Exim - шифрование паролей

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Morty » 2007-11-15 16:23:44

есть мысля в конфиге Лиса ничего не менять, но чтобы получить шифрование при передаче данных
"поставит перед Экзимом" какуюто приблуду, например

Код: Выделить всё

/usr/posrts/security/stunnel
вот описание порта

Код: Выделить всё

The stunnel program is designed to work  as  SSL  encryption
wrapper between remote client and local (inetd-startable) or
remote server. The concept is that having non-SSL aware dae-
mons  running  on  your  system you can easily setup them to
communicate with clients over secure SSL channel.

stunnel can be used to add  SSL  functionality  to  commonly
used  inetd  daemons  like  POP-2,  POP-3  and  IMAP servers
without any changes in the programs' code.

WWW: http://stunnel.mirt.net/

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Alex Keda » 2007-11-15 21:47:52

man ssl/tls?
Убей их всех! Бог потом рассортирует...

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Al » 2007-11-16 12:31:48

Насколько я понял,это шифрованный тунель между клиентом-сервером. Exim сам, вроде, поддерживает ssl-tls....

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: Exim - шифрование паролей

Непрочитанное сообщение freeman » 2007-11-19 17:04:43

Al писал(а):Насколько я понял,это шифрованный тунель между клиентом-сервером. Exim сам, вроде, поддерживает ssl-tls....
Да, а вот некоторые клиенты не умеют :)
Остатся должен только один ...

anseis
проходил мимо
Сообщения: 1
Зарегистрирован: 2007-12-05 23:15:35

Re: Exim - шифрование паролей

Непрочитанное сообщение anseis » 2007-12-05 23:32:16

Народ, ну чего вы тут думу развели... не будет работать CRAM-MD5 с паролями в базе, если они не PLAIN. Не будет, ибо алгоритм метода не позволит....

http://en.wikipedia.org/wiki/CRAM-MD5

Если вкратце, то сервер до аутентификации клиента создает и отправляет клиенту рандомную строку (challenge string). Клиент ее получает, комбинирует с паролем снимает хэш MD5 и отправляет серверу. Сервер берет PLAIN пароль, комбинирует его на своей стороне с challenge string, которую послал клиенту вначале и снимает с этого хэш MD5. Если хэш переданный клиентом и полученный сервером совпали, то аутентификация пройдена успешно.

Если клиент будет передавать просто MD5 хэш пароля, то это будет эквивалентно PLAIN аутентификации, так как для злобных хакеров нет разницы что перехватывать и посылать в дальнейшем, сам пароль или его неизменный хэш.

Подмешиванием рандомной challenge string достигается неповторяемость хэша в разных сеансах и именно это и делает протокол аутентификации безопасным, так как перехват хэша ничего не дает.

Если пароль на стороне сервера будет не PLAIN эта схема работать перестанет.

Можно конечно вместо пароля использовать его MD5 хэш, но это будет уже не CRAM-MD5, а что-то другое

100kg
ст. сержант
Сообщения: 393
Зарегистрирован: 2006-05-18 14:01:32

Re: Exim - шифрование паролей

Непрочитанное сообщение 100kg » 2008-01-12 23:41:33

хз! че за крам! но у меня пароли в хэше стоят в бд, настраивал по статьям Лиса, Ginger`a, и еше когото, плюс с подержкой tls, оутглюк и бат проходят аутентификацию, проблем не замечал

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Alex Keda » 2008-01-13 0:36:43

да ту не про БД.
тут про передачу паролля.
==========
в бд - ты подстраховался от кражи базы, вопрос стоит о страховке от кражи пароля в пути от юзера к серверу
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Morty » 2008-01-13 20:15:01

Решил таки вернуться к stunnel. Удобно тем что в почтовую прогу влазить не придеться а зашифровать передачу данных можно и это просто.
Может кому- то пригодиться.
И так коротенько ...
-----------------
Обновляем порты
Ставим stunnel

Код: Выделить всё

cd /usr/ports/security/stunnel
make && make install && make cert && make clean
галочки оставляем поумолчанию - только PTHREAD
make cert - необходим для того чтобы сразу создать сертефикаты,
хотя можно интсалить и так

Код: Выделить всё

make install
make cert
правим конфиги, права на папки, файлы а потом make clean
В последнем случае напишет следующее:

Код: Выделить всё

To create and install a new certificate, type "make cert"

And don't forget to check out the FAQ at http://www.stunnel.org/
что мы и делаем

Код: Выделить всё

make cert
в результате получаем сертификат

Код: Выделить всё

**************************************************************************
The new certificate will be saved into /usr/local/etc/stunnel/stunnel.pem
**************************************************************************
который находиться по указанному пути.
Далее правим сам конфиг, у меня он получился такой
cat /usr/local/etc/stunnel/stunnel.conf

Код: Выделить всё

; Sample stunnel configuration file by Michal Trojnara 2002-2006
; Some options used here may not be adequate for your particular configuration
; Please make sure you understand them (especially the effect of chroot jail)

; Certificate/key is needed in server mode and optional in client mode
;cert = /usr/local/etc/stunnel/stunnel.cert
key = /usr/local/etc/stunnel/stunnel.pem

; Protocol version (all, SSLv2, SSLv3, TLSv1)
sslVersion = SSLv3

; Some security enhancements for UNIX systems - comment them out on Win32
chroot = /var/tmp/stunnel
setuid = stunnel
setgid = stunnel
; PID is created inside chroot jail
pid = /stunnel.pid

; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
;compression = rle

; Workaround for Eudora bug
;options = DONT_INSERT_EMPTY_FRAGMENTS

; Authentication stuff
;verify = 2
; Don't forget to c_rehash CApath
; CApath is located inside chroot jail
;CApath = /certs
; It's often easier to use CAfile
;CAfile = /usr/local/etc/stunnel/certs.pem
; Don't forget to c_rehash CRLpath
; CRLpath is located inside chroot jail
;CRLpath = /crls
; Alternatively you can use CRLfile
;CRLfile = /usr/local/etc/stunnel/crls.pem

; Some debugging stuff useful for troubleshooting
;debug = 7
;output = stunnel.log
; --------- ------- вот эта секция(debug) может оказаться полезнойб т.к. у меня не сразу получилось запустить
; Use it for client mode
;client = yes

; Service-level configuration

[pop3s]
accept  = 995
connect = 127.0.0.1:110

[imaps]
accept  = 993
connect = 127.0.0.1:143

[ssmtp]
accept  = 465
connect = 127.0.0.1:25

;[https]
;accept  = 443
;connect = 80
;TIMEOUTclose = 0

; vim:ft=dosini

Код: Выделить всё

echo stunnel_enable="YES" >> /etc.rc.conf
заупскаем

Код: Выделить всё

/usr/locale/etc/rc.d/stunnel start
в случае включенного дебага в конфиге выведется нечто подобное

Код: Выделить всё

Starting stunnel.
2008.01.13 16:42:19 LOG7[89512:134651904]: Snagged 64 random bytes from /root/.rnd
2008.01.13 16:42:19 LOG7[89512:134651904]: Wrote 1024 new random bytes to /root/.rnd
2008.01.13 16:42:19 LOG7[89512:134651904]: RAND_status claims sufficient entropy for the PRNG
2008.01.13 16:42:19 LOG7[89512:134651904]: PRNG seeded successfully
2008.01.13 16:42:19 LOG7[89512:134651904]: Certificate: /usr/local/etc/stunnel/stunnel.pem
2008.01.13 16:42:19 LOG7[89512:134651904]: Certificate loaded
2008.01.13 16:42:19 LOG7[89512:134651904]: Key file: /usr/local/etc/stunnel/stunnel.pem
2008.01.13 16:42:19 LOG7[89512:134651904]: Private key loaded
2008.01.13 16:42:19 LOG7[89512:134651904]: SSL context initialized for service pop3s
2008.01.13 16:42:19 LOG7[89512:134651904]: Certificate: /usr/local/etc/stunnel/stunnel.pem
2008.01.13 16:42:19 LOG7[89512:134651904]: Certificate loaded
2008.01.13 16:42:19 LOG7[89512:134651904]: Key file: /usr/local/etc/stunnel/stunnel.pem
2008.01.13 16:42:19 LOG7[89512:134651904]: Private key loaded
2008.01.13 16:42:19 LOG7[89512:134651904]: SSL context initialized for service imaps
2008.01.13 16:42:19 LOG7[89512:134651904]: Certificate: /usr/local/etc/stunnel/stunnel.pem
2008.01.13 16:42:19 LOG7[89512:134651904]: Certificate loaded
2008.01.13 16:42:19 LOG7[89512:134651904]: Key file: /usr/local/etc/stunnel/stunnel.pem
2008.01.13 16:42:19 LOG7[89512:134651904]: Private key loaded
2008.01.13 16:42:19 LOG7[89512:134651904]: SSL context initialized for service ssmtp
еще раз смотрим

Код: Выделить всё

ps -ax | grep stunnel
92048  ??  Ss     0:00.00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
92043  p0  S      0:00.00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
92044  p0  S      0:00.00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
92045  p0  S      0:00.00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
92046  p0  S      0:00.00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
92047  p0  S      0:00.00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
столько якобы процессов думаю потому как с тредами

Код: Выделить всё

sockstat -4 | grep stunnel
stunnel  stunnel    92048 11 tcp4   *:995                 *:*
stunnel  stunnel    92048 12 tcp4   *:993                 *:*
stunnel  stunnel    92048 13 tcp4   *:465                 *:*

Код: Выделить всё

$ pkg_info -Ix stunnel
stunnel-4.21_1      SSL encryption wrapper for standard network daemons
$
Вроде всё, в итоге имеем шифрованные POP3, SMTP, IMAP. Кому надо может юзать шифрованную передачу данных, остальные висят на обычном.
Проверял пока только Kmail'ом мне просто нравиться там кнопочки - определить возможности сервера.Вот у него на POP3 параметры
шифрование - SSL
способ авторизации - открытый текст
на СМТП
шифрование - SSL
авторизация - CRAM-MD5

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение dikens3 » 2008-01-13 21:43:02

Вроде всё, в итоге имеем шифрованные POP3, SMTP, IMAP. Кому надо может юзать шифрованную передачу данных,
1. Удобно для сервисов не имеющих возможности шифрования. :-)
2. Всё в одном конфиге. (не нужно изучать каждый сервис на предмет шифрования.)
3. Статью написал бы.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Morty » 2008-01-13 22:44:26

могу попробовать написать статью, куда потом выкладывать что б народ оценил ?
в раздел О Сайте ?

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Al » 2008-01-13 22:49:28

Morty писал(а):могу попробовать написать статью, куда потом выкладывать что б народ оценил ?в раздел О Сайте ?
да,типа того.
А вообще вариант решения интересный. что-то я даж и не думал,что такое есть...
Одним словом,спасиба!

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение dikens3 » 2008-01-13 23:31:05

Morty писал(а):могу попробовать написать статью, куда потом выкладывать что б народ оценил ?
в раздел О Сайте ?
http://www.lissyara.su/admin_level/enable_auth.php

У лиса спроси в какой раздел.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Alex Keda » 2008-01-14 1:36:11

Однако, лучше вначале в раздел про сайт.
оформлять можешь нормально сразу, синтаксис тегов сайта/форума почти одинаков.
Убей их всех! Бог потом рассортирует...