Hallo Hans-Dietrich, >> Ich mag es auch sehr, wenn solche Administrativen Benutzerkennwörter zu >> keiner Zeit über das Netz gehen. > > Kann ich nachvollziehen. Trotzdem, als Argument für die andere Richtung: > wenn ich Windows-Clients in die Domäne aufnehme, dann muss (bei uns) das > Passwort vom Administrator übers Netz gehen. Ich sehe da auch keine > Alternative - die Verschlüsselung MUSS (hinreichend) sicher sein. Und > dieser Account "Administrator" (haben wir einfach so genannt, weil er > bei einem Windows-Server auch so heißt) ist eben für Windows-Clients > genau dass, was für Linux-Clients dieser von smbldap-populate im LDAP > angelegte root-Account darstellt.
die Argumentation ist nicht so gut: weil es bei Windows schlecht ist, kann man das bei linux auch so machen .. das würde ich nicht sagen. Und zu "die Verschlüsselung Muss sicher sein" .. Ich hatte vor 10 Jahren eine Schülerin in der 7ten Klasse (nicht in meiner Klasse), die hat mit dem Informatiklehrer eine Wette gemacht: "Ich spähe dein Passwort aus!". Die Wette ging er ein: Preis war eine Kiste Cola. Er hat verloren: sie hat mit einem AMD Laptop mit 1GHz und 512 MB Speicher das Passwort, das sie zuvor verschlüsselt aus dem Netz gefischt hatte, in 3 Stunden geknackt. Ich hab mir das angeschaut: die Verschlüsselung von Windows XP war unter aller Sau und der Grund war der Digital Millenium Act, der es Microsoft verboten hatte vernünftige Verschlüsselung zu exportieren. Wenn ich das richtig erinnere war das ein 128Bit Schlüssel. Ich weiß nicht, ob das noch immer so ist: erinnere mich aber an die Hackingserie im ct wo sie beschrieben haben, wie sie in ein Firmennetz eindringen und dann nurnoch warten, bis sich ein Admin irgendwo anmeldet .. Aber du hast recht: ein lokales Account ist immer ein Opfer, wenn der Nutzer an das BIOS kommt. Bei mir sind die BIOSe verschlossen durch Passwörter (es soll Defaultpasswörter geben, die das umgehen) und die Rechner sind mit einem Bügelschloss verschlossen. Aber wer will bekommt das schon hin, da sein eigenes Ding zu booten. Und wer das macht kommt an die shadow Datei. Ich hab mich damit nicht beschäftigt, gehe aber davon aus, dass man das dann schon hinbekommt. Deswegen ist es auch wichtig, dass der lokale Admin ein eigenes Passwort hat (also eines, dass sich nicht wieder findet im Netz). VIele Grüße Holger _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
