[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: nfs e sudo: furo de segurança???

Pra mim o problema tá no sudo. Sudo eh coisa do diabo, tira ele dos
seus clientes.


On Wed, 02 Mar 2005 17:08:29 -0300, Marcos Vinicius Lazarini
<lazarini@nics.unicamp.br> wrote:
> André Carezia wrote:
> 
> > Marcos Vinicius Lazarini wrote:
> >
> >
> >>André Carezia wrote:
> >>
> >>
> >>>Thadeu Penna wrote:
> >>>
> >>>
> >>>
> >>>>Do NFS Administration Guide da Sun
> >>>>
> >>>>http://docs.sun.com/app/docs/doc/802-1963/6i5v8k26q?a=view
> >>>
> >>>
> >>>
> >>>Agora ficou interessante. A senha do usuário (que não está disponível
> >>>via "su") é usada como parte do processo de embaralhamento e
> >>>desembaralhamento de cada pacote RPC.
> >>>
> >>>Mas eu suponho que o Kerberos seja um concorrente à altura. Se for, é
> >>>aberto e com implementação para Linux. O pacote Debian
> >>>"kernel-image-2.6.8-2-686" vem com os módulos "auth_rpcgss" e
> >>>"rpcsec_gss_krb5":
> >>>
> >>>http://www.citi.umich.edu/projects/nfsv4/linux/
> >>>http://packages.debian.org/testing/base/kernel-image-2.6.8-2-686
> >>
> >>
> >>A unica crítica do kerberos é que as senhas precisam ficar arquivadas
> >>_em claro_ no servidor; ou seja, qquer pessoa com acesso root na
> >>máquina conseguirá todas as senhas instantaneamente.
> >
> >
> > O FAQ do Kerberos diz que o que é armazenado é uma chave DES derivada da
> > senha:
> > http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#pwconvert
> 
> Bom, mas o mesmo FAQ fala mais ou menos o que eu disse:
> http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#weakness
> 
> [...]
> Kerberos uses a principal's password (encryption key) as the fundamental
> proof of identity. If a user's Kerberos password is stolen by an attacker,
> then the attacker can impersonate that user with impunity.
> Since the KDC holds all of the passwords for all of the principals in a
> realm, if host security on the KDC is compromised, then the entire realm is
> compromised.
> [...]
> KDC = The term "Kerberos server" generally refers to the Key Distribution
> Center, or the KDC for short.
> 
> Então, apesar de ser derivada do DES, ainda há algum problema. Eu lembro que
> por construção, o kerberos tinha essa característica. Mas são tantos
> tiquetes e outras coisas q andam pra cima e pra baixo que eu não me lembro
> mais os detalhes. É, na verdade, não são só os detalhes que eu não lembro,
> mas esse 'problema' do kerberos isso eu lembro!! :-)
> 
> --
> Marcos
> 
> 
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> 
>
Reply to: