André Carezia wrote:
Marcos Vinicius Lazarini wrote:André Carezia wrote:Thadeu Penna wrote:Do NFS Administration Guide da Sun http://docs.sun.com/app/docs/doc/802-1963/6i5v8k26q?a=viewAgora ficou interessante. A senha do usuário (que não está disponível via "su") é usada como parte do processo de embaralhamento e desembaralhamento de cada pacote RPC. Mas eu suponho que o Kerberos seja um concorrente à altura. Se for, é aberto e com implementação para Linux. O pacote Debian "kernel-image-2.6.8-2-686" vem com os módulos "auth_rpcgss" e "rpcsec_gss_krb5": http://www.citi.umich.edu/projects/nfsv4/linux/ http://packages.debian.org/testing/base/kernel-image-2.6.8-2-686A unica crítica do kerberos é que as senhas precisam ficar arquivadas _em claro_ no servidor; ou seja, qquer pessoa com acesso root na máquina conseguirá todas as senhas instantaneamente.O FAQ do Kerberos diz que o que é armazenado é uma chave DES derivada da senha: http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#pwconvert
Bom, mas o mesmo FAQ fala mais ou menos o que eu disse: http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#weakness [...]Kerberos uses a principal's password (encryption key) as the fundamental proof of identity. If a user's Kerberos password is stolen by an attacker, then the attacker can impersonate that user with impunity. Since the KDC holds all of the passwords for all of the principals in a realm, if host security on the KDC is compromised, then the entire realm is compromised.
[...]KDC = The term "Kerberos server" generally refers to the Key Distribution Center, or the KDC for short.
Então, apesar de ser derivada do DES, ainda há algum problema. Eu lembro que por construção, o kerberos tinha essa característica. Mas são tantos tiquetes e outras coisas q andam pra cima e pra baixo que eu não me lembro mais os detalhes. É, na verdade, não são só os detalhes que eu não lembro, mas esse 'problema' do kerberos isso eu lembro!! :-)
-- Marcos