URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2123
[ Назад ]

Исходное сообщение
"SASL2 - это вообще безопасно?"

Отправлено greeder , 08-Июн-05 14:30 
Постоянно натыкаюсь на истерию по поводу того, чтобы все системные демоны авторизовались через SASL.
Действительно, у данной схемы есть плюсы. Решил применить эту схему и я.

saslpasswd2 -c myuser
Вводим пароль TesTpasswoRD. Создается файл с "базой" - /etc/sasldb
Дальше делаем глупость - cat /etc/sasldb (ксати, клавиша F3 в mc делает это лучше)
И вот что там лежит plaintext`ом:
TesTpasswoRDmyuserhostuserPassword

Права по-умолчанию на эту "базу" 640. Как я понял, обычно его владелец - cyrus, группа mail.
Таким образом, вломав сервер imap или почтовик (который всегда входит в группу mail) - можно получить в plaintext все пароли.
Этого никогда не случится, если пользоваться традиционной unix авторизацией (/etc/shadow), даже если злоумышленник получит uid 0

Может я чего не понял, или сконфигурировал не верно, но о какой безопасности может идти речь, при использовании SASL???
Стоит ли добавлять огромные потенциальные дыры, лишь для пользования модного метода?


Содержание

Сообщения в этом обсуждении
"SASL2 - это вообще безопасно?"
Отправлено bass , 09-Июн-05 08:04 
>Постоянно натыкаюсь на истерию по поводу того, чтобы все системные демоны авторизовались
>через SASL.
>Действительно, у данной схемы есть плюсы. Решил применить эту схему и я.
>

явно bsd :)

>
>saslpasswd2 -c myuser
>Вводим пароль TesTpasswoRD. Создается файл с "базой" - /etc/sasldb
>Дальше делаем глупость - cat /etc/sasldb (ксати, клавиша F3 в mc делает
>это лучше)
>И вот что там лежит plaintext`ом:
>TesTpasswoRDmyuserhostuserPassword
>
saslpasswd2 -c -n myuser?

>Права по-умолчанию на эту "базу" 640. Как я понял, обычно его владелец
>- cyrus, группа mail.

поменяйте на нужное

>Таким образом, вломав сервер imap или почтовик (который всегда входит в группу
>mail)  можно получить в plaintext все пароли.

теоритически - да.

>Этого никогда не случится, если пользоваться традиционной unix авторизацией (/etc/shadow), даже если
>злоумышленник получит uid 0
>
в таком случае оставте pam и не придумывайте себе проблемы

>Может я чего не понял, или сконфигурировал не верно, но о какой
>безопасности может идти речь, при использовании SASL???
>Стоит ли добавлять огромные потенциальные дыры, лишь для пользования модного метода?


вообще почему именно вам важно использования sasldb?
вся прелесть sasl в том, что он может выступать прокладочкой до доступа к различным базам и спискам.