overeni hesla obycejnym uzivatelem
David Rohleder
davro na ics.muni.cz
Úterý Leden 12 10:46:58 CET 1999
peak na kerberos.troja.mff.cuni.cz (Pavel Kankovsky) writes:
> On Mon, 11 Jan 1999, David Trcka wrote:
> to neni dobry napad, protoze parametry jsou videt pres /proc
>
> pokud staci, aby si uzivatel mohl overit VLASTNI heslo, pak doporucuji
> pozornosti PAM a jeho modul pam_pwdb, kteryzto obsahuje program
> pwdb_chkpwd, ktery prave toto umoznuje (ale pouzivat ho primo je krajne
> nesystemove)
>
Kdyz uz se bavime o PAM, tak tady by bylo reseni:
Hesla udrzovat v nejake databazi a autentizace pres POP3 nebo IMAP by
se provadela dotazem do databaze pres modul PAM.
Zmena hesla by byl take dotaz do databaze.
Bezpecnost: do databaze by meli pristup dva databazovi uzivatele: ten, ktery
overuje hesla (checkuser) a uzivatel, ktery hesla meni (changeuser).
Pro spojeni do databaze pres www by se pouzil jeden uzivatel, pro
kontrolu pres PAM jiny uzivatel s jinymi pravy.
Nemam to sice presne rozmyslene, ale myslim, ze by to slo.
Dalsi reseni problemu s /etc/shadow: specialni skupina pro soubor
/etc/shadow, ve ktere je uzivatel ctouci hesla (musi byt odlisny od
uzivatele, pod kterym bezi www), ktera ma povoleno cteni.
Tady se musi ovsem postupovat velmi obezretne.
Dalsi reseni pro PAM: napsat SUID program, ktery se pouze odtazuje PAM
na autentizaci, data od uzivatele prijima na standardnim vstupu, aby
nesly videt parametry (nerika se tomu metoda POST?). Takovy program by
nemel byt moc dlouhy, takze by se v nem melo udelat potencialne malo
chyb :-)
> --Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
> "NSA GCHQ KGB CIA nuclear conspiration war weapon spy agent... Hi Echelon!"
>
--
-------------------------------------------------------------------------
David Rohleder davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
Další informace o konferenci Linux