[Sysadmins] Пароль в /etc/nss_ldap.secret

[Sysadmins] Пароль в /etc/nss_ldap.secret

[Dmitriy L. Kruglikov]

Доброго времени суток.

В /etc/nss_ldap.secret и /etc/pam_ldap.secret
хранится пароль для rootbinddn в открытом виде.
Пробовал написать туда 
{SSHA}ХХХ
не работает, хотя вместо ХХХ то же самое, 
что и в /etc/openldap/slapd.conf в качестве пароля для админа.

Не хотелось бы хранить пароль в открытом виде на рабочих станциях.

У кого-нибудь есть решения ?




--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Куда вляпаешься, там твоя и судьба.
		-- Н.Векшин

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Avramenko Andrew]

Dmitriy L. Kruglikov пишет:
> Доброго времени суток.
> 
> В /etc/nss_ldap.secret и /etc/pam_ldap.secret
> хранится пароль для rootbinddn в открытом виде.
> Пробовал написать туда 
> {SSHA}ХХХ
> не работает, хотя вместо ХХХ то же самое, 
> что и в /etc/openldap/slapd.conf в качестве пароля для админа.
> 
> Не хотелось бы хранить пароль в открытом виде на рабочих станциях.
> 
> У кого-нибудь есть решения ?

Дмитрий, а зачем на рабочих станциях рутовая учетка? У Вас туда кто-то 
что-то пишет?

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Dmitriy L. Kruglikov]

На календаре было: Понедельник, 12 Февраль 2007 года,
Avramenko Andrew писал(а) в сообщении: 

AA == Avramenko Andrew

AA> Дмитрий, а зачем на рабочих станциях рутовая учетка? У Вас туда кто-то 
AA> что-то пишет?

Понятия не имею...
И она там не рутовая, а админская...
Думается мне, что нужна учетная запись, имеющая право, 
как минимум, читать пароли из LDAP...
Поле: userPassword.

Но, имея возможность прочитать установленный пароль, дальше уже не проблема
войти в систему с этим паролем и поменять его себе (как минимум).

В любом случае, пароль для доступа к каталогу для получения пароля пользователя
хранится в открытом виде.

Вопрос: Можно ли хранить его там _НЕ_ в таком виде?
Не зависимо от того, рутовый(админский) он или нет.


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Идет по дороге студент, а навстречу ему мужик, тоже пьяный

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Anton Gorlov]

Dmitriy L. Kruglikov пишет:
> 
> Вопрос: Можно ли хранить его там _НЕ_ в таком виде?
> Не зависимо от того, рутовый(админский) он или нет.

-r--------   1 root root          11 Июл  7  2005 ldap.secret
Файл может прчоитаь тлоько рут.
Это под мастером 2.4

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Dmitriy L. Kruglikov]

На календаре было: Понедельник, 12 Февраль 2007 года,
Anton Gorlov писал(а) в сообщении: 

AG == Anton Gorlov

AG> > Вопрос: Можно ли хранить его там _НЕ_ в таком виде?
AG> > Не зависимо от того, рутовый(админский) он или нет.  
AG> 
AG> -r--------   1 root root          11 Июл  7  2005 ldap.secret
AG> Файл может прчоитаь тлоько рут.
AG> Это под мастером 2.4

И более того...
Если у него права отличные от указанных, то вообще работать не будет.
Но, если эту рабочую машинку ребутнуть в режиме "спасения", 
то фсе будет прочитано...
И я не уверен, что читающим буду я ;)

Нужна ли нам в системе такая дырочка, которую каждый пионэр
сможет разорвать на лоскутки ?



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Кто рассчитывает обеспечить себе здоровье, пребывая в лени, тот поступает так же глупо, 
как и человек, думающий молчанием усовершенствовать свой голос.
		-- Плутарх

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Anton Gorlov]

Dmitriy L. Kruglikov пишет:

> AG> -r--------   1 root root          11 Июл  7  2005 ldap.secret
> AG> Файл может прчоитаь тлоько рут.
> AG> Это под мастером 2.4
> И более того...
> Если у него права отличные от указанных, то вообще работать не будет.
> Но, если эту рабочую машинку ребутнуть в режиме "спасения", 
> то фсе будет прочитано...
> И я не уверен, что читающим буду я ;)

Если есть доступ к машине физически -то можнор вообще всё что угодно 
спереть. Исключение - шифрованный раздел.
Так что таки ограничения по лицам,имеющим доступу в серверную рулит. А 
ещё рулит регистрация по времени кто,когда и на сколько входил в серверную

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Slava Dubrovskiy]

Anton Gorlov пишет:
>> AG> -r--------   1 root root          11 Июл  7  2005 ldap.secret
>> AG> Файл может прчоитаь тлоько рут.
>> AG> Это под мастером 2.4
>> И более того...
>> Если у него права отличные от указанных, то вообще работать не будет.
>> Но, если эту рабочую машинку ребутнуть в режиме "спасения", 
>> то фсе будет прочитано...
>> И я не уверен, что читающим буду я ;)
>>     
> Если есть доступ к машине физически -то можнор вообще всё что угодно 
> спереть. Исключение - шифрованный раздел.
> Так что таки ограничения по лицам,имеющим доступу в серверную рулит. А 
> ещё рулит регистрация по времени кто,когда и на сколько входил в серверную
>   
А если это desktop, то первое что я делаю, это:
1. Опломбирование корпуса;
2. Пароль на bios с загрузкой только с винта;
3. Отключение CDROM, USB, FLOPPY и т.д. Оставляю только тем, кому это
реально надо.

-- 
WBR,
Dubrovskiy Vyacheslav

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Dmitriy L. Kruglikov]

На календаре было: Понедельник, 12 Февраль 2007 года,
Anton Gorlov писал(а) в сообщении: 

AG == Anton Gorlov

AG> Так что таки ограничения по лицам,имеющим доступу в серверную рулит. 

А кто сказал, что это серверная ?!?!?!
Я говорю о рабочей станции, которая настроена на получение 
списка пользователей и на авторизацию в каталоге LDAP.




--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Сражение выигрывает тот, кто твердо решил его выиграть.
		-- Л.Н.Толстой

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Anton Gorlov]

Dmitriy L. Kruglikov пишет:

> AG> Так что таки ограничения по лицам,имеющим доступу в серверную рулит. 
> А кто сказал, что это серверная ?!?!?!
> Я говорю о рабочей станции, которая настроена на получение 
> списка пользователей и на авторизацию в каталоге LDAP.

пароль на биос и отключение загрузки с usb/cd/чтотамещё

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Dmitriy L. Kruglikov]

На календаре было: Понедельник, 12 Февраль 2007 года,
Slava Dubrovskiy писал(а) в сообщении: 

SD == Slava Dubrovskiy

SD> >     
SD> А если это desktop, то первое что я делаю, это:
SD> 1. Опломбирование корпуса;
SD> 2. Пароль на bios с загрузкой только с винта;
SD> 3. Отключение CDROM, USB, FLOPPY и т.д. Оставляю только тем, кому это
SD> реально надо.

Коллеги, давайте вернемся к теме.
Мне действительно нужен ответ.

Либо категорическое "Да, нужно записать так вот: "
либо категорическое "нет" подтвержденное цитатами.

Поверьте, я то же умею запирать серверную, 
отключать приводы и т.д.
И линейкой по рукам то же умею... 
И стреляю практически из всех видов ручного оружия.

Но я прошу по теме высказываться...


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Педагогика - попытка дать больше, чем знаешь сам.
		-- Геннадий Малкин

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Avramenko Andrew]

> Но, имея возможность прочитать установленный пароль, дальше уже не проблема
> войти в систему с этим паролем и поменять его себе (как минимум).
> 
> В любом случае, пароль для доступа к каталогу для получения пароля пользователя
> хранится в открытом виде.
> 
> Вопрос: Можно ли хранить его там _НЕ_ в таком виде?
> Не зависимо от того, рутовый(админский) он или нет.

На рабочих станциях по-моему можно использовать гостевую учетную запись, 
с правами только чтения. Конечно, человек может получить доступ к хэшам 
паролей, но злоумышленник не сможет его применить, не получив оригинал 
пароля, потому что в файлике ldap.secrets _НЕЛЬЗЯ_ использовать хэш 
пароля. Пароль по сети _обязательно_ передается plaintext'ом.

Это всего лишь ИМХО, но по-моему не далекое от реальности.

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Dmitry Lebkov]

Dmitriy L. Kruglikov wrote:
> Доброго времени суток.
> 
> В /etc/nss_ldap.secret и /etc/pam_ldap.secret
> хранится пароль для rootbinddn в открытом виде.
> Пробовал написать туда 
> {SSHA}ХХХ
> не работает, хотя вместо ХХХ то же самое, 
> что и в /etc/openldap/slapd.conf в качестве пароля для админа.
> 
> Не хотелось бы хранить пароль в открытом виде на рабочих станциях.
> 
> У кого-нибудь есть решения ?

Настрой LDAP на anonymous bind. И (pam|nss)_ldap - на него же.
Использовать пароли в том же виде, что и в /etc/openldap/slapd.conf,
не получится. Причина: {SSHA}ХХХ - это хэш plaintext-пароля.

-- 
WBR, Dmitry Lebkov

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Dmitriy L. Kruglikov]

На календаре было: Понедельник, 12 Февраль 2007 года,
Dmitry Lebkov писал(а) в сообщении: 

DL == Dmitry Lebkov

DL> Настрой LDAP на anonymous bind. И (pam|nss)_ldap - на него же.

При этом, анонимус получит доступ к парольным полям (на чтение).
Как это отразится на безопасности ?
Пропустит ли такое наше секьюрити ?


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Человек - единственное животное на свете, способное смеяться и рыдать, ибо из всех 
живых существ только человеку дано видеть разницу между тем, что есть, и тем, что 
могло бы быть.
		-- Уильям Хэзлитт

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Dmitry Lebkov]

Dmitriy L. Kruglikov wrote:
> На календаре было: Понедельник, 12 Февраль 2007 года,
> Dmitry Lebkov писал(а) в сообщении: 
> 
> DL == Dmitry Lebkov
> 
> DL> Настрой LDAP на anonymous bind. И (pam|nss)_ldap - на него же.
> 
> При этом, анонимус получит доступ к парольным полям (на чтение).

Нет. Там весь смысл в том, чтоб общедоступную информацию (UID/GID)
мог получить любой (через anonymous bind), а проверка пароля производится
посредством попытки сделать bind к LDAP'у, используя имя и пароль
пользователя, который пытается авторизоваться в системе.

Hint: привилегия auth в настройках ACL OpenLDAP'а.

-- 
WBR, Dmitry Lebkov

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Dmitriy L. Kruglikov]

На календаре было: Понедельник, 12 Февраль 2007 года,
Dmitry Lebkov писал(а) в сообщении: 

DL == Dmitry Lebkov

DL> Нет. Там весь смысл в том, чтоб общедоступную информацию (UID/GID)
DL> мог получить любой (через anonymous bind)

То есть, достаточно закомментировать строки rootbinddn
в /etc/(pam|nss)_ldap.conf, а файлы /etc/(pam|nss)_ldap.secret
оставить пустыми или удалить ?

Я правильно понял рецепт ? 



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Самую сильную черту отличия человека от животных составляет 
нравственное чувство или совесть. И господство его выражается в 
коротком, но могучем и крайне выразительном слове "должен".
		-- Ч.Дарвин

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Dmitry Lebkov]

Dmitriy L. Kruglikov wrote:
> На календаре было: Понедельник, 12 Февраль 2007 года,
> Dmitry Lebkov писал(а) в сообщении: 
> 
> DL == Dmitry Lebkov
> 
> DL> Нет. Там весь смысл в том, чтоб общедоступную информацию (UID/GID)
> DL> мог получить любой (через anonymous bind)
> 
> То есть, достаточно закомментировать строки rootbinddn
> в /etc/(pam|nss)_ldap.conf, а файлы /etc/(pam|nss)_ldap.secret
> оставить пустыми или удалить ?
> 
> Я правильно понял рецепт ? 

Почти. ;) Основное - убедиться, что через anonymous bind можно
получать то, что нужно системе для работы (username/uid/gid).

-- 
WBR, Dmitry Lebkov

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Anton Gorlov]

Dmitry Lebkov пишет:

>> DL> Настрой LDAP на anonymous bind. И (pam|nss)_ldap - на него же.
>> При этом, анонимус получит доступ к парольным полям (на чтение).
> Нет. Там весь смысл в том, чтоб общедоступную информацию (UID/GID)
> мог получить любой (через anonymous bind), а проверка пароля производится
> посредством попытки сделать bind к LDAP'у, используя имя и пароль
> пользователя, который пытается авторизоваться в системе.
> Hint: привилегия auth в настройках ACL OpenLDAP'а.

Мужики..если кто настроет такое - запиште дял будующих поколений пример 
на wiki.. где-нить здесь:
http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP?v=1845&search=ldap

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Dmitriy L. Kruglikov]

На календаре было: Понедельник, 12 Февраль 2007 года,
Anton Gorlov писал(а) в сообщении: 

AG == Anton Gorlov

AG> Мужики..если кто настроет такое - запиште дял будующих поколений пример 
AG> на wiki.. где-нить здесь:
AG> http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP?v=1845&search=ldap

Ну ..... В первом приближении работает ....

Сейчас вылавливаю баги ...

Попутно вопрос:
У меня несколько своя схема дерева в LDAP.
Если я заточу все под свою, то она как бы 
станет стандартом...
И перетачивать потом будет не шибко весело...

Готов скооперироваться с любым желающим
чтоб потом не только меня пинали... :)


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Дорогая, ты увидишь, он бескрайний, я тебе его дарю

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Anton Gorlov]

Dmitriy L. Kruglikov пишет:

AG> Мужики..если кто настроет такое - запиште дял будующих поколений пример
> AG> на wiki.. где-нить здесь:
> AG> http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP?v=1845&search=ldap
> Ну ..... В первом приближении работает ....
> Сейчас вылавливаю баги ...
> Попутно вопрос:
> У меня несколько своя схема дерева в LDAP.
> Если я заточу все под свою, то она как бы 
> станет стандартом...
> И перетачивать потом будет не шибко весело...

Хм. Я ставраюсь  более-менее придерживаться к имеющимся вещам..а если уж 
чтото над одобавить -то нев заменсуществующему,а кк дополнение.

Re: [Sysadmins] Пароль в /etc/nss_ldap.secret

[Dmitriy L. Kruglikov]

На календаре было: Понедельник, 12 Февраль 2007 года,
Anton Gorlov писал(а) в сообщении: 

AG == Anton Gorlov

AG> Хм. Я ставраюсь  более-менее придерживаться к имеющимся вещам..а если уж 
AG> чтото над одобавить -то нев заменсуществующему,а кк дополнение.

В файле /etc/(pam|nss)_ldap.conf кое где можно сократить поисковой базы...
Тогда редактирование файла сведется к минимуму ...
# You can omit the suffix eg:
# nss_base_passwd       ou=People,
# to append the default base DN but this
# may incur a small performance impact.
nss_base_passwd         ou=People,?one
nss_base_shadow         ou=People,?one
nss_base_group          ou=Groups,?one
nss_base_hosts          ou=Computers,?one
Проверено, работает ...

Но кому-то может понравится делать не ou=People,
а ou=Users, или еще как ....

У меня все в одной ветке .... 
Кто-то хочет иметь отдельные ветки для каждого сервиса.

Нужно выйти на какой-то уровень оптимальности ...




--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_gmail_dot_com      |@_@ |
 DKR6-RIPE                               |!_/ |
 XMPP:dkr6@jabber.ru                    //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Я жил в бедности и умру богатым; но с несравненно большим 
удовольствием я прожил бы богатым и умер в бедности.
		-- Б.Дизраэли