Exim - шифрование паролей

[Morty]

есть мысля в конфиге Лиса ничего не менять, но чтобы получить шифрование при передаче данных
"поставит перед Экзимом" какуюто приблуду, например

Код: Выделить всё

/usr/posrts/security/stunnel

вот описание порта

Код: Выделить всё

The stunnel program is designed to work  as  SSL  encryption
wrapper between remote client and local (inetd-startable) or
remote server. The concept is that having non-SSL aware dae-
mons  running  on  your  system you can easily setup them to
communicate with clients over secure SSL channel.

stunnel can be used to add  SSL  functionality  to  commonly
used  inetd  daemons  like  POP-2,  POP-3  and  IMAP servers
without any changes in the programs' code.

WWW: http://stunnel.mirt.net/

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

man ssl/tls?

[Al]

Насколько я понял,это шифрованный тунель между клиентом-сервером. Exim сам, вроде, поддерживает ssl-tls....

[freeman]

Насколько я понял,это шифрованный тунель между клиентом-сервером. Exim сам, вроде, поддерживает ssl-tls....

Да, а вот некоторые клиенты не умеют

[anseis]

Народ, ну чего вы тут думу развели... не будет работать CRAM-MD5 с паролями в базе, если они не PLAIN. Не будет, ибо алгоритм метода не позволит....

http://en.wikipedia.org/wiki/CRAM-MD5

Если вкратце, то сервер до аутентификации клиента создает и отправляет клиенту рандомную строку (challenge string). Клиент ее получает, комбинирует с паролем снимает хэш MD5 и отправляет серверу. Сервер берет PLAIN пароль, комбинирует его на своей стороне с challenge string, которую послал клиенту вначале и снимает с этого хэш MD5. Если хэш переданный клиентом и полученный сервером совпали, то аутентификация пройдена успешно.

Если клиент будет передавать просто MD5 хэш пароля, то это будет эквивалентно PLAIN аутентификации, так как для злобных хакеров нет разницы что перехватывать и посылать в дальнейшем, сам пароль или его неизменный хэш.

Подмешиванием рандомной challenge string достигается неповторяемость хэша в разных сеансах и именно это и делает протокол аутентификации безопасным, так как перехват хэша ничего не дает.

Если пароль на стороне сервера будет не PLAIN эта схема работать перестанет.

Можно конечно вместо пароля использовать его MD5 хэш, но это будет уже не CRAM-MD5, а что-то другое

[100kg]

хз! че за крам! но у меня пароли в хэше стоят в бд, настраивал по статьям Лиса, Ginger`a, и еше когото, плюс с подержкой tls, оутглюк и бат проходят аутентификацию, проблем не замечал

[Alex Keda]

да ту не про БД.
тут про передачу паролля.
==========
в бд - ты подстраховался от кражи базы, вопрос стоит о страховке от кражи пароля в пути от юзера к серверу

[Morty]

Решил таки вернуться к stunnel. Удобно тем что в почтовую прогу влазить не придеться а зашифровать передачу данных можно и это просто.
Может кому- то пригодиться.
И так коротенько ...
-----------------
Обновляем порты
Ставим stunnel

Код: Выделить всё

cd /usr/ports/security/stunnel
make && make install && make cert && make clean

галочки оставляем поумолчанию - только PTHREAD
make cert - необходим для того чтобы сразу создать сертефикаты,
хотя можно интсалить и так

Код: Выделить всё

make install
make cert

правим конфиги, права на папки, файлы а потом make clean
В последнем случае напишет следующее:

Код: Выделить всё

To create and install a new certificate, type "make cert"

And don't forget to check out the FAQ at http://www.stunnel.org/

что мы и делаем

Код: Выделить всё

make cert

в результате получаем сертификат

Код: Выделить всё

**************************************************************************
The new certificate will be saved into /usr/local/etc/stunnel/stunnel.pem
**************************************************************************

который находиться по указанному пути.
Далее правим сам конфиг, у меня он получился такой
cat /usr/local/etc/stunnel/stunnel.conf

Код: Выделить всё

; Sample stunnel configuration file by Michal Trojnara 2002-2006
; Some options used here may not be adequate for your particular configuration
; Please make sure you understand them (especially the effect of chroot jail)

; Certificate/key is needed in server mode and optional in client mode
;cert = /usr/local/etc/stunnel/stunnel.cert
key = /usr/local/etc/stunnel/stunnel.pem

; Protocol version (all, SSLv2, SSLv3, TLSv1)
sslVersion = SSLv3

; Some security enhancements for UNIX systems - comment them out on Win32
chroot = /var/tmp/stunnel
setuid = stunnel
setgid = stunnel
; PID is created inside chroot jail
pid = /stunnel.pid

; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
;compression = rle

; Workaround for Eudora bug
;options = DONT_INSERT_EMPTY_FRAGMENTS

; Authentication stuff
;verify = 2
; Don't forget to c_rehash CApath
; CApath is located inside chroot jail
;CApath = /certs
; It's often easier to use CAfile
;CAfile = /usr/local/etc/stunnel/certs.pem
; Don't forget to c_rehash CRLpath
; CRLpath is located inside chroot jail
;CRLpath = /crls
; Alternatively you can use CRLfile
;CRLfile = /usr/local/etc/stunnel/crls.pem

; Some debugging stuff useful for troubleshooting
;debug = 7
;output = stunnel.log
; --------- ------- вот эта секция(debug) может оказаться полезнойб т.к. у меня не сразу получилось запустить
; Use it for client mode
;client = yes

; Service-level configuration

[pop3s]
accept  = 995
connect = 127.0.0.1:110

[imaps]
accept  = 993
connect = 127.0.0.1:143

[ssmtp]
accept  = 465
connect = 127.0.0.1:25

;[https]
;accept  = 443
;connect = 80
;TIMEOUTclose = 0

; vim:ft=dosini

Код: Выделить всё

echo stunnel_enable="YES" >> /etc.rc.conf

заупскаем

Код: Выделить всё

/usr/locale/etc/rc.d/stunnel start

в случае включенного дебага в конфиге выведется нечто подобное

Код: Выделить всё

Starting stunnel.
2008.01.13 16:42:19 LOG7[89512:134651904]: Snagged 64 random bytes from /root/.rnd
2008.01.13 16:42:19 LOG7[89512:134651904]: Wrote 1024 new random bytes to /root/.rnd
2008.01.13 16:42:19 LOG7[89512:134651904]: RAND_status claims sufficient entropy for the PRNG
2008.01.13 16:42:19 LOG7[89512:134651904]: PRNG seeded successfully
2008.01.13 16:42:19 LOG7[89512:134651904]: Certificate: /usr/local/etc/stunnel/stunnel.pem
2008.01.13 16:42:19 LOG7[89512:134651904]: Certificate loaded
2008.01.13 16:42:19 LOG7[89512:134651904]: Key file: /usr/local/etc/stunnel/stunnel.pem
2008.01.13 16:42:19 LOG7[89512:134651904]: Private key loaded
2008.01.13 16:42:19 LOG7[89512:134651904]: SSL context initialized for service pop3s
2008.01.13 16:42:19 LOG7[89512:134651904]: Certificate: /usr/local/etc/stunnel/stunnel.pem
2008.01.13 16:42:19 LOG7[89512:134651904]: Certificate loaded
2008.01.13 16:42:19 LOG7[89512:134651904]: Key file: /usr/local/etc/stunnel/stunnel.pem
2008.01.13 16:42:19 LOG7[89512:134651904]: Private key loaded
2008.01.13 16:42:19 LOG7[89512:134651904]: SSL context initialized for service imaps
2008.01.13 16:42:19 LOG7[89512:134651904]: Certificate: /usr/local/etc/stunnel/stunnel.pem
2008.01.13 16:42:19 LOG7[89512:134651904]: Certificate loaded
2008.01.13 16:42:19 LOG7[89512:134651904]: Key file: /usr/local/etc/stunnel/stunnel.pem
2008.01.13 16:42:19 LOG7[89512:134651904]: Private key loaded
2008.01.13 16:42:19 LOG7[89512:134651904]: SSL context initialized for service ssmtp

еще раз смотрим

Код: Выделить всё

ps -ax | grep stunnel
92048  ??  Ss     0:00.00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
92043  p0  S      0:00.00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
92044  p0  S      0:00.00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
92045  p0  S      0:00.00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
92046  p0  S      0:00.00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
92047  p0  S      0:00.00 /usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf

столько якобы процессов думаю потому как с тредами

Код: Выделить всё

sockstat -4 | grep stunnel
stunnel  stunnel    92048 11 tcp4   *:995                 *:*
stunnel  stunnel    92048 12 tcp4   *:993                 *:*
stunnel  stunnel    92048 13 tcp4   *:465                 *:*

Код: Выделить всё

$ pkg_info -Ix stunnel
stunnel-4.21_1      SSL encryption wrapper for standard network daemons
$

Вроде всё, в итоге имеем шифрованные POP3, SMTP, IMAP. Кому надо может юзать шифрованную передачу данных, остальные висят на обычном.
Проверял пока только Kmail'ом мне просто нравиться там кнопочки - определить возможности сервера.Вот у него на POP3 параметры
шифрование - SSL
способ авторизации - открытый текст
на СМТП
шифрование - SSL
авторизация - CRAM-MD5

[dikens3]

Вроде всё, в итоге имеем шифрованные POP3, SMTP, IMAP. Кому надо может юзать шифрованную передачу данных,

1. Удобно для сервисов не имеющих возможности шифрования. :-)
2. Всё в одном конфиге. (не нужно изучать каждый сервис на предмет шифрования.)
3. Статью написал бы.

[Morty]

могу попробовать написать статью, куда потом выкладывать что б народ оценил ?
в раздел О Сайте ?

[Al]

могу попробовать написать статью, куда потом выкладывать что б народ оценил ?в раздел О Сайте ?

да,типа того.
А вообще вариант решения интересный. что-то я даж и не думал,что такое есть...
Одним словом,спасиба!

[dikens3]

могу попробовать написать статью, куда потом выкладывать что б народ оценил ?
в раздел О Сайте ?

http://www.lissyara.su/admin_level/enable_auth.php

У лиса спроси в какой раздел.

[Alex Keda]

Однако, лучше вначале в раздел про сайт.
оформлять можешь нормально сразу, синтаксис тегов сайта/форума почти одинаков.