subject:"mount.cifs и хранение пароля"


28.05.2011 08:41, Stanislav Maslovski пишет:

On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote:

Хранение бэкапов организовано на Widows сервере. Шара монтируется скриптом 
строчкой на подобии:
  mount.cifs //server/share /mnt/server -o 
iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL
Не нравится, что пароли в открытом текстовом виде. Возможно ли при монтировании получать 
их из какого-нибудь закрытого зашифрованного источника?

Чтобы зашифрованный пароль расшифровать, потребуется другой пароль
или ключ, и т.д.
Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь при 
авторизации на windows-сервере, насколько я знаю, используется хеш?


mount.cifs так не умеет - разработчики samba считают, что 
credentials=/root/.smbpass - достаточно хорошо ;)



Возможно, существуют патчи, реализующие авторизацию по хешу, но я не нашел.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4de3495a.80...@gmail.com

Re: mount.cifs и хранение пароля

2011/5/30 Igor Chumak ichumak2...@gmail.com:
 28.05.2011 08:41, Stanislav Maslovski пишет:

 On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote:

 Хранение бэкапов организовано на Widows сервере. Шара монтируется
 скриптом строчкой на подобии:
  mount.cifs //server/share /mnt/server -o
 iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL
 Не нравится, что пароли в открытом текстовом виде. Возможно ли при
 монтировании получать их из какого-нибудь закрытого зашифрованного
 источника?

 Чтобы зашифрованный пароль расшифровать, потребуется другой пароль
 или ключ, и т.д.

 Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь при
 авторизации на windows-сервере, насколько я знаю, используется хеш?

если для авторизации достаточно наличия хэша, то чем же хранение этого
хэша будет отличаться от хранения пароля (с точки зрения
безопасности)?

-- 
wbr, alexander barakin aka sash-kan.

Re: mount.cifs и хранение пароля


30.05.2011 11:02, alexander barakin пишет:

2011/5/30 Igor Chumakichumak2...@gmail.com:

28.05.2011 08:41, Stanislav Maslovski пишет:

On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote:

Хранение бэкапов организовано на Widows сервере. Шара монтируется
скриптом строчкой на подобии:
  mount.cifs //server/share /mnt/server -o
iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL
Не нравится, что пароли в открытом текстовом виде. Возможно ли при
монтировании получать их из какого-нибудь закрытого зашифрованного
источника?

Чтобы зашифрованный пароль расшифровать, потребуется другой пароль
или ключ, и т.д.

Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь при
авторизации на windows-сервере, насколько я знаю, используется хеш?

если для авторизации достаточно наличия хэша, то чем же хранение этого
хэша будет отличаться от хранения пароля (с точки зрения
безопасности)?


Пароль по хешу восстановить тяжело.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4de3522f.7000...@gmail.com

Re: mount.cifs и хранение пароля

2011/5/30 Igor Chumak ichumak2...@gmail.com:
 30.05.2011 11:02, alexander barakin пишет:

 2011/5/30 Igor Chumakichumak2...@gmail.com:

 28.05.2011 08:41, Stanislav Maslovski пишет:

 On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote:

 Хранение бэкапов организовано на Widows сервере. Шара монтируется
 скриптом строчкой на подобии:
  mount.cifs //server/share /mnt/server -o
 iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL
 Не нравится, что пароли в открытом текстовом виде. Возможно ли при
 монтировании получать их из какого-нибудь закрытого зашифрованного
 источника?

 Чтобы зашифрованный пароль расшифровать, потребуется другой пароль
 или ключ, и т.д.

 Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь при
 авторизации на windows-сервере, насколько я знаю, используется хеш?

 если для авторизации достаточно наличия хэша, то чем же хранение этого
 хэша будет отличаться от хранения пароля (с точки зрения
 безопасности)?

 Пароль по хешу восстановить тяжело.

ну так зачем восстанавливать, если и так (допустим) можно авторизоваться?

-- 
wbr, alexander barakin aka sash-kan.

Re: mount.cifs и хранение пароля


30.05.2011 11:22, alexander barakin пишет:

2011/5/30 Igor Chumakichumak2...@gmail.com:

30.05.2011 11:02, alexander barakin пишет:

2011/5/30 Igor Chumakichumak2...@gmail.com:

28.05.2011 08:41, Stanislav Maslovski пишет:

On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote:

Хранение бэкапов организовано на Widows сервере. Шара монтируется
скриптом строчкой на подобии:
  mount.cifs //server/share /mnt/server -o
iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL
Не нравится, что пароли в открытом текстовом виде. Возможно ли при
монтировании получать их из какого-нибудь закрытого зашифрованного
источника?

Чтобы зашифрованный пароль расшифровать, потребуется другой пароль
или ключ, и т.д.

Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь при
авторизации на windows-сервере, насколько я знаю, используется хеш?

если для авторизации достаточно наличия хэша, то чем же хранение этого
хэша будет отличаться от хранения пароля (с точки зрения
безопасности)?


Пароль по хешу восстановить тяжело.

ну так зачем восстанавливать, если и так (допустим) можно авторизоваться?


mount.cifs требует ПАРОЛЬ
net use в windows требует ПАРОЛЬ
Так что для _стандартных_ способов авторизации знание хеша бесполезно.


Со стороны samba-сервера с авторизацией по LDAP, в каталоге хранятся 
некие sambaLMPassword и sambaNTPassword - подозреваю, что клиенту этого 
тоже должно быть достаточно.
И если верить http://en.wikipedia.org/wiki/NTLM, для авторизации таки 
достаточно хеша.



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4de35885.4050...@gmail.com

Re: mount.cifs и хранение пароля

2011-05-30 Пенетрантность Alexander Galanin

2011/5/30 Igor Chumak ichumak2...@gmail.com:
 30.05.2011 11:22, alexander barakin пишет:

 2011/5/30 Igor Chumakichumak2...@gmail.com:

 30.05.2011 11:02, alexander barakin пишет:

 2011/5/30 Igor Chumakichumak2...@gmail.com:

 28.05.2011 08:41, Stanislav Maslovski пишет:

 On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote:

 Хранение бэкапов организовано на Widows сервере. Шара монтируется
 скриптом строчкой на подобии:
  mount.cifs //server/share /mnt/server -o
 iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL
 Не нравится, что пароли в открытом текстовом виде. Возможно ли при
 монтировании получать их из какого-нибудь закрытого зашифрованного
 источника?

 Чтобы зашифрованный пароль расшифровать, потребуется другой пароль
 или ключ, и т.д.

 Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь
 при
 авторизации на windows-сервере, насколько я знаю, используется хеш?

 если для авторизации достаточно наличия хэша, то чем же хранение этого
 хэша будет отличаться от хранения пароля (с точки зрения
 безопасности)?

 Пароль по хешу восстановить тяжело.

 ну так зачем восстанавливать, если и так (допустим) можно авторизоваться?

 mount.cifs требует ПАРОЛЬ
 net use в windows требует ПАРОЛЬ
 Так что для _стандартных_ способов авторизации знание хеша бесполезно.


 Со стороны samba-сервера с авторизацией по LDAP, в каталоге хранятся некие
 sambaLMPassword и sambaNTPassword - подозреваю, что клиенту этого тоже
 должно быть достаточно.
 И если верить http://en.wikipedia.org/wiki/NTLM, для авторизации таки
 достаточно хеша.

ок. хоть как-то, но авторизоваться с помощью хэша, допустим, можно.
перечитываем первое письмо в треде:

 Возможно ли при монтировании получать их из какого-нибудь закрытого 
 зашифрованного источника?

и понимаем, что хранение хэша вместо пароля никаким образом не
является ответом на этот вопрос.
даже если научить mount.cifs пользоваться хэшем, а не паролем, вся
разница будет лишь в содержимом сохраняемой информации. но сама
информация (пароль или его хэш) так и будет храниться в открытом виде.

-- 
wbr, alexander barakin aka sash-kan.

Re: mount.cifs и хранение пароля

On Mon, 30 May 2011 11:42:45 +0300
Igor Chumak ichumak2...@gmail.com wrote:

 Со стороны samba-сервера с авторизацией по LDAP, в каталоге хранятся 
 некие sambaLMPassword и sambaNTPassword - подозреваю, что клиенту этого 
 тоже должно быть достаточно.
 И если верить http://en.wikipedia.org/wiki/NTLM, для авторизации таки 
 достаточно хеша.

Надо читать чуть внимательнее. По сети передаётся только хеш, на сервере
также проверяется только хеш, но для генерации ответа от клиента нужен
пароль.

-- 
Alexander Galanin


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20110530125522.aae48dd9...@galanin.nnov.ru

Re: mount.cifs и хранение пароля


30.05.2011 11:55, Alexander Galanin пишет:

On Mon, 30 May 2011 11:42:45 +0300
Igor Chumakichumak2...@gmail.com  wrote:


Со стороны samba-сервера с авторизацией по LDAP, в каталоге хранятся
некие sambaLMPassword и sambaNTPassword - подозреваю, что клиенту этого
тоже должно быть достаточно.
И если верить http://en.wikipedia.org/wiki/NTLM, для авторизации таки
достаточно хеша.

Надо читать чуть внимательнее. По сети передаётся только хеш, на сервере
также проверяется только хеш, но для генерации ответа от клиента нужен
пароль.


:(
Посыпаю голову пеплом


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4de364b1.4000...@gmail.com

Re: mount.cifs и хранение пароля


30.05.2011 11:57, alexander barakin пишет:

2011/5/30 Igor Chumakichumak2...@gmail.com:

30.05.2011 11:22, alexander barakin пишет:

2011/5/30 Igor Chumakichumak2...@gmail.com:

30.05.2011 11:02, alexander barakin пишет:

2011/5/30 Igor Chumakichumak2...@gmail.com:

28.05.2011 08:41, Stanislav Maslovski пишет:

On Wed, May 25, 2011 at 03:04:22PM +, Evgeniy Vidyakov wrote:

Хранение бэкапов организовано на Widows сервере. Шара монтируется
скриптом строчкой на подобии:
  mount.cifs //server/share /mnt/server -o
iocharset=utf8,credentials=/root/.smbpass,dom=DOMAIN.LOCAL
Не нравится, что пароли в открытом текстовом виде. Возможно ли при
монтировании получать их из какого-нибудь закрытого зашифрованного
источника?

Чтобы зашифрованный пароль расшифровать, потребуется другой пароль
или ключ, и т.д.

Это понятно. А нет ли возможности хранить не пароль, а его хеш, ведь
при
авторизации на windows-сервере, насколько я знаю, используется хеш?

если для авторизации достаточно наличия хэша, то чем же хранение этого
хэша будет отличаться от хранения пароля (с точки зрения
безопасности)?


Пароль по хешу восстановить тяжело.

ну так зачем восстанавливать, если и так (допустим) можно авторизоваться?


mount.cifs требует ПАРОЛЬ
net use в windows требует ПАРОЛЬ
Так что для _стандартных_ способов авторизации знание хеша бесполезно.


Со стороны samba-сервера с авторизацией по LDAP, в каталоге хранятся некие
sambaLMPassword и sambaNTPassword - подозреваю, что клиенту этого тоже
должно быть достаточно.
И если верить http://en.wikipedia.org/wiki/NTLM, для авторизации таки
достаточно хеша.

ок. хоть как-то, но авторизоваться с помощью хэша, допустим, можно.
перечитываем первое письмо в треде:


Возможно ли при монтировании получать их из какого-нибудь закрытого 
зашифрованного источника?

и понимаем, что хранение хэша вместо пароля никаким образом не
является ответом на этот вопрос.
даже если научить mount.cifs пользоваться хэшем, а не паролем, вся
разница будет лишь в содержимом сохраняемой информации. но сама
информация (пароль или его хэш) так и будет храниться в открытом виде.

Как уже сообщили, пароль для авторизации клиенту все равно нужен, так 
что фантазии насчет хеша остаются фантазиями. ;)


Тогда можно сделать например так:
1. патчить mount.cifs на предмет того, что пароль в файле указанном в  
credentials , зашифрован неким ключом
2. сделать тулзовину make_credentials, которая будет шифровать этим 
самым ключом поле с паролем.



Наиболее правильно, ИМХО, было правильно генерировать ключ случайным 
образом на этапе компиляции samba - тогда ключ окажется идентичным и в 
mount.cifs и в make_credentials. Удалить исходники после установки - и 
можно считать, что хранилище паролей достаточно надежно.


Естествено, надо позаботиться о том, чтобы ключ дизассемблировать было 
неудобно ;).



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4de36a98.1060...@gmail.com

Re: mount.cifs и хранение пароля


30.05.2011 13:27, Konstantin Matyukhin пишет:

Если шифровать credentials с ключом, то этот ключ надо где-то хранить,
чтобы в момент загрузки
его использовать. Т.о. задача сводится к предыдущей. За что боролись?

Вот я и предлагаю: ключ генерировать на этапе компиляции samba, хранить 
непосредственно в исполняемом файле mount.cifs.



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4de3738c.4040...@gmail.com

Re: mount.cifs и хранение пароля

On Mon, May 30, 2011 at 12:59:52PM +0300, Igor Chumak wrote:
 Наиболее правильно, ИМХО, было правильно генерировать ключ случайным
 образом на этапе компиляции samba - тогда ключ окажется идентичным и
 в mount.cifs и в make_credentials. Удалить исходники после установки
 - и можно считать, что хранилище паролей достаточно надежно.
 
 Естествено, надо позаботиться о том, чтобы ключ дизассемблировать
 было неудобно ;).
Ужасно.

-- 
WBR, wRAR


signature.asc
Description: Digital signature

Re: mount.cifs и хранение пароля

On Mon, May 30, 2011 at 02:57:33PM +0400, Konstantin Matyukhin wrote:
  Вот я и предлагаю: ключ генерировать на этапе компиляции samba, хранить
  непосредственно в исполняемом файле mount.cifs.
 Т.е. у всех пользователей debian, включая предполагаемого злоумышленника,
 будут одинаковые ключи?
Разве речь про Debian?

-- 
WBR, wRAR


signature.asc
Description: Digital signature

Re: mount.cifs и хранение пароля

2011/5/30 Andrey Rahmatullin w...@wrar.name:
 Разве речь про Debian?
Где я?!

-- 
С уважением,
Константин Матюхин

Re: mount.cifs и хранение пароля


30.05.2011 13:50, Andrey Rahmatullin пишет:

On Mon, May 30, 2011 at 12:59:52PM +0300, Igor Chumak wrote:

Наиболее правильно, ИМХО, было правильно генерировать ключ случайным
образом на этапе компиляции samba - тогда ключ окажется идентичным и
в mount.cifs и в make_credentials. Удалить исходники после установки
- и можно считать, что хранилище паролей достаточно надежно.

Естествено, надо позаботиться о том, чтобы ключ дизассемблировать
было неудобно ;).

Ужасно.


Угу. Безопасность не должна основываться на секретном алгоритме, я в курсе.
Предложите решение покрасивше ;)


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4de37bd3.6030...@gmail.com

Re: mount.cifs и хранение пароля

On Mon, May 30, 2011 at 03:12:21PM +0400, Konstantin Matyukhin wrote:
 2011/5/30 Andrey Rahmatullin w...@wrar.name:
  Разве речь про Debian?
 Где я?!
По кр.мере в Debian не требуется Удалить исходники после установки.

-- 
WBR, wRAR


signature.asc
Description: Digital signature

Re: mount.cifs и хранение пароля

2011/5/30 Igor Chumak ichumak2...@gmail.com:
 Предложите решение покрасивше ;)
Не давайте root-доступ абы кому.

-- 
С уважением,
Константин Матюхин

Re: mount.cifs и хранение пароля

On Mon, May 30, 2011 at 02:13:23PM +0300, Igor Chumak wrote:
 Угу. Безопасность не должна основываться на секретном алгоритме, я в курсе.
 Предложите решение покрасивше ;)
Если требуется не хранить ключевой материал в системе и нельзя вводить его
интерактивно, я могу предложить лишь аппаратный ключ.

-- 
WBR, wRAR


signature.asc
Description: Digital signature

Re: mount.cifs и хранение пароля


30.05.2011 13:57, Konstantin Matyukhin пишет:

2011/5/30 Igor Chumakichumak2...@gmail.com:

Вот я и предлагаю: ключ генерировать на этапе компиляции samba, хранить
непосредственно в исполняемом файле mount.cifs.

Т.е. у всех пользователей debian, включая предполагаемого злоумышленника,
будут одинаковые ключи?


Зачем ?
В опции configure добавить чего-то вроде --with-secret_key. Опция не 
включена - у всех пользователей debian не будет _никаких_ ключей.

Кому надо - соберет для себя с этой опцией.

Да, _мне_ это не надо, это я рассуждаю на тему как организовать 
безопасное хранилище паролей для mount.cifs.



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4de37d4e.7090...@gmail.com

Re: mount.cifs и хранение пароля

On Mon, May 30, 2011 at 03:19:43PM +0400, Konstantin Matyukhin wrote:
  По кр.мере в Debian не требуется Удалить исходники после установки.
 Так они в debian и до установки не требуются.
 Собиратели, они обычно в других дистрибутивах живут, да вы это и так знаете.
Так а я о чём.

-- 
WBR, wRAR


signature.asc
Description: Digital signature

Re: mount.cifs и хранение пароля

2011/5/30 Igor Chumak ichumak2...@gmail.com:
 В опции configure добавить чего-то вроде --with-secret_key. Опция не
 включена - у всех пользователей debian не будет _никаких_ ключей.
 Кому надо - соберет для себя с этой опцией.
Или напишет патч.

-- 
С уважением,
Константин Матюхин

Re: mount.cifs и хранение пароля


30.05.2011 14:15, Andrey Rahmatullin пишет:

On Mon, May 30, 2011 at 03:12:21PM +0400, Konstantin Matyukhin wrote:

2011/5/30 Andrey Rahmatullinw...@wrar.name:

Разве речь про Debian?

Где я?!

По кр.мере в Debian не требуется Удалить исходники после установки.


Собс-но , исходники удалять необязательно
В debian/rules добавить

# сгенерировать ключ
dd if=/dev/urandom bs=1k count=1 |sha512sum secret.key

# и удалить после сборки
rm -f secret.key

В этом нет нарушений Debian Policy? ;)


А вариант с аппаратным ключом тоже не идеален.
Если ключ отдаст пароль без авторизации - кто мешает утянуть этот самый 
пароль кому угодно, имеющему доступ к ключу?

Если требуется вводить пароль - тогда проще вызывать mount.cifs вручную ;)


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4de385ae.4060...@gmail.com

Re: mount.cifs и хранение пароля

On Mon, May 30, 2011 at 02:55:26PM +0300, Igor Chumak wrote:
 Разве речь про Debian?
 Где я?!
 По кр.мере в Debian не требуется Удалить исходники после установки.
 Собс-но , исходники удалять необязательно
 В debian/rules добавить
 
 # сгенерировать ключ
 dd if=/dev/urandom bs=1k count=1 |sha512sum secret.key
 
 # и удалить после сборки
 rm -f secret.key
 
 В этом нет нарушений Debian Policy? ;)
Какая разница, вам же всё равно этот пакет никому не придётся показывать.

 А вариант с аппаратным ключом тоже не идеален.
 Если ключ отдаст пароль без авторизации - кто мешает утянуть этот
 самый пароль кому угодно, имеющему доступ к ключу?
 Если требуется вводить пароль - тогда проще вызывать mount.cifs вручную ;)
В таком случае вам нужен аппаратный ключ, отдающий не пароль, а респонс по
переданному челленджу (мы ведь челлендж-респонс протокол обсуждаем?)

-- 
WBR, wRAR


signature.asc
Description: Digital signature

Re: mount.cifs и хранение пароля


30.05.2011 15:32, Andrey Rahmatullin пишет:

-куть

А вариант с аппаратным ключом тоже не идеален.
Если ключ отдаст пароль без авторизации - кто мешает утянуть этот
самый пароль кому угодно, имеющему доступ к ключу?
Если требуется вводить пароль - тогда проще вызывать mount.cifs вручную ;)

В таком случае вам нужен аппаратный ключ, отдающий не пароль, а респонс по
переданному челленджу (мы ведь челлендж-респонс протокол обсуждаем?)

Началось все с организации безопасного хранилища паролей для mount.cifs. 
В котором получение root доступа не означает получение пароля.


Причем из хранилища надо получить не подтверждение того, что я знаю 
пароль (челлендж-респонс протокол это обеспечит) , а именно пароль. В 
виде текста. Или же хранилище паролей (аппаратный ключ) должно уметь NTLM?




--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4de39c5e.9050...@gmail.com

Re: mount.cifs и хранение пароля

30.05.2011 16:55, Konstantin Matyukhin пишет:

2011/5/30 Igor Chumakichumak2...@gmail.com:

Началось все с организации безопасного хранилища паролей для mount.cifs. В
котором получение root доступа не означает получение пароля.

Т.е. вы ищете способ как вылечить коленку человеку, которому голову отрезало?

Нет.
Отрезание головы одного человека не должно приводить к отрезанию ног у
всех его знакомых из вконтакта ;)
Т.е. компроментация узла с cifs клиентом не должна приводить к
компроментации узла с cifs сервером.

Вот выдал виндовый админ линуксовом админу логин-пароль для доступа.
Какие права имеет эта учетная запись? Линуксовый админ этого не знает. А
вдруг администратора (вин-админы это любят)? А вдруг через полгода
случайно (или не очень случайно) эта учетная запись получит права
администратора? Так что проблема с cleartext-паролями вполне реальная.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4de3a5ae.7000...@gmail.com

Re: mount.cifs и хранение пароля

2011/5/30 Igor Chumak ichumak2...@gmail.com:
 Вот выдал виндовый админ линуксовом админу логин-пароль для доступа. Какие
 права имеет эта учетная запись? Линуксовый админ этого не знает. А вдруг
 администратора (вин-админы это любят)? А вдруг через полгода случайно (или
 не очень случайно) эта учетная запись получит права администратора? Так что
 проблема с cleartext-паролями вполне реальная.
Какая нежная забота о винадминах.

-- 
С уважением,
Константин Матюхин

Re: mount.cifs и хранение пароля

On Mon, May 30, 2011 at 04:32:14PM +0300, Igor Chumak wrote:
 Причем из хранилища надо получить не подтверждение того, что я знаю
 пароль (челлендж-респонс протокол это обеспечит) , а именно пароль.
 В виде текста. Или же хранилище паролей (аппаратный ключ) должно
 уметь NTLM?
Зачем весь NTLM? Достаточно Уметь генерить респонс по челленджу согласно
требуемому алгоритму.

-- 
WBR, wRAR


signature.asc
Description: Digital signature

Re: mount.cifs и хранение пароля

2011/5/30 Andrey Rahmatullin w...@wrar.name:
 On Mon, May 30, 2011 at 02:55:26PM +0300, Igor Chumak wrote:
 Разве речь про Debian?
 Где я?!
 По кр.мере в Debian не требуется Удалить исходники после установки.
 Собс-но , исходники удалять необязательно
 В debian/rules добавить

 # сгенерировать ключ
 dd if=/dev/urandom bs=1k count=1 |sha512sum secret.key

 # и удалить после сборки
 rm -f secret.key

 В этом нет нарушений Debian Policy? ;)
 Какая разница, вам же всё равно этот пакет никому не придётся показывать.

 А вариант с аппаратным ключом тоже не идеален.
 Если ключ отдаст пароль без авторизации - кто мешает утянуть этот
 самый пароль кому угодно, имеющему доступ к ключу?
 Если требуется вводить пароль - тогда проще вызывать mount.cifs вручную ;)
 В таком случае вам нужен аппаратный ключ, отдающий не пароль, а респонс по
 переданному челленджу (мы ведь челлендж-респонс протокол обсуждаем?)

а что может помешать воспользоваться этим аппаратным ключом злоумышленнику?

-- 
wbr, alexander barakin aka sash-kan.

Re: mount.cifs и хранение пароля

2011-05-30 Пенетрантность Artem Chuprina

  В таком случае вам нужен аппаратный ключ, отдающий не пароль, а респонс по
  переданному челленджу (мы ведь челлендж-респонс протокол обсуждаем?)
 
 а что может помешать воспользоваться этим аппаратным ключом злоумышленнику?

Воспользоваться, пока он вставлен - ничего.  Не получится прикопать
credentials для последующего использования в более удобный момент.

-- 
Все учтено могучим ураганом...


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/874o4cumlt.wl%...@ran.pp.ru

Re: mount.cifs и хранение пароля

2011-05-30 Пенетрантность Alexander Galanin

2011/5/30 Artem Chuprina r...@ran.pp.ru:
  В таком случае вам нужен аппаратный ключ, отдающий не пароль, а респонс по
  переданному челленджу (мы ведь челлендж-респонс протокол обсуждаем?)

 а что может помешать воспользоваться этим аппаратным ключом злоумышленнику?

 Воспользоваться, пока он вставлен - ничего.  Не получится прикопать
 credentials для последующего использования в более удобный момент.

разве это как-то принципиально отличается, например, от ношения
файлика credentials на флэшке?

-- 
wbr, alexander barakin aka sash-kan.

Re: mount.cifs и хранение пароля

On Mon, 30 May 2011 21:34:51 +0400
alexander barakin alex.bara...@gmail.com wrote:

  а что может помешать воспользоваться этим аппаратным ключом злоумышленнику?
 
  Воспользоваться, пока он вставлен - ничего.  Не получится прикопать
  credentials для последующего использования в более удобный момент.
 
 разве это как-то принципиально отличается, например, от ношения
 файлика credentials на флэшке?

Содержимое credentials не будет болтаться в памяти компьютера.

-- 
Alexander Galanin


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20110530215518.7548d9b5...@galanin.nnov.ru

Re: mount.cifs и хранение пароля