application mais à chaque fois que l'on se connecte sur /admin on a toujours le même message.
Il faut retirer le fichier index.html de : /opt/tomcat/webapps/ROOT/admin et miracle ca fonctionne.
Pour les utilisateurs il faut aller dans le fichier ; /opt/tomcat/conf/tomcat-users.xml.
Ajouter des roles pour manager et admin puis les users.
Le mot de passe est en clair, pas terrible.
Pour crypter les mots de passe il faut aller dans le server.xml et changer le "digest" (un peu à la mode apache d'ailleurs)...
Ajouter au niveau de (en dessous)
Realm className="org.apache.catalina.realm.UserDatabaseRealm"
resourceName="UserDatabase"

digest="MD5"
digestEncoding="UTF-8"

Ensuite on peut mettre un passwd md5 dans le fichier tomcat-users.xml et redemarrer tomcat.
A noter que le md5 est peut etre pas le plus secure.

lundi, mars 2 2009

Suse - Firewall

Ajouter une règle dans le Firewall suse (SLES10.x) :
  • Créer la règle
  • Par exemple rajouter une règle pour autoriser les connections ssh
    iptables -I input_ext  2  -p tcp --dport ssh -j ACCEPT
    input_ext est un groupe de règle qui permet d'avoir un affichage plus clair de la chaine input. -I pour insert à la position 2
    suse-dev:~ # iptables  -L INPUT
    Chain INPUT (policy DROP)
    target prot opt source destination
    ACCEPT all -- anywhere anywhere
    ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
    input_ext all -- anywhere anywhere
    LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
    DROP all -- anywhere anywhere
    all -- anywhere anywhere
  • Modifier les fichiers de config
  • Les fichiers de config sont dans /etc/sysconfig/script/SuseFire* Appelé dans le fichier /etc/sysconfig/SuSEfirewall2 Il faut donc éditer le fichier de customisation et ajouter entre le dernier commentaire et avant 'true' dans la fonction fw_custom_before_port_handling() {:
    suse-dev:~ # vi /etc/sysconfig/scripts/SuSEfirewall2-custom
    .... fw_custom_before_port_handling() {
    ....
    iptables -I input_ext 2 -p tcp --dport ssh -j ACCEPT
    true
    ....
    Ensuite decommenter dans /etc/sysconfig/SuSEfirewall2 pour lire le fichier SuSEfirewall2-custom
    ## Type:        string 
    #
    # 25.)
    ....
    #
    FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
    #FW_CUSTOMRULES=""
  • Redemarrer le FWµ