forum.opennet.ru - "SASL2 - это вообще безопасно?" (1)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"SASL2 - это вообще безопасно?"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"SASL2 - это вообще безопасно?"
Сообщение от greeder (ok) on 08-Июн-05, 14:30 (MSK)
Постоянно натыкаюсь на истерию по поводу того, чтобы все системные демоны авторизовались через SASL. Действительно, у данной схемы есть плюсы. Решил применить эту схему и я. saslpasswd2 -c myuser Вводим пароль TesTpasswoRD. Создается файл с "базой" - /etc/sasldb Дальше делаем глупость - cat /etc/sasldb (ксати, клавиша F3 в mc делает это лучше) И вот что там лежит plaintext`ом: TesTpasswoRDmyuserhostuserPassword Права по-умолчанию на эту "базу" 640. Как я понял, обычно его владелец - cyrus, группа mail. Таким образом, вломав сервер imap или почтовик (который всегда входит в группу mail) - можно получить в plaintext все пароли. Этого никогда не случится, если пользоваться традиционной unix авторизацией (/etc/shadow), даже если злоумышленник получит uid 0 Может я чего не понял, или сконфигурировал не верно, но о какой безопасности может идти речь, при использовании SASL??? Стоит ли добавлять огромные потенциальные дыры, лишь для пользования модного метода?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

SASL2 - это вообще безопасно?, bass, 08:04 , 09-Июн-05, (1)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "SASL2 - это вообще безопасно?"

Сообщение от bass (??) on 09-Июн-05, 08:04 (MSK)

>Постоянно натыкаюсь на истерию по поводу того, чтобы все системные демоны авторизовались
>через SASL.
>Действительно, у данной схемы есть плюсы. Решил применить эту схему и я.
>
явно bsd :)
>
>saslpasswd2 -c myuser
>Вводим пароль TesTpasswoRD. Создается файл с "базой" - /etc/sasldb
>Дальше делаем глупость - cat /etc/sasldb (ксати, клавиша F3 в mc делает
>это лучше)
>И вот что там лежит plaintext`ом:
>TesTpasswoRDmyuserhostuserPassword
>
saslpasswd2 -c -n myuser?
>Права по-умолчанию на эту "базу" 640. Как я понял, обычно его владелец
>- cyrus, группа mail.
поменяйте на нужное
>Таким образом, вломав сервер imap или почтовик (который всегда входит в группу
>mail) можно получить в plaintext все пароли.
теоритически - да.
>Этого никогда не случится, если пользоваться традиционной unix авторизацией (/etc/shadow), даже если
>злоумышленник получит uid 0
>
в таком случае оставте pam и не придумывайте себе проблемы
>Может я чего не понял, или сконфигурировал не верно, но о какой
>безопасности может идти речь, при использовании SASL???
>Стоит ли добавлять огромные потенциальные дыры, лишь для пользования модного метода?

вообще почему именно вам важно использования sasldb?
вся прелесть sasl в том, что он может выступать прокладочкой до доступа к различным базам и спискам.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "SASL2 - это вообще безопасно?"
Сообщение от bass (??) on 09-Июн-05, 08:04 (MSK)
>Постоянно натыкаюсь на истерию по поводу того, чтобы все системные демоны авторизовались >через SASL. >Действительно, у данной схемы есть плюсы. Решил применить эту схему и я. > явно bsd :) > >saslpasswd2 -c myuser >Вводим пароль TesTpasswoRD. Создается файл с "базой" - /etc/sasldb >Дальше делаем глупость - cat /etc/sasldb (ксати, клавиша F3 в mc делает >это лучше) >И вот что там лежит plaintext`ом: >TesTpasswoRDmyuserhostuserPassword > saslpasswd2 -c -n myuser? >Права по-умолчанию на эту "базу" 640. Как я понял, обычно его владелец >- cyrus, группа mail. поменяйте на нужное >Таким образом, вломав сервер imap или почтовик (который всегда входит в группу >mail) можно получить в plaintext все пароли. теоритически - да. >Этого никогда не случится, если пользоваться традиционной unix авторизацией (/etc/shadow), даже если >злоумышленник получит uid 0 > в таком случае оставте pam и не придумывайте себе проблемы >Может я чего не понял, или сконфигурировал не верно, но о какой >безопасности может идти речь, при использовании SASL??? >Стоит ли добавлять огромные потенциальные дыры, лишь для пользования модного метода? вообще почему именно вам важно использования sasldb? вся прелесть sasl в том, что он может выступать прокладочкой до доступа к различным базам и спискам.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]