[Samba-it] Ancora check password script...

simo simo.sorce at xsec.it
Mon May 19 07:04:32 MDT 2008 

On Mon, 2008-05-19 at 13:04 +0200, Marco Gaiarin wrote:
> Riassumo.
> 
> Sto cercando di fare un qualcosa che valuti la bontà delle password,
> usando 'check password script'; il problema è che quello script:
> 
>  1) è costruito per tornare un valore vero/falso, e se è falso il
>     cambiamento password viene rifiutato
>  2) non ha nesuna informazione sull'utente che sta cambiando la
>     password.
> 
> Il razionale dei miei script è che voglio, in prima istanza, 'segnalare'
> agli utenti che la loro password fa schifo. In seconda istanza, vorrei
> modulare la durata della password in base alla sua robustezza (password
> schifosa, dura due settimane).
> 
> Sto aggirando il problema 2) eseguendo all'interno dello script un
> 'smbstatus -p' per ottenere l'utente che sta eseguendo me stesso
> (PPID), ma ho incontrato questo problema:
> 
> > Alcune volte, ma non poche, a naso il 50%, il ppid dello script 'check
> > password script' è un processo smbd (faccio un dump di ps aux per
> > verificarlo, ma di per se è anche ovvio, ci sono dentro! ;) ma non
> > risulta nell'elenco dei processi se faccio un 'smbstatus -p' (e quindi
> > non riesco a beccare l'utente).
> 
> Mi sono accorto che tutte le volte che non riesco a beccare l'utente,
> la connessione è disponibile solo su $IPC, esempio:
> 
>  Mon May 19 09:24:32 CEST 2008 3807:OK:6:no uppercase chars, no punctuation
> 
>  Samba version 3.0.24
>  PID     Username      Group         Machine                        
>  -------------------------------------------------------------------
>   3748   aleggi        assisoc       rubeus       (10.5.2.229)
>   3765   lorena        inferme       malesh       (10.5.2.79)
>   3774   giadar        riabili       ricerchina   (10.5.2.114)
> 
>  Service      pid     machine       Connected at
>  -------------------------------------------------------
>  Procedure    3748   rubeus        Mon May 19 09:18:08 2008
>  Media        3774   ricerchina    Mon May 19 09:21:22 2008
>  IPC$         3807   nicholas      Mon May 19 09:24:32 2008
>  Media        3765   malesh        Mon May 19 09:20:23 2008
> 
> L'utente che ha cambiato la pass stava usando il processo samba con PID
> 3807, che come vedete non è elencato nella prima sezione (utenti) ma
> solo nella seconda (share) associato a $IPC.
> Il pattern è assolutamente comune, tutte le password che non becco sono
> di quel tipo.
> 
> Mi chiedo se posso ovviare in qualche maniera a questa cosa, e che cosa
> differenzi i processi samba 'bloccati' in $IPC rispetto a quelli che
> 'funzionano' e mi danno l'utente.

Interessante, in teoria dovresti vedere una connessione anche nella prima sezione.
Potrebbe valere la pena aprire un baco se questa cosa succede anche in 3.0.28a/3.2.0-pre3

> Preso dalla disperazione pensavo di loggare da qualche parte
> l'informazione della macchina usata (in questo casi nicholas) e usare
> uno script in pre exec su uno share per determinare a posteriori
> l'utente.

Puo' essere una soluzione, anche se non e' detto che funzioni nel 100%
dei casi perche' il cambio password si puo' effettuare anche senza
connettersi ad alcuna share ba solo a IPC$

> Sono ancora qui che chiedo:
> 
> > Ho anche visto che se eseguo:
> > 	smbcontrol <PID> pool-usage
> > ottengo una miriade di informazoni interessanti, ma ho anche visto che
> > se lo lancio contro un processo non-samba, me lo ammazza, quindi non
> > sono molto della quale a usarlo dentro degli script.
> > Esiste qualcosa di simile ma non così invasivo? ;-)
> 
> Esiste un qualcosa che, preso un processo samba, mi sa dare tutte le
> informazioni che cerco?

Le info che legge smbstatus si trovano in un tdb, si possono legger con
un programma in C ad hoc in teoria.

Simo.

More information about the samba-it mailing list