Ocultar Passwords a produccion.
Adstaker: Se me ocurre el siguiente esquema. Un servicio, de comunicación estándar, con un protocolo propio. (Servicio de Seguridad) Este servicio bajo un TCP-IP con los siguiente comandos. AUTH donde envías tu KEY(User+IP+Dominio+lo que necesites). Este responde con una Clave valida y la Ip del servicio de DB que necesitas. RESP 3DES(Key Valida en el Servidor)+ IP del Servidor+La base a la que tiene acceso. Con esto todas tus aplicaciones pasan por este servicio para hacer la petición. No importaria(Plataforma, Maquina, SO) serian independientes, por lo tanto genera la solicitud si no tiene acceso al servicio nunca obtendra una clave. Este servicio lo adornas con una interface grafica, y podria ingresarse las contraseñas a travez de este sistema en dos terminales diferentes una vez completas la dos mitades recien el sistema se pondria a funcionar con esto nadie sabe la contraseña completa solo el sistema. El administrador estaria encragado de habilitar y deshabilitar terminales o usuarios. Sin tener un real acceso a la base de datos solo podria tener acceso a la base de permisos, puedes habilitar un sistema de bloque que si cualquiera de la personas que se encargan de una parte de la contraseña se vuelve riesgosa bloqueas todo hasta una nueva validacion, con esto tus clientes son independiestes de las contraseñas reales. El esquema quedaria mas o menos asi. (Sistema Cliente)==(KEY)== (Sistema de Seguridad) \\==(KEY3DES)== \\ (KEY EN DURO) \\ (SGDB) Realmente la clave no la ve nadie, es solo visible para la apliacion en tiempo de ejecucion, Debes otorga un medio para que las aplicaciones puedan descifrar la contraseña antes de conectarse. Si necesitas mas seguridad este medio haz lo cerrado, en una librería. esta libreario le otorga la conexión, al sistema cliente, pero sigue el proceso anterior, para obtener una clave que tampoco nadie sabrá. Wladimir A. Jiménez B.
www.chile.com MSLinux Internet Information Server 9.x SP3 build 9955(CentOS)
Horst H. von Brand escribió: Tambien tienen laboratorios llenos de Linux y de BSDs, y seguramente Solaris, mas que nada para conocer la competencia. yep, I eso pasa en todas las empresas del area hasta donde se, en SUSE hay de esos labs tambien, solo para observar que esta haciendo el resto del mundo. -- The only thing that interferes with my learning is my education. - Albert Einstein Cristian Rodríguez R. Platform/OpenSUSE - Core Services SUSE LINUX Products GmbH Research Development http://www.opensuse.org/
Ocultar Passwords a produccion.
On Dec 5, 2007 1:54 PM, Asdtaker [EMAIL PROTECTED] wrote: Estimados, mi ultima consulta aqui fue respecto de un cliente para jabber (y ya vieron lo que ocurrio (y esta ocurriendo)). Finalmente, se opto por openfire y spark como cliente, lejos las discusiones respecto a la performance del modelo, ya esta implementado y camina /de pelos/. Gracias a todos lo que dieron sus opiniones. Esta vez, los molesto con otra cosa que me aflije. Tengo algunos servicios con db (mysql, db2, sql server) y existe un gran cuestionamiento: ¿como escondo las password (y usuarios) de las db a los programas y usuarios?. Es decir, pe. al configurar el acceso a mysql para un servicio web (LAMP), necesariamente debo configurar en un file la passwordm user y database que utilizare. Otro problema, y mas grande aun, en cuando tenemos aplicaciones cliente-servidor, con archivos de configuracion en cada cliente, o bien (en el caso sql server) odbc, en ese caso no existe manera de encriptar las password, y al menos debe conocerla el desarrollador/analista de la aplicacion y configurarla (digitarla) bien en el codigo (ejecutable) o en un archivo de configuracion. Mi problema es que necesito que estas password no sean conocidas por nadie, ni siquiera el admin del sistema (password bipartida) y el dia de mañana poder cambiarlas de manera transparente para los usuarios. He hecho monos, tirado lineas y buscado en san google, pero ando medio perdido. Espero me puedan orientar. Mis ideas me llevan a pensar que debe haber /algo/ en medio que permita la autenticacion, es decir: SERVER(user, pass):**ALGO**:CLIENTE(user, _clave_) donde clave, es una llave, un id de instalacion, la ip de mi LAN, el usuario de dominio, etc. Tienes un problema de arquitectura o disen~o, algunos tips te dio Franco. Esto se resuelve implementando servicios y creando una capa de acceso a el (bus de servicios). El bus se encarga de la seguridad, acceso, enrutamiento, excepciones, auditoria, etc. Puedes implementarlo con muchas tecnologias y maneras, varias ya estan hechas. Luego, lo que le das a tu desarrollador es una API o framework que encapsula el acceso al bus y lo mas importante, a los servicios que tiene acceso (esto independiza la tecnologia usada). Los accesos (permisos) los defines en el servidor o en el bus. Cualquier otro chamullo no te asegura nada. Si creas una DLL que encripta la password por otra, es lo mismo, igual estas dando full acceso a la base de datos (basta descompilar la dll o revisar el stream a la conexion para saber que user/pass estas usando). Si creas una DLL que realiza el servicio, estas duplicando codigo y eso lo hace inmantenible, la logica del servicio tiene que estar donde se provee (en el servidor) y el cliente solo debe tener una API para accesar a el, que depende de la tecnologia usada. Hay muchas otras razones para implementar esta arquitectura (un unico punto con la logica, tienes un mecanismo de auditoria, generalmente el bus te garantiza que no se pierden los datos, permite especializar los sistemas, integrar sistemas antiguos y mejorar la performance ya que los servidores trabajan en base a eventos en vez de a full conexiones, ...); pero en particular resuelve tu problema de acceso a los datos, ya que no abres de patas la base de datos, sino que solo a servicios bien conocidos y definidos. Puedes encontrar un monton de buzzwords al respecto, estoy buscando alguna literatura que te pueda ayudar a entender un poco el asunto Creo que este link te servira: http://www-306.ibm.com/software/info1/websphere/index.jsp?tab=landings/esbbenefits Saludos, -- Aldrin Martoq
Ocultar Passwords a produccion.
On Dec 10, 2007 2:28 PM, Aldrin Gonzalo Martoq Ahumada [EMAIL PROTECTED] wrote: On Dec 5, 2007 1:54 PM, Asdtaker [EMAIL PROTECTED] wrote: [...mi problema] Tienes un problema de arquitectura o disen~o, algunos tips te dio Franco. Esto se resuelve implementando servicios y creando una capa de acceso a el (bus de servicios). El bus se encarga de la seguridad, acceso, enrutamiento, excepciones, auditoria, etc. Término nuevo, tnks! Puedes implementarlo con muchas tecnologias y maneras, varias ya estan hechas. Luego, lo que le das a tu desarrollador es una API o framework que encapsula el acceso al bus y lo mas importante, a los servicios que tiene acceso (esto independiza la tecnologia usada). Los accesos (permisos) los defines en el servidor o en el bus. bien! Cualquier otro chamullo no te asegura nada. Si creas una DLL que encripta la password por otra, es lo mismo, igual estas dando full acceso a la base de datos (basta descompilar la dll o revisar el stream a la conexion para saber que user/pass estas usando). En realidad con eso solo obtengo lo actual. O solo necesitaria obtener el archivo donde esté la password para hacer crack en mi sistema. Si creas una DLL que realiza el servicio, estas duplicando codigo y eso lo hace inmantenible, la logica del servicio tiene que estar donde se provee (en el servidor) y el cliente solo debe tener una API para accesar a el, que depende de la tecnologia usada. Hay muchas otras razones para implementar esta arquitectura (un unico punto con la logica, tienes un mecanismo de auditoria, buen punto, los /jefes/ adoran los log de auditoria. generalmente el bus te garantiza que no se pierden los datos, permite especializar los sistemas, integrar sistemas antiguos y mejorar la performance ya que los servidores trabajan en base a eventos en vez de a full conexiones, ...); pero en particular resuelve tu problema de acceso a los datos, es lo que mas me preocupa por ahora. ya que no abres de patas la base de datos, sino que solo a servicios bien conocidos y definidos. Puedes encontrar un monton de buzzwords al respecto, estoy buscando alguna literatura que te pueda ayudar a entender un poco el asunto Creo que este link te servira: http://www-306.ibm.com/software/info1/websphere/index.jsp?tab=landings/esbbenefits excelente, un vistazo rapido me da luces de lo que evidentemente he buscado hace rato. http://www-306.ibm.com/software/info1/websphere/index.jsp?tab=landings/esbbenefits Saludos, -- Aldrin Martoq Saludos y muchas gracias. -- Saludos, LSM. Existen 10 tipos de personas: los que entienden binarios y los que no From [EMAIL PROTECTED] Mon Dec 10 11:31:14 2007 From: [EMAIL PROTECTED] (=?iso-8859-1?Q?Cristian_Mu=F1oz_Rosenfeld?=) Date: Mon Dec 10 15:59:02 2007 Subject: No apaga por completo Message-ID: [EMAIL PROTECTED] Estimados, tengo instalado ubuntu con kernel version 2.6.22-14en un notebook dell modelo Inspiron 710M. Sucede que al momento de mandar a apagar el equipo, este no se apaga por completo (queda el led del disco duro encendido). Alguien conoce donde podría indagar para solucionar el problema. Saludos, Cristian Muñoz Rosenfeld From [EMAIL PROTECTED] Mon Dec 10 16:15:35 2007 From: [EMAIL PROTECTED] (Rodrigo Fuentealba) Date: Mon Dec 10 16:18:32 2007 Subject: No apaga por completo In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] 2007/12/10, Cristian Muñoz Rosenfeld [EMAIL PROTECTED]: Estimados, tengo instalado ubuntu con kernel version 2.6.22-14en un notebook dell modelo Inspiron 710M. Sucede que al momento de mandar a apagar el equipo, este no se apaga por completo (queda el led del disco duro encendido). ¿ACPI? Alguien conoce donde podría indagar para solucionar el problema. Activa ACPI y dinos si vuelve a ocurrir. -- Rodrigo Fuentealba Cartes Desarrollador de Sistemas - Consultor UNIX - Database Administrator
No apaga por completo
On Dec 10, 2007 11:31 AM, Cristian Muñoz Rosenfeld [EMAIL PROTECTED] wrote: Estimados, tengo instalado ubuntu con kernel version 2.6.22-14en un notebook dell modelo Inspiron 710M. Sucede que al momento de mandar a apagar el equipo, este no se apaga por completo (queda el led del disco duro encendido). Alguien conoce donde podría indagar para solucionar el problema. Hola, ve si tienes acpi o apm funcionando (deberias tener solo uno de esos sistemas de manejo del power activado). Saludos! -- Morenisco. From [EMAIL PROTECTED] Mon Dec 10 19:08:31 2007 From: [EMAIL PROTECTED] (Pedro GM) Date: Mon Dec 10 19:39:11 2007 Subject: curiosidad en /etc/passwd Message-ID: [EMAIL PROTECTED] Saludos! una consulta pues al parecer no estoy tan bien en los temas basicos( ya que no he dado con alguna respuesta a esto googleando) resulta que me consultaron algo que me dejo pillo, en el /etc/passwd en el campo de root me aparece el hash de la contraseña en vez de salir una x ej: root:$1$UISDMA5o$fZOrtDfMzOKxh17d/.qMk1:0:0:root:/root:/bin/bash en vez de salir: root:x:0:0:root:/root:/bin/bash alguien sabe por que?? agrego que solo aparece el usuario root es el que le aparece el hash , al resto sale la x disculpen si es muy basica la consulta pero no habia visto antes este detalle :o -- .:: Pedro:G:M ::. Linux User #397462 http://counter.li.org From [EMAIL PROTECTED] Mon Dec 10 19:44:55 2007 From: [EMAIL PROTECTED] ([EMAIL PROTECTED]) Date: Mon Dec 10 19:48:04 2007 Subject: curiosidad en /etc/passwd In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] raro, por que las claves se guardan bajo 7 llaves en /etc/shadow y ese archivo solo lo puede ver root, en cambio /etc/passwd puede ser leido por todos. 2007/12/10, Pedro GM [EMAIL PROTECTED]: Saludos! una consulta pues al parecer no estoy tan bien en los temas basicos( ya que no he dado con alguna respuesta a esto googleando) resulta que me consultaron algo que me dejo pillo, en el /etc/passwd en el campo de root me aparece el hash de la contraseña en vez de salir una x ej: root:$1$UISDMA5o$fZOrtDfMzOKxh17d/.qMk1:0:0:root:/root:/bin/bash en vez de salir: root:x:0:0:root:/root:/bin/bash alguien sabe por que?? agrego que solo aparece el usuario root es el que le aparece el hash , al resto sale la x disculpen si es muy basica la consulta pero no habia visto antes este detalle :o -- .:: Pedro:G:M ::. Linux User #397462 http://counter.li.org -- Andrés Esteban. Ovalle Gahona Msn: [EMAIL PROTECTED] Ingenieria Ejecucion Computacion e Informatica Web: http://labdecom.decom.uta.cl/~aovalle/ Movil: 09-5791839 Usuario Linux #456290 (counter.li.org) From [EMAIL PROTECTED] Mon Dec 10 20:29:11 2007 From: [EMAIL PROTECTED] (Pedro GM) Date: Mon Dec 10 20:31:08 2007 Subject: curiosidad en /etc/passwd In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] [EMAIL PROTECTED] escribió: raro, por que las claves se guardan bajo 7 llaves en /etc/shadow y ese archivo solo lo puede ver root, en cambio /etc/passwd puede ser leido por todos. exacto, eso mismo es lo que yo sabia!. pero me sorprendio el hecho de que solo el root se le viera lo mismo que sale en /etc/shadow aun sigo googleando... .:: Pedro:G:M ::. Linux User #397462 http://counter.li.org From [EMAIL PROTECTED] Mon Dec 10 20:38:10 2007 From: [EMAIL PROTECTED] ([EMAIL PROTECTED]) Date: Mon Dec 10 20:41:08 2007 Subject: curiosidad en /etc/passwd In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] problema de seguridad puede ser...kisas te hackearon xD 2007/12/10, Pedro GM [EMAIL PROTECTED]: [EMAIL PROTECTED] escribió: raro, por que las claves se guardan bajo 7 llaves en /etc/shadow y ese archivo solo lo puede ver root, en cambio /etc/passwd puede ser leido por todos. exacto, eso mismo es lo que yo sabia!. pero me sorprendio el hecho de que solo el root se le viera lo mismo que sale en /etc/shadow aun sigo googleando... .:: Pedro:G:M ::. Linux User #397462 http://counter.li.org -- Andrés Esteban. Ovalle Gahona Msn: [EMAIL PROTECTED] Ingenieria Ejecucion Computacion e Informatica Web: http://labdecom.decom.uta.cl/~aovalle/ Movil: 09-5791839 Usuario Linux #456290 (counter.li.org) From [EMAIL PROTECTED] Mon Dec 10 20:12:14 2007 From: [EMAIL PROTECTED] (Matias Valdenegro T.) Date: Mon Dec 10 21:18:35 2007 Subject: curiosidad en /etc/passwd In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] El Lunes 10 Diciembre 2007, Pedro GM escribió: Saludos! una consulta pues al parecer no estoy tan bien en los temas basicos( ya que no he dado con alguna respuesta a esto googleando) resulta que me consultaron algo que me dejo pillo, en el /etc/passwd en el campo de root me aparece el hash de la contraseña en vez de salir una
curiosidad en /etc/passwd
Matias Valdenegro T. escribió: El Lunes 10 Diciembre 2007, Pedro GM escribió: Saludos! una consulta pues al parecer no estoy tan bien en los temas basicos( ya que no he dado con alguna respuesta a esto googleando) resulta que me consultaron algo que me dejo pillo, en el /etc/passwd en el campo de root me aparece el hash de la contraseña en vez de salir una x ej: root:$1$UISDMA5o$fZOrtDfMzOKxh17d/.qMk1:0:0:root:/root:/bin/bash en vez de salir: root:x:0:0:root:/root:/bin/bash alguien sabe por que?? Porque los hash de las password se guardan en /etc/shadow. Eso ya lo sabemos, si pero lo curioso es que el hash que esta en /etc/shadow , se repite en /etc/passwd pero solo para el root. voy a dejar la primera parte del ambos archivos para mejor claridad: /etc/shadow root:$1$huB0S0UZ$ESn5PJbj3G0JP7l0prui/0:13706:0:9:7::: daemon:*:13706:0:9:7::: bin:*:13706:0:9:7::: .. gdm:!:13706:0:9:7::: hplip:!:13706:0:9:7::: pedro:$1$yBm0m0UZ$AkBULR89bi99EN1O5sB4B.:13706:0:9:7::: Debian-ipw3945d:!:13706:0:9:7::: joy:$1$8oNBiT2k$xh4tGJ2Nx6Jb9EmkB7J/x/:13708:0:9:7::: postgres:!:13715:0:9:7::: Ahora /etc/passwd root:$1$huB0S0UZ$ESn5PJbj3G0JP7l0prui/0:13706:0:9:7::: daemon:*:13706:0:9:7::: bin:*:13706:0:9:7::: .. gdm:x:106:111:Gnome Display Manager:/var/lib/gdm:/bin/false hplip:x:107:7:HPLIP system user,,,:/var/run/hplip:/bin/false pedro:x:1000:1000:Pedro,,,:/home/pedro:/bin/bash Debian-ipw3945d:x:108:112::/home/Debian-ipw3945d:/bin/false joy:x:1001:1001::/home/joy:/bin/sh postgres:x:109:114:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash Ahi se observan que solo para root sucede esa repeticion del hash -- .:: Pedro:G:M ::. Linux User #397462 http://counter.li.org From [EMAIL PROTECTED] Mon Dec 10 22:18:02 2007 From: [EMAIL PROTECTED] (Claudio Salazar) Date: Mon Dec 10 22:21:14 2007 Subject: curiosidad en /etc/passwd In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] Pedro GM escribió: Matias Valdenegro T. escribió: El Lunes 10 Diciembre 2007, Pedro GM escribió: Saludos! una consulta pues al parecer no estoy tan bien en los temas basicos( ya que no he dado con alguna respuesta a esto googleando) resulta que me consultaron algo que me dejo pillo, en el /etc/passwd en el campo de root me aparece el hash de la contraseña en vez de salir una x ej: root:$1$UISDMA5o$fZOrtDfMzOKxh17d/.qMk1:0:0:root:/root:/bin/bash en vez de salir: root:x:0:0:root:/root:/bin/bash alguien sabe por que?? Porque los hash de las password se guardan en /etc/shadow. Eso ya lo sabemos, si pero lo curioso es que el hash que esta en /etc/shadow , se repite en /etc/passwd pero solo para el root. voy a dejar la primera parte del ambos archivos para mejor claridad: /etc/shadow root:$1$huB0S0UZ$ESn5PJbj3G0JP7l0prui/0:13706:0:9:7::: daemon:*:13706:0:9:7::: bin:*:13706:0:9:7::: .. gdm:!:13706:0:9:7::: hplip:!:13706:0:9:7::: pedro:$1$yBm0m0UZ$AkBULR89bi99EN1O5sB4B.:13706:0:9:7::: Debian-ipw3945d:!:13706:0:9:7::: joy:$1$8oNBiT2k$xh4tGJ2Nx6Jb9EmkB7J/x/:13708:0:9:7::: postgres:!:13715:0:9:7::: Ahora /etc/passwd root:$1$huB0S0UZ$ESn5PJbj3G0JP7l0prui/0:13706:0:9:7::: daemon:*:13706:0:9:7::: bin:*:13706:0:9:7::: .. gdm:x:106:111:Gnome Display Manager:/var/lib/gdm:/bin/false hplip:x:107:7:HPLIP system user,,,:/var/run/hplip:/bin/false pedro:x:1000:1000:Pedro,,,:/home/pedro:/bin/bash Debian-ipw3945d:x:108:112::/home/Debian-ipw3945d:/bin/false joy:x:1001:1001::/home/joy:/bin/sh postgres:x:109:114:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash En los sistemas antiguos, se almacenaba los hash en /etc/passwd. ¿ Que version de tu distribuicion ocupas ? Quizas en alguna configuracion por ahi esta configurado que root se autentifique contra /etc/passwd, por eso el hash ahi. Ahi se observan que solo para root sucede esa repeticion del hash From [EMAIL PROTECTED] Mon Dec 10 22:46:10 2007 From: [EMAIL PROTECTED] (Pedro GM) Date: Mon Dec 10 22:48:04 2007 Subject: curiosidad en /etc/passwd In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] En los sistemas antiguos, se almacenaba los hash en /etc/passwd. Eso que mencionas algo sabia, que en sistemas antiguos sucedia asi.(recuerdo haber instalado tiempo atras un slackware 9 que me preguntaba si queria passwords md5) ¿ Que version de tu distribuicion ocupas ? En esa maquina en especial esta corriendo un debian etch. (debian 4.0) y es un laptop Quizas en alguna configuracion por ahi esta configurado que root se autentifique contra /etc/passwd, por eso el hash ahi. Gracias, ahi por lo menos ya se ve hay alguna luz, seguire googleando mañana a ver que encuentro que pueda haber requerido modificar asi el
