=?ISO-8859-1?Q?Re:_nfs_e_sudo:_furo_de_seguran=E7a=3F=3F=3F?=

Wed, 02 Mar 2005 12:23:54 -0800 

Pra mim o problema t� no sudo. Sudo eh coisa do diabo, tira ele dos
seus clientes.


On Wed, 02 Mar 2005 17:08:29 -0300, Marcos Vinicius Lazarini
<[EMAIL PROTECTED]> wrote:
> Andr� Carezia wrote:
> 
> > Marcos Vinicius Lazarini wrote:
> >
> >
> >>Andr� Carezia wrote:
> >>
> >>
> >>>Thadeu Penna wrote:
> >>>
> >>>
> >>>
> >>>>Do NFS Administration Guide da Sun
> >>>>
> >>>>http://docs.sun.com/app/docs/doc/802-1963/6i5v8k26q?a=view
> >>>
> >>>
> >>>
> >>>Agora ficou interessante. A senha do usu�rio (que n�o est� dispon�vel
> >>>via "su") � usada como parte do processo de embaralhamento e
> >>>desembaralhamento de cada pacote RPC.
> >>>
> >>>Mas eu suponho que o Kerberos seja um concorrente � altura. Se for, �
> >>>aberto e com implementa��o para Linux. O pacote Debian
> >>>"kernel-image-2.6.8-2-686" vem com os m�dulos "auth_rpcgss" e
> >>>"rpcsec_gss_krb5":
> >>>
> >>>http://www.citi.umich.edu/projects/nfsv4/linux/
> >>>http://packages.debian.org/testing/base/kernel-image-2.6.8-2-686
> >>
> >>
> >>A unica cr�tica do kerberos � que as senhas precisam ficar arquivadas
> >>_em claro_ no servidor; ou seja, qquer pessoa com acesso root na
> >>m�quina conseguir� todas as senhas instantaneamente.
> >
> >
> > O FAQ do Kerberos diz que o que � armazenado � uma chave DES derivada da
> > senha:
> > http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#pwconvert
> 
> Bom, mas o mesmo FAQ fala mais ou menos o que eu disse:
> http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#weakness
> 
> [...]
> Kerberos uses a principal's password (encryption key) as the fundamental
> proof of identity. If a user's Kerberos password is stolen by an attacker,
> then the attacker can impersonate that user with impunity.
> Since the KDC holds all of the passwords for all of the principals in a
> realm, if host security on the KDC is compromised, then the entire realm is
> compromised.
> [...]
> KDC = The term "Kerberos server" generally refers to the Key Distribution
> Center, or the KDC for short.
> 
> Ent�o, apesar de ser derivada do DES, ainda h� algum problema. Eu lembro que
> por constru��o, o kerberos tinha essa caracter�stica. Mas s�o tantos
> tiquetes e outras coisas q andam pra cima e pra baixo que eu n�o me lembro
> mais os detalhes. �, na verdade, n�o s�o s� os detalhes que eu n�o lembro,
> mas esse 'problema' do kerberos isso eu lembro!! :-)
> 
> --
> Marcos
> 
> 
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
> 
>

Responder a