Страница 1 из 3
Exim - шифрование паролей
Добавлено: 2007-10-29 14:48:41
Al
Вот возник вот у меня вопрос:
шифровать пароли пользователей в базе или нет?
И какие вообще плюсы и минусы шифрования? Кто че скажет???? Есть смысл?
Re: Exim - шифрование паролей
Добавлено: 2007-10-29 15:05:40
serge
Плюс в том что пароль не подсмотришь, минус в этом же
Re: Exim - шифрование паролей
Добавлено: 2007-10-29 15:49:22
dikens3
Минус в том, что нельзя будет использовать некоторые аутентификаторы.
Т.е. придётся хранить clear & crypt :-)
Нафига спрашивается?
Re: Exim - шифрование паролей
Добавлено: 2007-10-29 20:56:57
Al
Т.е. смысла нет??
А реально слить базу,если открыты порты pop+smtp+postfixadmin через апач???
Ведь потом открытый релей на всю жизнь....Я в этом деле нуб..помогите оценить ситуацию
Re: Exim - шифрование паролей
Добавлено: 2007-10-30 0:56:15
Morty
теоретически ниче не грозит , но это теоретически, т.к.
поп3 , смтп , база, апач - каждый демон работает от своей учетки , права на каждые файлы с которыми он работает соответсвующие.
Но вот Постфиксадимн например имеет вкладку Backup !
Где как раз таки можно снять бэкап БД - и в случае не криптованных паролей - все класно будет просматриваться.
Вывод - немножко параноии никогда не помешает -) Но вот как ты будешь делать - криптить пароли или убирать закладку бэкап из постфиксадмина это уже другое дело. И необизательно открыты релей на всю жизнь - такие как mail.ru тебе быстро дадут понять что ты не маладец - 1-2 раза(в бане) будет достаточно , вот тут очень быстро начнешь соображать
Re: Exim - шифрование паролей
Добавлено: 2007-10-30 9:39:16
Al
вообще у меня доступ к админским тулзам по паролю+сертификат....
тоесть,надо шифровать??
Re: Exim - шифрование паролей
Добавлено: 2007-10-30 11:19:08
Morty
не знаю -)
как тут было выше сказано - свои +/-
у меня в открытом виде (без шифрования)- по одной причине - просто лично мне так удобнее.(всегда можно посмотреть в БД у кого какой пароль, а будь он криптован - менять на другой а это не очень вариант)
И доступ к Мусе по ТСП/ип фаерволом доступен только для 1 ип-адр - оффиса.
Мое имхо - самая главаня дырка это человеческий фактор. Ограничить кол - во людей которые работают с серваком - например до 1-3.
Re: Exim - шифрование паролей
Добавлено: 2007-10-30 14:30:36
Al
Я вот решил все-таки попробовать шифровать...
в postfixadmin в конфиг
в /usr/local/etc/dovecot.conf
Код: Выделить всё
mechanisms = cram-md5 digest-md5 apop
socket listen {
master {
path = /var/run/dovecot/auth-master
mode = 0600
user = mailnull
}
client {
path = /var/run/dovecot/auth-client
mode = 0660
user = mailnull
}
}
завожу пользователя в postfixadmine, пытаюсь проверить почту-а в ответ-неверный пароль в логах......
че нетак???
Re: Exim - шифрование паролей
Добавлено: 2007-10-30 16:16:11
Morty
дальше связку смотри
dovecot-sql.conf...и прочее что присмыкает -)
Re: Exim - шифрование паролей
Добавлено: 2007-10-30 17:42:40
Al
не,ну это я и сам понял....
Если у кого реально работает,подскажите,в чем косяк....
Re: Exim - шифрование паролей
Добавлено: 2007-10-30 18:01:53
Al
есть мысль,что постфиксадмин и dovecot шифруют по-разному.......
Re: Exim - шифрование паролей
Добавлено: 2007-10-31 1:47:07
Morty
а покажи что в логах - когда говорит что пароль не верен.
и посм в БД на предмет того что пароли действительно криптяться
-----
кстати ты по статье делал exim+dovecot ? толко с отклонениями по "крипт " пасов ? если так то я могу завтра на работе
попробовать продублировать ситуацию только попытаться закриптить пасы...может прийдем к решению.
Re: Exim - шифрование паролей
Добавлено: 2007-10-31 11:57:11
Al
если в dovecot-sql.clnf default_pass_scheme = PLAIN, то
Код: Выделить всё
dovecot: Oct 31 11:53:35 Info: auth(default): client in: CONT 2 d3d3QHRlc3QubG9jYWwgNGI2ZWZjZWQ5MmYzODJkZjhkNjU2YTA0YThhYzljMmU=
dovecot: Oct 31 11:53:35 Info: auth-worker(default): sql(www@test.local,192.168.92.80): query: SELECT `username` as `user`, `password` FROM `mailbox` WHERE `username` = 'www@test.local' AND `active`='1'
dovecot: Oct 31 11:53:35 Info: auth(default): password(www@test.local,192.168.92.80): Credentials: 83cfb6d8028a5c767bdda4e6ba56c7bd0dc041aedd4d6315bad8260bf2feeb19
dovecot: Oct 31 11:53:35 Info: auth(default): cram-md5(www@test.local,192.168.92.80): password mismatch
dovecot: Oct 31 11:53:35 Info: auth(default): client out: FAIL 2 user=www@test.local
dovecot: Oct 31 11:53:35 Info: auth(default): client in: AUTH 3 CRAM-MD5 service=POP3 lip=192.168.93.220 rip=192.168.92.80 resp=
dovecot: Oct 31 11:53:35 Info: auth(default): client out: CONT 3 PDMzOTgzNzYzMzA4MTEzNzQuMTE5MzgyMDgxNUBzcnYucnN2ZXQ+
насколько я понимаю,не совпал пароль
а если default_pass_scheme = MD5-CRYPT
Код: Выделить всё
dovecot: Oct 31 11:56:10 Info: auth(default): client in: AUTH 1 CRAM-MD5 service=POP3 lip=192.168.93.220 rip=192.168.92.80 resp=
dovecot: Oct 31 11:56:10 Info: auth(default): client out: CONT 1 PDA3NTUwNDkwMDA5OTc1NTUuMTE5MzgyMDk3MEBzcnYucnN2ZXQ+
dovecot: Oct 31 11:56:12 Info: auth(default): client in: CONT 1 d3d3QHRlc3QubG9jYWwgYzc3ZDA0Nzk0YTc1Mzg2NWNiNzdhMzVmNTAxNzQyNDM=
dovecot: Oct 31 11:56:12 Info: auth-worker(default): sql(www@test.local,192.168.92.80): query: SELECT `username` as `user`, `password` FROM `mailbox` WHERE `username` = 'www@test.local' AND `active`='1'
dovecot: Oct 31 11:56:12 Info: auth-worker(default): password(www@test.local,192.168.92.80): Requested CRAM-MD5 scheme, but we have only LDAP-MD5
dovecot: Oct 31 11:56:14 Info: auth(default): client out: FAIL 1 user=www@test.local
dovecot: Oct 31 11:56:14 Info: auth(default): client in: AUTH 2 CRAM-MD5 service=POP3 lip=192.168.93.220 rip=192.168.92.80 resp=
dovecot: Oct 31 11:56:14 Info: auth(default): client out: CONT 2 PDM4Mzc5MTQ5Nzg5NDkyMTMuMTE5MzgyMDk3NEBzcnYucnN2ZXQ+
я никак не пойму,почему у меня лдап,когда я указываю крам..........
Спасай!
Re: Exim - шифрование паролей
Добавлено: 2007-10-31 12:16:58
Morty
щас на свой комп поставлю по статье exim+dovecot
поковыряю ...
Re: Exim - шифрование паролей
Добавлено: 2007-10-31 16:10:50
Morty
мде хорошего мало
поставил весь софт...
в конфиг постфиксадмина прописал md5crypt
в dovecot.conf
mechanisms = cram-md5
в dovecot-sql.conf
default_pass_scheme = MD5-CRYPT
------------
В постфиксадмине создал домен , завел ящик. Потом проверил в MySQL , на этот ящик пароль записан не в открытом виде(криптован)
Берем ЗеБат настраиваем на это дело в ПОП3 ставим MD5-CRAM(RFC-2095)
И ничего не получаем -((
...вопшем нада еще поковырять
Re: Exim - шифрование паролей
Добавлено: 2007-10-31 16:44:35
Al
вот точно то же самое я и сделал.....есть мысли,что постфиксадмин как-то не так шифрует пароли,как этого хочет экзим.у тебя эта связка хоть где-нть работает??
Re: Exim - шифрование паролей
Добавлено: 2007-10-31 17:28:12
Morty
да, эта связка рабочая - это 99,99 %
но рабоча при условии что пароли храняться в PLAIN (довекот,бд и экзим заточены на PLAIN)
а вот с криптованием что-то
кстати функция МД5крипт таки своя в постфиксадмине - находиться в
functions.inc.php
там есть function md5crypt (668 строчка в конфиге )
---------
если я сейчас все верну в plain - сервак работать будет
Re: Exim - шифрование паролей
Добавлено: 2007-10-31 18:12:16
Al
Ну да,я вот и говорю,что может экзим фифрует по одной схеме,а довекот расшифровывает по другой......вот они и не сходятся....
Re: Exim - шифрование паролей
Добавлено: 2007-10-31 18:45:49
Morty
нада вместо md5crypt в конфиге постфиксадмина
попробовать system -> там сказано что php юзает , а конфиг пхп по умолчанию для хэшей юзает MD5
может и бред канешно -)
но можно еще так попробовать
Re: Exim - шифрование паролей
Добавлено: 2007-10-31 20:23:35
Al
Я уже,вроде,все возможные варианты перебрал.........
Никак не пойму,в чем косяк.....
А у одного и тогоже пароля МД5 хэш ведь буит каждый раз одинаковай???
Re: Exim - шифрование паролей
Добавлено: 2007-10-31 20:33:23
Andy2k
У меня работают шифрованные пароли. Делал так:
config.inc.php от postfixadmin
dovecot-sql.conf
Код: Выделить всё
password_query = SELECT `username` as `user`, `password` FROM `mailbox` WHERE `username` like('%n@%%') AND `active`='1'
Все работает без проблем.
Насчет SMTP аутентификации при использовании шифрованных паролей я тут уже писАл. Ключ к решению этой проблемы - использование экзимовского аутентификатора dovecot и соответственно аутентификация пользователей средствами dovecot.
Re: Exim - шифрование паролей
Добавлено: 2007-11-01 15:09:17
Al
Вроде,разобрался...
Всем кто участвовал, огромное спасибо!
все, как писал Andy2k,но у меня с ЗеБатом пошло только при таких аутентификаторах в экзиме:
Код: Выделить всё
auth_plain:
driver = dovecot
public_name = PLAIN
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1
auth_login:
driver = dovecot
public_name = LOGIN
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1
#auth_cram_md5:
# driver = dovecot
# public_name = CRAM-MD5
# server_socket = /var/run/dovecot/auth-client
# server_set_id = $auth1
если убрать коменты-не могут договориться.....
а так не работает шифрование - если ставим в бате "безопасную аутентификацию" или MD5, то опять косяк........
Есть мысли???
Тема пока не закрыта!
Re: Exim - шифрование паролей
Добавлено: 2007-11-01 16:44:40
Morty
у меня последняя секция как описана в статье
Код: Выделить всё
auth_cram_md5:
driver = cram_md5
public_name = CRAM-MD5
server_secret = ${lookup mysql{SELECT `password` FROM \
`mailbox` WHERE `username` \
= '${quote_mysql:$auth1}'}{$value}fail}
server_set_id = $auth2
ничего не трогал...ЗеБат в дефолтовых настройках - тип авторизации обычный
Re: Exim - шифрование паролей
Добавлено: 2007-11-01 17:27:14
Al
Дык у тя без шифрования паролей в базе. А надо с шифрованием.У меня с шифрованием не работает,если в зебате ставишь MD5. А с обычной работает все ок.Я чуть выше написал как.....
Но ведь хочется еще и шифрованную аутентификацию
Re: Exim - шифрование паролей
Добавлено: 2007-11-01 18:37:17
Morty
могу только предположить что нада кверю
Код: Выделить всё
server_secret = ${lookup mysql{SELECT `password` FROM \
`mailbox` WHERE `username` \
= '${quote_mysql:$auth1}'}{$value}fail}
менять ... как не знаю -(
читал/смотрел искал вот тут -
http://wiki.exim.org/AuthenticatedSmtpUsingDovecot
http://wiki.exim.org/AuthenticatedSmtpUsingMysql
и архив с конифгами
http://wiki.exim.org/ConfigurationFile? ... .pr_BR.zip
больше помочь наверно нечем -( уровень у меня не тот