| View previous topic :: View next topic |
| Author |
Message |
y351
Apprentice
Joined: 21 May 2017
Posts: 202
|
 Posted: Thu Dec 27, 2018 3:25 pm Post subject: [smbpasswd]-Erreur de 'chgmt' de mot de passe d'AD[Résolu] |
 |
|
Bonjour,
Ma station n'est pas intégrée pas au domaine géré par l'Active Directory (AD).
Mais normalement, je devrais pouvoir changer le mot de passe du compte dun utilisateur en utilisant la commande :
| Code: |
smbpasswd -r server_addr -U toto
|
Mais voici l'erreur que j'obtiens :
| Quote: |
Can't load /etc/samba/smb.conf - run testparm to debug it
|
Ma station ne fait pas de serveur...
| Quote: |
[I] net-fs/samba
Available versions: 4.5.16^t{tbz2} ~4.7.12^t 4.8.6-r2^t{tbz2} ~4.8.7^t ~4.8.8^t ~4.9.3^t {acl addc addns ads ceph client cluster cups debug dmapi fam gnutls gpg iprint json ldap pam python quota selinux syslog system-heimdal +system-mitkrb5 systemd test winbind zeroconf ABI_MIPS="n32 n64 o32" ABI_PPC="32 64" ABI_S390="32 64" ABI_X86="32 64 x32" KERNEL="linux" PYTHON_TARGETS="python2_7"}
Installed versions: 4.8.6-r2^t{tbz2}(15:07:22 11/28/1 (acl client gnutls pam python selinux system-mitkrb5 -addc -addns -ads -ceph -cluster -cups -debug -dmapi -fam -gpg -iprint -ldap -quota -syslog -system-heimdal -systemd -test -winbind -zeroconf ABI_MIPS="-n32 -n64 -o32" ABI_PPC="-32 -64" ABI_S390="-32 -64" ABI_X86="64 -32 -x32" KERNEL="linux" PYTHON_TARGETS="python2_7")
Homepage: https://www.samba.org/
Description: Samba Suite Version 4
|
| Quote: |
tree /etc/samba/
/etc/samba/
`-- smb.conf.default
0 directories, 1 file
|
| Quote: |
Portage 2.3.51 (python 3.6.5-final-0, default/linux/amd64/17.0/hardened/selinux, gcc-7.3.0, glibc-2.27-r6, 4.14.83-gentoo x86_64)
=================================================================
System uname: Linux-4.14.83-gentoo-x86_64-Intel-R-_Core-TM-_i7-5557U_CPU_@_3.10GHz-with-gentoo-2.6
KiB Mem: 16275416 total, 10257536 free
KiB Swap: 8388604 total, 8388604 free
Timestamp of repository gentoo: Thu, 27 Dec 2018 00:45:01 +0000
Head commit of repository gentoo: 455421376127a35d53d5b0c3ee781b0815ac8aed
sh bash 4.4_p12
ld GNU ld (Gentoo 2.30 p5) 2.30.0
ccache version 3.3.4 [enabled]
app-shells/bash: 4.4_p12::gentoo
dev-java/java-config: 2.2.0-r4::gentoo
dev-lang/perl: 5.24.3-r1::gentoo
dev-lang/python: 2.7.15::gentoo, 3.6.5::gentoo
dev-util/ccache: 3.3.4-r1::gentoo
dev-util/cmake: 3.9.6::gentoo
dev-util/pkgconfig: 0.29.2::gentoo
sys-apps/baselayout: 2.6-r1::gentoo
sys-apps/openrc: 0.38.3-r1::gentoo
sys-apps/sandbox: 2.13::gentoo
sys-devel/autoconf: 2.13-r1::gentoo, 2.69-r4::gentoo
sys-devel/automake: 1.11.6-r3::gentoo, 1.16.1-r1::gentoo
sys-devel/binutils: 2.30-r4::gentoo
sys-devel/gcc: 7.3.0-r3::gentoo
sys-devel/gcc-config: 2.0::gentoo
sys-devel/libtool: 2.4.6-r3::gentoo
sys-devel/make: 4.2.1-r4::gentoo
sys-kernel/linux-headers: 4.14-r1::gentoo (virtual/os-headers)
sys-libs/glibc: 2.27-r6::gentoo
Repositories:
gentoo
location: /usr/portage
sync-type: rsync
sync-uri: rsync://rsync.gentoo.org/gentoo-portage
priority: -1000
sync-rsync-extra-opts:
sync-rsync-verify-max-age: 24
sync-rsync-verify-jobs: 1
sync-rsync-verify-metamanifest: yes
local
location: /usr/local/portage
masters: gentoo
priority: 10
ACCEPT_KEYWORDS="amd64"
ACCEPT_LICENSE="* -@EULA"
CBUILD="x86_64-pc-linux-gnu"
CFLAGS="-march=native -O2 -fforce-addr -pipe"
CHOST="x86_64-pc-linux-gnu"
CONFIG_PROTECT="/etc /usr/share/gnupg/qualified.txt"
CONFIG_PROTECT_MASK="/etc/ca-certificates.conf /etc/dconf /etc/env.d /etc/fonts/fonts.conf /etc/gconf /etc/gentoo-release /etc/revdep-rebuild /etc/sandbox.d /etc/terminfo"
CXXFLAGS="-march=native -O2 -fforce-addr -pipe"
DISTDIR="/usr/portage/distfiles"
EMERGE_DEFAULT_OPTS="--jobs=4 --load-average=4.0 --keep-going=y --with-bdeps=y --complete-graph"
ENV_UNSET="DBUS_SESSION_BUS_ADDRESS DISPLAY GOBIN PERL5LIB PERL5OPT PERLPREFIX PERL_CORE PERL_MB_OPT PERL_MM_OPT XAUTHORITY XDG_CACHE_HOME XDG_CONFIG_HOME XDG_DATA_HOME XDG_RUNTIME_DIR"
FCFLAGS="-O2 -pipe"
FEATURES="assume-digests binpkg-logs buildpkg ccache config-protect-if-modified distlocks ebuild-locks fixlafiles merge-sync multilib-strict news parallel-fetch parallel-install preserve-libs protect-owned sandbox selinux sesandbox sfperms strict unknown-features-warn unmerge-logs unmerge-orphans userfetch userpriv usersandbox usersync xattr"
FFLAGS="-O2 -pipe"
GENTOO_MIRRORS="http://miroir.local/gentoo/"
LANG="C"
LC_ALL="C"
LDFLAGS="-Wl,-O1 -Wl,--as-needed"
MAKEOPTS="-j5"
PKGDIR="/usr/portage/packages"
PORTAGE_CONFIGROOT="/"
PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times --omit-dir-times --compress --force --whole-file --delete --stats --human-readable --timeout=180 --exclude=/distfiles --exclude=/local --exclude=/packages --exclude=/.git"
PORTAGE_TMPDIR="/var/tmp"
USE="X acl amd64 bindist branding bzip2 chroot consolekit crypt cryptsetup cxx ffmpeg gnutls hardened iconv icu ipv6 jpeg libtirpc logrotate lzma mmx modplug multilib ncurses nls nptl opengl openmp pam pax_kernel pcre perl pic pie png python readline seccomp secure_delete selinux snmp sse sse2 ssl ssp symlink tcpd unicode wavpack webrsync-gpg xattr xml xtpax zlib" ABI_X86="64" ALSA_CARDS="ali5451 als4000 atiixp atiixp-modem bt87x ca0106 cmipci emu10k1x ens1370 ens1371 es1938 es1968 fm801 hda-intel intel8x0 intel8x0m maestro3 trident usb-audio via82xx via82xx-modem ymfpci" APACHE2_MODULES="authn_core authz_core socache_shmcb unixd actions alias auth_basic authn_alias authn_anon authn_dbm authn_default authn_file authz_dbm authz_default authz_groupfile authz_host authz_owner authz_user autoindex cache cgi cgid dav dav_fs dav_lock deflate dir disk_cache env expires ext_filter file_cache filter headers include info log_config logio mem_cache mime mime_magic negotiation rewrite setenvif speling status unique_id userdir usertrack vhost_alias" CALLIGRA_FEATURES="karbon plan sheets stage words" COLLECTD_PLUGINS="load memory syslog" CPU_FLAGS_X86="aes avx avx2 f16c fma3 mmx mmxext pclmul popcnt sse sse2 sse3 sse4_1 sse4_2 ssse3" ELIBC="glibc" GPSD_PROTOCOLS="ashtech aivdm earthmate evermore fv18 garmin garmintxt gpsclock isync itrax mtk3301 nmea ntrip navcom oceanserver oldstyle oncore rtcm104v2 rtcm104v3 sirf skytraq superstar2 timing tsip tripmate tnt ublox ubx" GRUB_PLATFORMS="efi-64" INPUT_DEVICES="evdev keyboard mouse" KERNEL="linux" LCD_DEVICES="bayrad cfontz cfontz633 glk hd44780 lb216 lcdm001 mtxorb ncurses text" LIBREOFFICE_EXTENSIONS="presenter-console presenter-minimizer" OFFICE_IMPLEMENTATION="libreoffice" PHP_TARGETS="php5-6 php7-1" POSTGRES_TARGETS="postgres9_5 postgres10" PYTHON_SINGLE_TARGET="python3_6" PYTHON_TARGETS="python2_7 python3_6" RUBY_TARGETS="ruby23 ruby24" USERLAND="GNU" VIDEO_CARDS="intel i915" XTABLES_ADDONS="quota2 psd pknock lscan length2 ipv4options ipset ipp2p iface geoip fuzzy condition tee tarpit sysrq steal rawnat logmark ipmark dhcpmac delude chaos account"
Unset: CC, CPPFLAGS, CTARGET, CXX, INSTALL_MASK, LINGUAS, PORTAGE_BINHOST, PORTAGE_BUNZIP2_COMMAND, PORTAGE_COMPRESS, PORTAGE_COMPRESS_FLAGS, PORTAGE_RSYNC_EXTRA_OPTS
|
Merci d'avance pour vos retours.
Last edited by y351 on Mon Feb 03, 2020 4:29 pm; edited 2 times in total |
|
| Back to top |
|
 |
El_Goretto
Moderator
Joined: 29 May 2004
Posts: 3174
Location: Paris
|
| Posted: Fri Dec 28, 2018 8:22 pm Post subject: |
|
|
Je n'ai jamais joué avec AD, mais à vue de nez il y a une erreur de syntaxe dans le fichier de config indiqué. Tu as lancé la commande citée, j'imagine?
C'est un grand classique, les commandes qui sourcent au préaalable un fichier de config qui doit être fonctionnel avant de pouvoir faire quoi que ce soit.
_________________
-TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
| Back to top |
|
|
y351
Apprentice
Joined: 21 May 2017
Posts: 202
|
| Posted: Mon Dec 31, 2018 9:58 am Post subject: |
|
|
La station ne fait pas office de serveur Samba.
Pourquoi la commande irait-elle solliciter un fichier de conf à destination d'une config de serveur samba ?
Cela me surprend.
J'ai essayé de jouer avec des flags mais ça n'a rien donné...
A noter que sur quelques autres distrib déjà essayées, cela ne pose pas de problème. |
|
| Back to top |
|
|
El_Goretto
Moderator
Joined: 29 May 2004
Posts: 3174
Location: Paris
|
| Posted: Mon Dec 31, 2018 12:30 pm Post subject: |
|
|
| y351 wrote: | La station ne fait pas office de serveur Samba.
Pourquoi la commande irait-elle solliciter un fichier de conf à destination d'une config de serveur samba ?
Cela me surprend.
J'ai essayé de jouer avec des flags mais ça n'a rien donné...
A noter que sur quelques autres distrib déjà essayées, cela ne pose pas de problème. |
"Pourquoi?" 
Et pourquoi pas, alors? Doc:
| Quote: |
The smb.conf file is a configuration file for the Samba suite. smb.conf contains runtime configuration information for the Samba programs
|
Différentes distros = différentes versions de samba et différents contenus de smb.conf.
Tu peux faire mumuse avec les useflags autant que tu veux, tu as un "pain" dans ton fichier de conf, c'est samba qui ne dit.
_________________
-TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
| Back to top |
|
|
y351
Apprentice
Joined: 21 May 2017
Posts: 202
|
| Posted: Wed Jan 02, 2019 10:43 am Post subject: |
|
|
J'avais déjà généré ce fichier puis j'avais réessayé en tant que simple utilisateur, mais cela n'avait pas marché, malgré les droits 0644 de /etc/samba/smb.conf
Je n'avais pas essayé en tant que root après création.
En résumé, générer ce fichier vide, puis relancer la commande avec les droits superutilisateur a marché.
NB: Je suis en Hardening, je n'ai pas vu de blocage au niveau des logs lors du lancement de la commande en simple utilisateur. Cela m'embête de lancer la commande en tant que root ou avec un sudo sans password. |
|
| Back to top |
|
|
Syl20
l33t
Joined: 04 Aug 2005
Posts: 621
Location: France
|
| Posted: Thu Jan 03, 2019 5:31 pm Post subject: |
|
|
Si je comprends bien, tu es capable de changer le mot de passe d'un utilisateur AD... depuis une station qui n'est pas dans l'AD ?!? 
Et tu voudrais qu'en plus n'importe quel utilisateur local de ta station, privilégié ou non, puisse aussi le faire ? Tu ne trouves pas que ça ressemble un peu trop à une faille de sécurité ?
Attention, smb.conf ne sert pas que pour le démon smbd. Il sert aussi pour winbind, qui permet entre autres d'ouvrir une session locale avec un compte utilisateur AD. |
|
| Back to top |
|
|
y351
Apprentice
Joined: 21 May 2017
Posts: 202
|
| Posted: Fri Jan 04, 2019 10:53 am Post subject: |
|
|
Lors d'un changement de mot de passe AD, le serveur demande l'ancien mot de passe avant de permettre un nouveau.
Il ne devrait pas être nécressaire de monter en privilège pour changer un mot de passe d'un quelconque compte distant AD. |
|
| Back to top |
|
|
y351
Apprentice
Joined: 21 May 2017
Posts: 202
|
| Posted: Fri Jan 04, 2019 10:57 am Post subject: |
|
|
| Par contre, si tu vois un trou de sécurité dans le process, je voudrais que tu partages ton analyse. |
|
| Back to top |
|
|
Syl20
l33t
Joined: 04 Aug 2005
Posts: 621
Location: France
|
| Posted: Fri Jan 11, 2019 5:41 pm Post subject: |
|
|
C'est simple. En environnement "entreprise", si n'importe quelle babasse peut être utilisée pour s'authentifier ou changer un mot de passe sur un AD, rien n'empêche un parfait inconnu d'introduire dans l'infrastructure une ou plusieurs stations... disons... "fait-maison". Avec quelques petits logiciels sympathiques installés dessus. Dont un keylogger, évidemment. Les admins AD ne maîtrisent rien, et ne verront rien.
Et si ça marche depuis une station linux plus ou moins bien configurée, n'importe quel utilisateur de l'AD est capable d'ouvrir une session dessus, et peut-être même d'élever indûment ses privilèges. Là, non seulement tu ne maitrises plus rien, mais en plus, tu deviens responsable/coupable d'une compromission de l'infrastructure.
Bref, j'espère que tu fais tout ça chez toi, sur un AD qui t'appartient, ou sur une maquette déconnectée de la prod. |
|
| Back to top |
|
|
y351
Apprentice
Joined: 21 May 2017
Posts: 202
|
| Posted: Mon Jan 14, 2019 10:28 am Post subject: |
|
|
Je comprends le contexte d'un attaquant potentiel.
Il faudrait quand même plusieurs paramètres pour que cela aboutisse :
- être un externe qui serait déjà arrivé à entrer dans les locaux
- arriver à faire entrer la machine dans l'entreprise
- dupliquer le template d'accueil d'une machine de l'entreprise
- placer la machine dans un bureau libre ou remplacer une machine existant
- sans la mettre sur le réseau, car sinon elle serait détectée immédiatement s'il y a des systèmes d'authen, de repérage
- le fait qu'une machine de travail ne soit pas dans le réseau, alors qu'il devrait l'être, on alerterait immédiatement le Support qui va fouiller en profondeur sur son origine dans l'inventaire, regarder l'antivirus etc...
- si c'est un interne, il faudrait qu'il cible un admin, et ce n'est pas gagné pour qu'un admin change son mot de passe sur une station étrangère que la sienne
- ... |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
French
