[FUGSPBR] Re: Autenticação no /etc/passwd
micro (c)
vinicius em lineone.net
Dom Ago 19 00:01:12 BRT 2001
Oi,
O problema nao sao os sniffer, porque o servidor nao vai enviar para o usuario
o /etc/passwd nem vai fazer nenhuma operacao de rede com ele. O problema e' pode haver
algum bug, que possibilite a alteracao ou sobreposicao do /etc/passwd ou ate' mesmo a
leitura do arquivo, o que possilibitaria algum ataque de dicionario para verificao de
usuario/senha, mas sao apenas uma recomendacoes "paranoicas" do grupo apache. Os seus
usuarios realmente precisam estar no /etc/passwd? Nao seria a hora de coloca-los em
banco de dados SQL para e-mail, http? Uma solucao porca para o problema e' copiar o
/etc/passwd para um .htpasswd removendo as linhas dos usuarios importantes para o
sistema. Uma boa solucao seria a criacao de scripts que convertessem os usuarios do
passwd para algum banco de dados, ou para um arquivo .htpasswd.
--
Vinicius
Osmar Junior Klock wrote:
> Caros colegas,
>
> Tenho aqui um webserver apache no Freebsd. Vou precisar ativar o método de
> autenticação no apache para meus usuários cadastrados no Freebsd. A apache
> por questões de segurança não recomenda que utilize o htpasswd ou quem quer
> que seja para se autenticar no /etc/passwd. Mas concordem comigo, toda vez
> que incluir/alterar/remover a senha ou um usuário no sistema teria que fazer
> estas alterações no htpasswd também. Isso seria bastante complicado devido ao
> número de usuários que temos aqui.
>
> Eu estava pensando em colocar a autenticação no /etc/passwd mesmo e fazer
> com que este tráfego fosse criptografado (https) para fugir dos sniffers.
>
> Vocês sugerem alguma solução?
>
> _________________________
> Osmar Junior Klock
> ___________________________________________
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd