Linux Log Analizi —Değiştirilebilen /etc/shadow Dosyası Üzerinden Yetki Yükseltme ve Analizi

Bu yazımızda yazılabilir /etc/shadow dosyasında hash değeri değiştirilerek , bu işlemin audit logları üzerinden tespit edilmesi sağlanmıştır.

Bu işlem için ilk olarak yeni bir kullanıcı oluşturalım.

/etc/shadow dosyasının sahibi,grubu ve diğerleri tarafından okuma ve yazma işlemlerini yapabilmesi için aşağıdaki komutu kullanalım.

#chmod 666 /etc/shadow

mkpasswd komutu kullanarak parolası password olan sha-512 algortiması aracılığıyla hash değerini hesaplayalım.

Elde etmiş hash değeri ile user kullanıcının parolasının hashini değiştirelim.

Su komutunu kullanarak user kullanıcısına geçiş yapmak istediğimizde ilk başta belirtmiş olduğumuz 12345 parolası yerine hash değerini değiştirdiğimiz password olarak belirtmiş olduğumuz parola ile başarılı bir şekilde kullanıcıyı değiştiriyoruz.

/var/log/audit/audit.log incelediğimizde mkpasswd komutunun uid değeri 1000 olan bir kullanıcı tarafından kullanılmış ve akabinde ise aynı kullanıcı nano komutu kullanılarak /etc/shadow dosyası üzerinde değişiklik yapılmıştır.