Exim - шифрование паролей
Модератор: xM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Exim - шифрование паролей
Вот возник вот у меня вопрос:
шифровать пароли пользователей в базе или нет?
И какие вообще плюсы и минусы шифрования? Кто че скажет???? Есть смысл?
шифровать пароли пользователей в базе или нет?
И какие вообще плюсы и минусы шифрования? Кто че скажет???? Есть смысл?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- serge
- майор
- Сообщения: 2133
- Зарегистрирован: 2006-07-30 15:34:14
- Откуда: Саратов
- Контактная информация:
Re: Exim - шифрование паролей
Плюс в том что пароль не подсмотришь, минус в этом же
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Exim - шифрование паролей
Минус в том, что нельзя будет использовать некоторые аутентификаторы.
Т.е. придётся хранить clear & crypt :-)
Нафига спрашивается?
Т.е. придётся хранить clear & crypt :-)
Нафига спрашивается?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: Exim - шифрование паролей
Т.е. смысла нет??
А реально слить базу,если открыты порты pop+smtp+postfixadmin через апач???
Ведь потом открытый релей на всю жизнь....Я в этом деле нуб..помогите оценить ситуацию
А реально слить базу,если открыты порты pop+smtp+postfixadmin через апач???
Ведь потом открытый релей на всю жизнь....Я в этом деле нуб..помогите оценить ситуацию
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: Exim - шифрование паролей
теоретически ниче не грозит , но это теоретически, т.к.
поп3 , смтп , база, апач - каждый демон работает от своей учетки , права на каждые файлы с которыми он работает соответсвующие.
Но вот Постфиксадимн например имеет вкладку Backup !
Где как раз таки можно снять бэкап БД - и в случае не криптованных паролей - все класно будет просматриваться.
Вывод - немножко параноии никогда не помешает -) Но вот как ты будешь делать - криптить пароли или убирать закладку бэкап из постфиксадмина это уже другое дело. И необизательно открыты релей на всю жизнь - такие как mail.ru тебе быстро дадут понять что ты не маладец - 1-2 раза(в бане) будет достаточно , вот тут очень быстро начнешь соображать
поп3 , смтп , база, апач - каждый демон работает от своей учетки , права на каждые файлы с которыми он работает соответсвующие.
Но вот Постфиксадимн например имеет вкладку Backup !
Где как раз таки можно снять бэкап БД - и в случае не криптованных паролей - все класно будет просматриваться.
Вывод - немножко параноии никогда не помешает -) Но вот как ты будешь делать - криптить пароли или убирать закладку бэкап из постфиксадмина это уже другое дело. И необизательно открыты релей на всю жизнь - такие как mail.ru тебе быстро дадут понять что ты не маладец - 1-2 раза(в бане) будет достаточно , вот тут очень быстро начнешь соображать
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: Exim - шифрование паролей
вообще у меня доступ к админским тулзам по паролю+сертификат....
тоесть,надо шифровать??
тоесть,надо шифровать??
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: Exim - шифрование паролей
не знаю -)
как тут было выше сказано - свои +/-
у меня в открытом виде (без шифрования)- по одной причине - просто лично мне так удобнее.(всегда можно посмотреть в БД у кого какой пароль, а будь он криптован - менять на другой а это не очень вариант)
И доступ к Мусе по ТСП/ип фаерволом доступен только для 1 ип-адр - оффиса.
Мое имхо - самая главаня дырка это человеческий фактор. Ограничить кол - во людей которые работают с серваком - например до 1-3.
как тут было выше сказано - свои +/-
у меня в открытом виде (без шифрования)- по одной причине - просто лично мне так удобнее.(всегда можно посмотреть в БД у кого какой пароль, а будь он криптован - менять на другой а это не очень вариант)
И доступ к Мусе по ТСП/ип фаерволом доступен только для 1 ип-адр - оффиса.
Мое имхо - самая главаня дырка это человеческий фактор. Ограничить кол - во людей которые работают с серваком - например до 1-3.
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: Exim - шифрование паролей
Я вот решил все-таки попробовать шифровать...
в postfixadmin в конфиг
в /usr/local/etc/dovecot.conf
завожу пользователя в postfixadmine, пытаюсь проверить почту-а в ответ-неверный пароль в логах......
че нетак???
в postfixadmin в конфиг
Код: Выделить всё
$CONF['encrypt'] = 'md5crypt';
Код: Выделить всё
mechanisms = cram-md5 digest-md5 apop
socket listen {
master {
path = /var/run/dovecot/auth-master
mode = 0600
user = mailnull
}
client {
path = /var/run/dovecot/auth-client
mode = 0660
user = mailnull
}
}
че нетак???
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: Exim - шифрование паролей
дальше связку смотри
dovecot-sql.conf...и прочее что присмыкает -)
dovecot-sql.conf...и прочее что присмыкает -)
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: Exim - шифрование паролей
не,ну это я и сам понял....
Если у кого реально работает,подскажите,в чем косяк....
Если у кого реально работает,подскажите,в чем косяк....
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: Exim - шифрование паролей
есть мысль,что постфиксадмин и dovecot шифруют по-разному.......
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: Exim - шифрование паролей
а покажи что в логах - когда говорит что пароль не верен.
и посм в БД на предмет того что пароли действительно криптяться
-----
кстати ты по статье делал exim+dovecot ? толко с отклонениями по "крипт " пасов ? если так то я могу завтра на работе
попробовать продублировать ситуацию только попытаться закриптить пасы...может прийдем к решению.
и посм в БД на предмет того что пароли действительно криптяться
-----
кстати ты по статье делал exim+dovecot ? толко с отклонениями по "крипт " пасов ? если так то я могу завтра на работе
попробовать продублировать ситуацию только попытаться закриптить пасы...может прийдем к решению.
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: Exim - шифрование паролей
если в dovecot-sql.clnf default_pass_scheme = PLAIN, то
насколько я понимаю,не совпал пароль
а если default_pass_scheme = MD5-CRYPT
я никак не пойму,почему у меня лдап,когда я указываю крам..........
Спасай!
Код: Выделить всё
dovecot: Oct 31 11:53:35 Info: auth(default): client in: CONT 2 d3d3QHRlc3QubG9jYWwgNGI2ZWZjZWQ5MmYzODJkZjhkNjU2YTA0YThhYzljMmU=
dovecot: Oct 31 11:53:35 Info: auth-worker(default): sql(www@test.local,192.168.92.80): query: SELECT `username` as `user`, `password` FROM `mailbox` WHERE `username` = 'www@test.local' AND `active`='1'
dovecot: Oct 31 11:53:35 Info: auth(default): password(www@test.local,192.168.92.80): Credentials: 83cfb6d8028a5c767bdda4e6ba56c7bd0dc041aedd4d6315bad8260bf2feeb19
dovecot: Oct 31 11:53:35 Info: auth(default): cram-md5(www@test.local,192.168.92.80): password mismatch
dovecot: Oct 31 11:53:35 Info: auth(default): client out: FAIL 2 user=www@test.local
dovecot: Oct 31 11:53:35 Info: auth(default): client in: AUTH 3 CRAM-MD5 service=POP3 lip=192.168.93.220 rip=192.168.92.80 resp=
dovecot: Oct 31 11:53:35 Info: auth(default): client out: CONT 3 PDMzOTgzNzYzMzA4MTEzNzQuMTE5MzgyMDgxNUBzcnYucnN2ZXQ+
а если default_pass_scheme = MD5-CRYPT
Код: Выделить всё
dovecot: Oct 31 11:56:10 Info: auth(default): client in: AUTH 1 CRAM-MD5 service=POP3 lip=192.168.93.220 rip=192.168.92.80 resp=
dovecot: Oct 31 11:56:10 Info: auth(default): client out: CONT 1 PDA3NTUwNDkwMDA5OTc1NTUuMTE5MzgyMDk3MEBzcnYucnN2ZXQ+
dovecot: Oct 31 11:56:12 Info: auth(default): client in: CONT 1 d3d3QHRlc3QubG9jYWwgYzc3ZDA0Nzk0YTc1Mzg2NWNiNzdhMzVmNTAxNzQyNDM=
dovecot: Oct 31 11:56:12 Info: auth-worker(default): sql(www@test.local,192.168.92.80): query: SELECT `username` as `user`, `password` FROM `mailbox` WHERE `username` = 'www@test.local' AND `active`='1'
dovecot: Oct 31 11:56:12 Info: auth-worker(default): password(www@test.local,192.168.92.80): Requested CRAM-MD5 scheme, but we have only LDAP-MD5
dovecot: Oct 31 11:56:14 Info: auth(default): client out: FAIL 1 user=www@test.local
dovecot: Oct 31 11:56:14 Info: auth(default): client in: AUTH 2 CRAM-MD5 service=POP3 lip=192.168.93.220 rip=192.168.92.80 resp=
dovecot: Oct 31 11:56:14 Info: auth(default): client out: CONT 2 PDM4Mzc5MTQ5Nzg5NDkyMTMuMTE5MzgyMDk3NEBzcnYucnN2ZXQ+
Спасай!
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: Exim - шифрование паролей
щас на свой комп поставлю по статье exim+dovecot
поковыряю ...
поковыряю ...
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: Exim - шифрование паролей
мде хорошего мало
поставил весь софт...
в конфиг постфиксадмина прописал md5crypt
в dovecot.conf
mechanisms = cram-md5
в dovecot-sql.conf
default_pass_scheme = MD5-CRYPT
------------
В постфиксадмине создал домен , завел ящик. Потом проверил в MySQL , на этот ящик пароль записан не в открытом виде(криптован)
Берем ЗеБат настраиваем на это дело в ПОП3 ставим MD5-CRAM(RFC-2095)
И ничего не получаем -((
...вопшем нада еще поковырять
поставил весь софт...
в конфиг постфиксадмина прописал md5crypt
в dovecot.conf
mechanisms = cram-md5
в dovecot-sql.conf
default_pass_scheme = MD5-CRYPT
------------
В постфиксадмине создал домен , завел ящик. Потом проверил в MySQL , на этот ящик пароль записан не в открытом виде(криптован)
Берем ЗеБат настраиваем на это дело в ПОП3 ставим MD5-CRAM(RFC-2095)
И ничего не получаем -((
...вопшем нада еще поковырять
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: Exim - шифрование паролей
вот точно то же самое я и сделал.....есть мысли,что постфиксадмин как-то не так шифрует пароли,как этого хочет экзим.у тебя эта связка хоть где-нть работает??
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: Exim - шифрование паролей
да, эта связка рабочая - это 99,99 %
но рабоча при условии что пароли храняться в PLAIN (довекот,бд и экзим заточены на PLAIN)
а вот с криптованием что-то
кстати функция МД5крипт таки своя в постфиксадмине - находиться в
functions.inc.php
там есть function md5crypt (668 строчка в конфиге )
---------
если я сейчас все верну в plain - сервак работать будет
но рабоча при условии что пароли храняться в PLAIN (довекот,бд и экзим заточены на PLAIN)
а вот с криптованием что-то
кстати функция МД5крипт таки своя в постфиксадмине - находиться в
functions.inc.php
там есть function md5crypt (668 строчка в конфиге )
---------
если я сейчас все верну в plain - сервак работать будет
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: Exim - шифрование паролей
Ну да,я вот и говорю,что может экзим фифрует по одной схеме,а довекот расшифровывает по другой......вот они и не сходятся....
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: Exim - шифрование паролей
нада вместо md5crypt в конфиге постфиксадмина
попробовать system -> там сказано что php юзает , а конфиг пхп по умолчанию для хэшей юзает MD5
может и бред канешно -)
но можно еще так попробовать
попробовать system -> там сказано что php юзает , а конфиг пхп по умолчанию для хэшей юзает MD5
может и бред канешно -)
но можно еще так попробовать
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: Exim - шифрование паролей
Я уже,вроде,все возможные варианты перебрал.........
Никак не пойму,в чем косяк.....
А у одного и тогоже пароля МД5 хэш ведь буит каждый раз одинаковай???
Никак не пойму,в чем косяк.....
А у одного и тогоже пароля МД5 хэш ведь буит каждый раз одинаковай???
- Andy2k
- ефрейтор
- Сообщения: 69
- Зарегистрирован: 2007-08-06 16:14:12
Re: Exim - шифрование паролей
У меня работают шифрованные пароли. Делал так:
config.inc.php от postfixadmin
dovecot-sql.conf
Все работает без проблем.
Насчет SMTP аутентификации при использовании шифрованных паролей я тут уже писАл. Ключ к решению этой проблемы - использование экзимовского аутентификатора dovecot и соответственно аутентификация пользователей средствами dovecot.
config.inc.php от postfixadmin
Код: Выделить всё
$CONF['encrypt'] = 'md5crypt';
Код: Выделить всё
default_pass_scheme = MD5-CRYPT
Код: Выделить всё
password_query = SELECT `username` as `user`, `password` FROM `mailbox` WHERE `username` like('%n@%%') AND `active`='1'
Насчет SMTP аутентификации при использовании шифрованных паролей я тут уже писАл. Ключ к решению этой проблемы - использование экзимовского аутентификатора dovecot и соответственно аутентификация пользователей средствами dovecot.
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: Exim - шифрование паролей
Вроде,разобрался...
Всем кто участвовал, огромное спасибо!
все, как писал Andy2k,но у меня с ЗеБатом пошло только при таких аутентификаторах в экзиме:
если убрать коменты-не могут договориться.....
а так не работает шифрование - если ставим в бате "безопасную аутентификацию" или MD5, то опять косяк........
Есть мысли???
Тема пока не закрыта!
Всем кто участвовал, огромное спасибо!
все, как писал Andy2k,но у меня с ЗеБатом пошло только при таких аутентификаторах в экзиме:
Код: Выделить всё
auth_plain:
driver = dovecot
public_name = PLAIN
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1
auth_login:
driver = dovecot
public_name = LOGIN
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1
#auth_cram_md5:
# driver = dovecot
# public_name = CRAM-MD5
# server_socket = /var/run/dovecot/auth-client
# server_set_id = $auth1
а так не работает шифрование - если ставим в бате "безопасную аутентификацию" или MD5, то опять косяк........
Есть мысли???
Тема пока не закрыта!
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: Exim - шифрование паролей
у меня последняя секция как описана в статье
ничего не трогал...ЗеБат в дефолтовых настройках - тип авторизации обычный
Код: Выделить всё
auth_cram_md5:
driver = cram_md5
public_name = CRAM-MD5
server_secret = ${lookup mysql{SELECT `password` FROM \
`mailbox` WHERE `username` \
= '${quote_mysql:$auth1}'}{$value}fail}
server_set_id = $auth2
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: Exim - шифрование паролей
Дык у тя без шифрования паролей в базе. А надо с шифрованием.У меня с шифрованием не работает,если в зебате ставишь MD5. А с обычной работает все ок.Я чуть выше написал как.....
Но ведь хочется еще и шифрованную аутентификацию
Но ведь хочется еще и шифрованную аутентификацию
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: Exim - шифрование паролей
могу только предположить что нада кверю
менять ... как не знаю -(
читал/смотрел искал вот тут -
http://wiki.exim.org/AuthenticatedSmtpUsingDovecot
http://wiki.exim.org/AuthenticatedSmtpUsingMysql
и архив с конифгами http://wiki.exim.org/ConfigurationFile? ... .pr_BR.zip
больше помочь наверно нечем -( уровень у меня не тот
Код: Выделить всё
server_secret = ${lookup mysql{SELECT `password` FROM \
`mailbox` WHERE `username` \
= '${quote_mysql:$auth1}'}{$value}fail}
читал/смотрел искал вот тут -
http://wiki.exim.org/AuthenticatedSmtpUsingDovecot
http://wiki.exim.org/AuthenticatedSmtpUsingMysql
и архив с конифгами http://wiki.exim.org/ConfigurationFile? ... .pr_BR.zip
больше помочь наверно нечем -( уровень у меня не тот