Постоянно натыкаюсь на истерию по поводу того, чтобы все системные демоны авторизовались через SASL.
Действительно, у данной схемы есть плюсы. Решил применить эту схему и я.saslpasswd2 -c myuser
Вводим пароль TesTpasswoRD. Создается файл с "базой" - /etc/sasldb
Дальше делаем глупость - cat /etc/sasldb (ксати, клавиша F3 в mc делает это лучше)
И вот что там лежит plaintext`ом:
TesTpasswoRDmyuserhostuserPasswordПрава по-умолчанию на эту "базу" 640. Как я понял, обычно его владелец - cyrus, группа mail.
Таким образом, вломав сервер imap или почтовик (который всегда входит в группу mail) - можно получить в plaintext все пароли.
Этого никогда не случится, если пользоваться традиционной unix авторизацией (/etc/shadow), даже если злоумышленник получит uid 0Может я чего не понял, или сконфигурировал не верно, но о какой безопасности может идти речь, при использовании SASL???
Стоит ли добавлять огромные потенциальные дыры, лишь для пользования модного метода?
>Постоянно натыкаюсь на истерию по поводу того, чтобы все системные демоны авторизовались
>через SASL.
>Действительно, у данной схемы есть плюсы. Решил применить эту схему и я.
>явно bsd :)
>
>saslpasswd2 -c myuser
>Вводим пароль TesTpasswoRD. Создается файл с "базой" - /etc/sasldb
>Дальше делаем глупость - cat /etc/sasldb (ксати, клавиша F3 в mc делает
>это лучше)
>И вот что там лежит plaintext`ом:
>TesTpasswoRDmyuserhostuserPassword
>
saslpasswd2 -c -n myuser?>Права по-умолчанию на эту "базу" 640. Как я понял, обычно его владелец
>- cyrus, группа mail.поменяйте на нужное
>Таким образом, вломав сервер imap или почтовик (который всегда входит в группу
>mail) можно получить в plaintext все пароли.теоритически - да.
>Этого никогда не случится, если пользоваться традиционной unix авторизацией (/etc/shadow), даже если
>злоумышленник получит uid 0
>
в таком случае оставте pam и не придумывайте себе проблемы>Может я чего не понял, или сконфигурировал не верно, но о какой
>безопасности может идти речь, при использовании SASL???
>Стоит ли добавлять огромные потенциальные дыры, лишь для пользования модного метода?
вообще почему именно вам важно использования sasldb?
вся прелесть sasl в том, что он может выступать прокладочкой до доступа к различным базам и спискам.