samba a ucty a hesla (nastavovat dvakrat?)

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Úterý Květen 15 17:47:41 CEST 2001


On Mon, 14 May 2001, Ing. Pavel PaJaSoft Janousek wrote:

> 	Bezpecnostni? Co se posle po 'Samba protokolu' je plain a co
> pres napr. SSH je bezpecne => neni od veci mit ta hesla ruzne...

Pokud uzivatele nechate, aby si pres Sambu volne zapisovali do svych
homediru, pak je to celkem jedno, protoze utocnik proste pres SMB nasadi
patricnemu uzivateli trojskeho kone...nebo treba upravi .ssh/autorized_keys
apod. a SSH ho tam pak ochotne pusti (pro ty, kteri bych chteli hned
zacit "zvysovat" bezpecnost sveho systemu zakazem RSA/DSA autentizace:
existuje spousta jinych, i kdyz treba mene pohodlnych, cest, jak zneuzit
zapis do neciho homediru).

Aby by to bylo zajimave, tak SMB sice umi nekolik variant, jak se vyhnout
prenosu plaintextovych hesel po siti, z nichz ta posledni (NTLMv2) uz
zrejme odolava jednoduchym kryptoanalytickym utokum (bravo, Microsoft!),
nicmene samotny prenos neni nijak chranen (pokud se to nepostavi nad SSL,
coz zase neni moc interoperabilni a stejne to nikdo nepouziva), cili
aktivni utocnik se muze proste napichnout na jiz otevrene spojeni a vlozit
do nej prikazy, jake bude chtit.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."



Další informace o konferenci Linux