Andr� Carezia wrote:
Marcos Vinicius Lazarini wrote:
Andr� Carezia wrote:
Thadeu Penna wrote:
Do NFS Administration Guide da Sun
http://docs.sun.com/app/docs/doc/802-1963/6i5v8k26q?a=view
Agora ficou interessante. A senha do usu�rio (que n�o est� dispon�vel via "su") � usada como parte do processo de embaralhamento e desembaralhamento de cada pacote RPC.
Mas eu suponho que o Kerberos seja um concorrente � altura. Se for, � aberto e com implementa��o para Linux. O pacote Debian "kernel-image-2.6.8-2-686" vem com os m�dulos "auth_rpcgss" e "rpcsec_gss_krb5":
http://www.citi.umich.edu/projects/nfsv4/linux/ http://packages.debian.org/testing/base/kernel-image-2.6.8-2-686
A unica cr�tica do kerberos � que as senhas precisam ficar arquivadas _em claro_ no servidor; ou seja, qquer pessoa com acesso root na m�quina conseguir� todas as senhas instantaneamente.
O FAQ do Kerberos diz que o que � armazenado � uma chave DES derivada da senha: http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#pwconvert
Bom, mas o mesmo FAQ fala mais ou menos o que eu disse: http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#weakness
[...]
Kerberos uses a principal's password (encryption key) as the fundamental proof of identity. If a user's Kerberos password is stolen by an attacker, then the attacker can impersonate that user with impunity.
Since the KDC holds all of the passwords for all of the principals in a realm, if host security on the KDC is compromised, then the entire realm is compromised.
[...]
KDC = The term "Kerberos server" generally refers to the Key Distribution Center, or the KDC for short.
Ent�o, apesar de ser derivada do DES, ainda h� algum problema. Eu lembro que por constru��o, o kerberos tinha essa caracter�stica. Mas s�o tantos tiquetes e outras coisas q andam pra cima e pra baixo que eu n�o me lembro mais os detalhes. �, na verdade, n�o s�o s� os detalhes que eu n�o lembro, mas esse 'problema' do kerberos isso eu lembro!! :-)
-- Marcos
-- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
