Exim - шифрование паролей

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Exim - шифрование паролей

Непрочитанное сообщение Al » 2007-10-29 14:48:41

Вот возник вот у меня вопрос:
шифровать пароли пользователей в базе или нет?
И какие вообще плюсы и минусы шифрования? Кто че скажет???? Есть смысл?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
serge
майор
Сообщения: 2133
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение serge » 2007-10-29 15:05:40

Плюс в том что пароль не подсмотришь, минус в этом же :)

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение dikens3 » 2007-10-29 15:49:22

Минус в том, что нельзя будет использовать некоторые аутентификаторы.
Т.е. придётся хранить clear & crypt :-)
Нафига спрашивается?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Al » 2007-10-29 20:56:57

Т.е. смысла нет??
А реально слить базу,если открыты порты pop+smtp+postfixadmin через апач???
Ведь потом открытый релей на всю жизнь....Я в этом деле нуб..помогите оценить ситуацию :?

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Morty » 2007-10-30 0:56:15

теоретически ниче не грозит , но это теоретически, т.к.
поп3 , смтп , база, апач - каждый демон работает от своей учетки , права на каждые файлы с которыми он работает соответсвующие.
Но вот Постфиксадимн например имеет вкладку Backup !
Где как раз таки можно снять бэкап БД - и в случае не криптованных паролей - все класно будет просматриваться.
Вывод - немножко параноии никогда не помешает -) Но вот как ты будешь делать - криптить пароли или убирать закладку бэкап из постфиксадмина это уже другое дело. И необизательно открыты релей на всю жизнь - такие как mail.ru тебе быстро дадут понять что ты не маладец - 1-2 раза(в бане) будет достаточно , вот тут очень быстро начнешь соображать :)

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Al » 2007-10-30 9:39:16

вообще у меня доступ к админским тулзам по паролю+сертификат....
тоесть,надо шифровать??

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Morty » 2007-10-30 11:19:08

не знаю -)
как тут было выше сказано - свои +/-
у меня в открытом виде (без шифрования)- по одной причине - просто лично мне так удобнее.(всегда можно посмотреть в БД у кого какой пароль, а будь он криптован - менять на другой а это не очень вариант)
И доступ к Мусе по ТСП/ип фаерволом доступен только для 1 ип-адр - оффиса.
Мое имхо - самая главаня дырка это человеческий фактор. Ограничить кол - во людей которые работают с серваком - например до 1-3.

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Al » 2007-10-30 14:30:36

Я вот решил все-таки попробовать шифровать...
в postfixadmin в конфиг

Код: Выделить всё

$CONF['encrypt'] = 'md5crypt';
в /usr/local/etc/dovecot.conf

Код: Выделить всё

 mechanisms = cram-md5 digest-md5 apop
   socket listen {
     master {
       path = /var/run/dovecot/auth-master
       mode = 0600
       user = mailnull
     }
     client {
       path = /var/run/dovecot/auth-client
       mode = 0660
        user = mailnull
     }
   }
завожу пользователя в postfixadmine, пытаюсь проверить почту-а в ответ-неверный пароль в логах......
че нетак???

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Morty » 2007-10-30 16:16:11

дальше связку смотри
dovecot-sql.conf...и прочее что присмыкает -)

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Al » 2007-10-30 17:42:40

не,ну это я и сам понял....
Если у кого реально работает,подскажите,в чем косяк....

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Al » 2007-10-30 18:01:53

есть мысль,что постфиксадмин и dovecot шифруют по-разному.......

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Morty » 2007-10-31 1:47:07

а покажи что в логах - когда говорит что пароль не верен.
и посм в БД на предмет того что пароли действительно криптяться
-----
кстати ты по статье делал exim+dovecot ? толко с отклонениями по "крипт " пасов ? если так то я могу завтра на работе
попробовать продублировать ситуацию только попытаться закриптить пасы...может прийдем к решению.

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Al » 2007-10-31 11:57:11

если в dovecot-sql.clnf default_pass_scheme = PLAIN, то

Код: Выделить всё

dovecot: Oct 31 11:53:35 Info: auth(default): client in: CONT   2       d3d3QHRlc3QubG9jYWwgNGI2ZWZjZWQ5MmYzODJkZjhkNjU2YTA0YThhYzljMmU=
dovecot: Oct 31 11:53:35 Info: auth-worker(default): sql(www@test.local,192.168.92.80): query: SELECT `username` as `user`, `password` FROM  `mailbox` WHERE `username` = 'www@test.local' AND `active`='1'
dovecot: Oct 31 11:53:35 Info: auth(default): password(www@test.local,192.168.92.80): Credentials: 83cfb6d8028a5c767bdda4e6ba56c7bd0dc041aedd4d6315bad8260bf2feeb19
dovecot: Oct 31 11:53:35 Info: auth(default): cram-md5(www@test.local,192.168.92.80): password mismatch
dovecot: Oct 31 11:53:35 Info: auth(default): client out: FAIL  2       user=www@test.local
dovecot: Oct 31 11:53:35 Info: auth(default): client in: AUTH   3       CRAM-MD5        service=POP3    lip=192.168.93.220 rip=192.168.92.80       resp=
dovecot: Oct 31 11:53:35 Info: auth(default): client out: CONT  3       PDMzOTgzNzYzMzA4MTEzNzQuMTE5MzgyMDgxNUBzcnYucnN2ZXQ+
насколько я понимаю,не совпал пароль

а если default_pass_scheme = MD5-CRYPT

Код: Выделить всё

dovecot: Oct 31 11:56:10 Info: auth(default): client in: AUTH   1       CRAM-MD5        service=POP3    lip=192.168.93.220 rip=192.168.92.80       resp=
dovecot: Oct 31 11:56:10 Info: auth(default): client out: CONT  1       PDA3NTUwNDkwMDA5OTc1NTUuMTE5MzgyMDk3MEBzcnYucnN2ZXQ+
dovecot: Oct 31 11:56:12 Info: auth(default): client in: CONT   1       d3d3QHRlc3QubG9jYWwgYzc3ZDA0Nzk0YTc1Mzg2NWNiNzdhMzVmNTAxNzQyNDM=
dovecot: Oct 31 11:56:12 Info: auth-worker(default): sql(www@test.local,192.168.92.80): query: SELECT `username` as `user`, `password` FROM  `mailbox` WHERE `username` = 'www@test.local' AND `active`='1'
dovecot: Oct 31 11:56:12 Info: auth-worker(default): password(www@test.local,192.168.92.80): Requested CRAM-MD5 scheme, but we have only LDAP-MD5
dovecot: Oct 31 11:56:14 Info: auth(default): client out: FAIL  1       user=www@test.local
dovecot: Oct 31 11:56:14 Info: auth(default): client in: AUTH   2       CRAM-MD5        service=POP3    lip=192.168.93.220 rip=192.168.92.80       resp=
dovecot: Oct 31 11:56:14 Info: auth(default): client out: CONT  2       PDM4Mzc5MTQ5Nzg5NDkyMTMuMTE5MzgyMDk3NEBzcnYucnN2ZXQ+
я никак не пойму,почему у меня лдап,когда я указываю крам..........
Спасай!

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Morty » 2007-10-31 12:16:58

щас на свой комп поставлю по статье exim+dovecot
поковыряю ...

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Morty » 2007-10-31 16:10:50

мде хорошего мало
поставил весь софт...
в конфиг постфиксадмина прописал md5crypt
в dovecot.conf
mechanisms = cram-md5
в dovecot-sql.conf
default_pass_scheme = MD5-CRYPT
------------
В постфиксадмине создал домен , завел ящик. Потом проверил в MySQL , на этот ящик пароль записан не в открытом виде(криптован)
Берем ЗеБат настраиваем на это дело в ПОП3 ставим MD5-CRAM(RFC-2095)
И ничего не получаем -((
...вопшем нада еще поковырять

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Al » 2007-10-31 16:44:35

вот точно то же самое я и сделал.....есть мысли,что постфиксадмин как-то не так шифрует пароли,как этого хочет экзим.у тебя эта связка хоть где-нть работает??

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Morty » 2007-10-31 17:28:12

да, эта связка рабочая - это 99,99 %
но рабоча при условии что пароли храняться в PLAIN (довекот,бд и экзим заточены на PLAIN)
а вот с криптованием что-то :?
кстати функция МД5крипт таки своя в постфиксадмине - находиться в
functions.inc.php
там есть function md5crypt (668 строчка в конфиге )
---------
если я сейчас все верну в plain - сервак работать будет

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Al » 2007-10-31 18:12:16

Ну да,я вот и говорю,что может экзим фифрует по одной схеме,а довекот расшифровывает по другой......вот они и не сходятся....

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Morty » 2007-10-31 18:45:49

нада вместо md5crypt в конфиге постфиксадмина
попробовать system -> там сказано что php юзает , а конфиг пхп по умолчанию для хэшей юзает MD5
может и бред канешно -)
но можно еще так попробовать

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Al » 2007-10-31 20:23:35

Я уже,вроде,все возможные варианты перебрал.........
Никак не пойму,в чем косяк.....
А у одного и тогоже пароля МД5 хэш ведь буит каждый раз одинаковай???

Аватара пользователя
Andy2k
ефрейтор
Сообщения: 69
Зарегистрирован: 2007-08-06 16:14:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Andy2k » 2007-10-31 20:33:23

У меня работают шифрованные пароли. Делал так:

config.inc.php от postfixadmin

Код: Выделить всё

$CONF['encrypt'] = 'md5crypt';
dovecot-sql.conf

Код: Выделить всё

default_pass_scheme = MD5-CRYPT

Код: Выделить всё

password_query = SELECT `username` as `user`, `password` FROM `mailbox` WHERE `username` like('%n@%%') AND `active`='1'
Все работает без проблем.
Насчет SMTP аутентификации при использовании шифрованных паролей я тут уже писАл. Ключ к решению этой проблемы - использование экзимовского аутентификатора dovecot и соответственно аутентификация пользователей средствами dovecot.

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Al » 2007-11-01 15:09:17

Вроде,разобрался...
Всем кто участвовал, огромное спасибо!
все, как писал Andy2k,но у меня с ЗеБатом пошло только при таких аутентификаторах в экзиме:

Код: Выделить всё

auth_plain:
  driver = dovecot
  public_name = PLAIN
  server_socket = /var/run/dovecot/auth-client
  server_set_id = $auth1

auth_login:
  driver = dovecot
  public_name = LOGIN
  server_socket = /var/run/dovecot/auth-client
  server_set_id = $auth1

#auth_cram_md5:
#  driver = dovecot
#  public_name = CRAM-MD5
#  server_socket = /var/run/dovecot/auth-client
#  server_set_id = $auth1
если убрать коменты-не могут договориться.....
а так не работает шифрование - если ставим в бате "безопасную аутентификацию" или MD5, то опять косяк........
Есть мысли???
Тема пока не закрыта!

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Morty » 2007-11-01 16:44:40

у меня последняя секция как описана в статье

Код: Выделить всё

auth_cram_md5:
  driver = cram_md5
  public_name = CRAM-MD5
  server_secret = ${lookup mysql{SELECT `password` FROM \
                        `mailbox` WHERE `username` \
                        = '${quote_mysql:$auth1}'}{$value}fail}
  server_set_id = $auth2
ничего не трогал...ЗеБат в дефолтовых настройках - тип авторизации обычный

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Exim - шифрование паролей

Непрочитанное сообщение Al » 2007-11-01 17:27:14

Дык у тя без шифрования паролей в базе. А надо с шифрованием.У меня с шифрованием не работает,если в зебате ставишь MD5. А с обычной работает все ок.Я чуть выше написал как.....
Но ведь хочется еще и шифрованную аутентификацию

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim - шифрование паролей

Непрочитанное сообщение Morty » 2007-11-01 18:37:17

могу только предположить что нада кверю

Код: Выделить всё

server_secret = ${lookup mysql{SELECT `password` FROM \
                        `mailbox` WHERE `username` \
                        = '${quote_mysql:$auth1}'}{$value}fail}
менять ... как не знаю -(
читал/смотрел искал вот тут -
http://wiki.exim.org/AuthenticatedSmtpUsingDovecot
http://wiki.exim.org/AuthenticatedSmtpUsingMysql
и архив с конифгами http://wiki.exim.org/ConfigurationFile? ... .pr_BR.zip
больше помочь наверно нечем -( уровень у меня не тот