Re: Authorisation again. Security.
Vladimir N.Velychko [EMAIL PROTECTED] writes: On 01 Dec 2001 03:23:24 +0300 Peter Novodvorsky [EMAIL PROTECTED] wrote: Ingvarr Zhmakin [EMAIL PROTECTED] writes: On Fri, Nov 30, 2001 at 09:59:18AM -0600, Anton Petrusevich wrote: On Fri, Nov 30, 2001 at 09:24:17AM +0300, Ingvarr Zhmakin wrote: Задай вопрос Solar Designer'у. Э... Кому? Дядя такой, [EMAIL PROTECTED] Он popa3d и написал. Этот дядя не намного тебя старше, ...если старше ;= Угу, я с ним давеча познакомился. Он меня конечно старше :) Вот обидно, что для своей Открытой Стены он не решился взять за основу dpkg :( Мы с ним говориль на тему dpkg. Они собираются rpm переписывать. Кроме того, я не видел ни одного выжившего дистрибутива на дебах кроме debian, слишком много мороки :) Удачи, Nidd.
dpkg (was: Re: Authorisation again. Security.)
On 02 Dec 2001 11:26:24 +0300 Peter Novodvorsky [EMAIL PROTECTED] wrote: Vladimir N.Velychko [EMAIL PROTECTED] writes: On 01 Dec 2001 03:23:24 +0300 Peter Novodvorsky [EMAIL PROTECTED] wrote: Дядя такой, [EMAIL PROTECTED] Он popa3d и написал. Этот дядя не намного тебя старше, ...если старше ;= Угу, я с ним давеча познакомился. Он меня конечно старше :) :) Вот обидно, что для своей Открытой Стены он не решился взять за основу dpkg :( Мы с ним говориль на тему dpkg. Они собираются rpm переписывать. Кроме того, я не видел ни одного выжившего дистрибутива на дебах кроме debian, слишком много мороки :) Т.е. демьяновцы - народ, который простых путей не ищет? :))) А в чём смысл тогда такого сложного для разработчика менеджера пакетов? Как сами разработчики с ним справляются? -- VEL-RIPE ICQ UIN# 3159256
Re: dpkg (was: Re: Authorisation again. Security.)
Vladimir N.Velychko [EMAIL PROTECTED] writes: On 02 Dec 2001 11:26:24 +0300 Peter Novodvorsky [EMAIL PROTECTED] wrote: Vladimir N.Velychko [EMAIL PROTECTED] writes: Мы с ним говориль на тему dpkg. Они собираются rpm переписывать. Кроме того, я не видел ни одного выжившего дистрибутива на дебах кроме debian, слишком много мороки :) Т.е. демьяновцы - народ, который простых путей не ищет? :))) А в чём смысл тогда такого сложного для разработчика менеджера пакетов? Как сами разработчики с ним справляются? У debian много сопровождающих и большинство из них высококлассные специалисты. Каждый из них следит за относительно малым количеством пакетов (для сравнения, у нас в ALT Linux на Дмитрии Левине висит более 100 пакетов), и каждому пакету можетуделять достаточно много времени и сил. В коммерческих разработках, а так же в проектах с малым количеством разработчиков. Советую почитать наши с Ватраном тезисы на прошедшей конференции: http://otstavnov.com/fsr/fsr-theses7/node1.html Удачи, Nidd.
Re: Authorisation again. Security.
Задай вопрос Solar Designer'у. Э... Кому? Дядя такой, [EMAIL PROTECTED] Он popa3d и написал. Этот дядя не намного тебя старше, ...если старше ;= Вот обидно, что для своей Открытой Стены он не решился взять за основу dpkg :( А Корчмарь пропал, так и не сделав свой собственный пэкэдж мэнеджер %) Какой Корчмарь? Алекс Ingvarr.
Re: Authorisation again. Security.
взять за основу dpkg :( А Корчмарь пропал, так и не сделав свой собственный пэкэдж мэнеджер %) Какой Корчмарь? Алекс Та да. Других замечено небыло в наших кругах :) Клёво... Мир тесен. Ingvarr.
Re: Authorisation again. Security.
On Thu, Nov 29, 2001 at 10:36:42PM -0600, Anton Petrusevich wrote: In fact, APOP and the weaker defined SASL mechanisms such as CRAM-MD5 may potentially be even less secure than transmission of plaintext passwords because of the requirement that plaintext equivalents be stored on the server. Тоже вопрос, в сущности... Что проще -- поставить dsniff на пути или вытащить файл с паролями под правами 0600 (в сущности, фишка /etc/shadow тоже именно в правах, а не крипте, сколь я понимаю)? Правда, если раздает его сложная и непонятная махина типа ldap... Ingvarr.
Re: Authorisation again. Security.
On Fri, Nov 30, 2001 at 08:47:07AM +0500, Viktor Vislobokov wrote: Выяснилось, что хваленый The Bat!, под которым, как оказалось, сидит половина юзеров, не умеет SSL. Значит, чтоб защитить аутентификацию, надо переводить курьера под cram-md5. Тоже, в сущности неплохо, но есть два пути: 1) userdb 2) ldap с plain паролями. Есть еще один путь, если тебе надо защитить только авторизацию - включи apop Это значит надо ставить pop3... И как-то сходу не увидал я способа сделать apop в курьере... Ingvarr.
Re: Authorisation again. Security.
Здравствуйте! В пятницу, 30-го ноября 2001, в 04:59:02 по московскому времени Ingvarr Zhmakin написал: IZ Выяснилось, что хваленый The Bat!, под которым, как оказалось, сидит IZ половина юзеров, не умеет SSL. Bat можно подключить через STunnel. Не знаю, насколько это хорошо работает, ибо не пробовал. Но можно. -- С уважением, Руслан Батдалов Вакханалия: вечер у твоих соседей, на который тебя не пригласили
Re: Authorisation again. Security.
On Fri, Nov 30, 2001 at 04:59:02AM +0300, Ingvarr Zhmakin wrote:
Но не будет ли plain-text паролизация в ldap-базе дырой?
По-моему ldap уже давно умел и crypt и md5 в качестве пароля.
По крайней мере у меня cyrus авторизируется через pam_ldap и вот:
dn: cn=Ilyin V.M., ou=University Administration, o=Belorussian State Universit
y of Informatics and Radioelectronics, c=BY
objectclass: top
objectclass: account
objectclass: person
objectclass: mailRecipient
objectclass: organizationalPerson
o: Belorussian State University of Informatics and Radioelectronics
ou: University Administration
uid: ilyin
cn: Ilyin V.M.
mail: [EMAIL PROTECTED]
sn: ilyin
modifytimestamp: 2124152924Z
modifiersname: cn=admin, ou=People, o=Center of Information Technology - CIT,
c=BY
userpassword: {crypt}ftJ0Zy2MhUV9A
Это тестовый ящик :)
--
Best regards,
Sergey Chumakov 2:450/77[.43]
Re: Authorisation again. Security.
On Fri, Nov 30, 2001 at 09:02:22AM +0200, Sergey Chumakov wrote: On Fri, Nov 30, 2001 at 04:59:02AM +0300, Ingvarr Zhmakin wrote: Но не будет ли plain-text паролизация в ldap-базе дырой? По-моему ldap уже давно умел и crypt и md5 в качестве пароля. Но курьер-то хочет, чтоб было plain-text! Ingvarr.
Re: Authorisation again. Security.
On Fri, Nov 30, 2001 at 09:24:17AM +0300, Ingvarr Zhmakin wrote: On Thu, Nov 29, 2001 at 10:36:42PM -0600, Anton Petrusevich wrote: In fact, APOP and the weaker defined SASL mechanisms such as CRAM-MD5 may potentially be even less secure than transmission of plaintext passwords because of the requirement that plaintext equivalents be stored on the server. Тоже вопрос, в сущности... Что проще -- поставить dsniff на пути или вытащить файл с паролями под правами 0600 (в сущности, фишка /etc/shadow тоже именно в правах, а не крипте, сколь я понимаю)? Правда, если раздает его сложная и непонятная махина типа ldap... Задай вопрос Solar Designer'у. -- Anton Petrusevich
Re: Authorisation again. Security.
On Fri, Nov 30, 2001 at 09:59:18AM -0600, Anton Petrusevich wrote: On Fri, Nov 30, 2001 at 09:24:17AM +0300, Ingvarr Zhmakin wrote: On Thu, Nov 29, 2001 at 10:36:42PM -0600, Anton Petrusevich wrote: In fact, APOP and the weaker defined SASL mechanisms such as CRAM-MD5 may potentially be even less secure than transmission of plaintext passwords because of the requirement that plaintext equivalents be stored on the server. Тоже вопрос, в сущности... Что проще -- поставить dsniff на пути или вытащить файл с паролями под правами 0600 (в сущности, фишка /etc/shadow тоже именно в правах, а не крипте, сколь я понимаю)? Правда, если раздает его сложная и непонятная махина типа ldap... Задай вопрос Solar Designer'у. Э... Кому? Ingvarr.
Re: Authorisation again. Security.
Ingvarr Zhmakin [EMAIL PROTECTED] writes: On Fri, Nov 30, 2001 at 09:59:18AM -0600, Anton Petrusevich wrote: On Fri, Nov 30, 2001 at 09:24:17AM +0300, Ingvarr Zhmakin wrote: On Thu, Nov 29, 2001 at 10:36:42PM -0600, Anton Petrusevich wrote: In fact, APOP and the weaker defined SASL mechanisms such as CRAM-MD5 may potentially be even less secure than transmission of plaintext passwords because of the requirement that plaintext equivalents be stored on the server. Тоже вопрос, в сущности... Что проще -- поставить dsniff на пути или вытащить файл с паролями под правами 0600 (в сущности, фишка /etc/shadow тоже именно в правах, а не крипте, сколь я понимаю)? Правда, если раздает его сложная и непонятная махина типа ldap... Задай вопрос Solar Designer'у. Э... Кому? Дядя такой, [EMAIL PROTECTED] Он popa3d и написал. Удачи, Nidd.
Re: Authorisation again. Security.
On Sat, Dec 01, 2001 at 02:25:01AM +0300, Ingvarr Zhmakin wrote: Задай вопрос Solar Designer'у. Э... Кому? Героев линукса надо знать в лицо :) Solar Designer [EMAIL PROTECTED] -- Anton Petrusevich
Authorisation again. Security.
Доброго утра. Еще два вопроса, если позволите. Выяснилось, что хваленый The Bat!, под которым, как оказалось, сидит половина юзеров, не умеет SSL. Значит, чтоб защитить аутентификацию, надо переводить курьера под cram-md5. Тоже, в сущности неплохо, но есть два пути: 1) userdb 2) ldap с plain паролями. Последний вариант симпатичен тем, что в-первых, не надо будет иметь разные пароли для почты и системы (pam_ldap), а во-вторых, через ldap, похоже, можно попробовать без боли авторизовать NT-шников. Но не будет ли plain-text паролизация в ldap-базе дырой? И кстати -- курьер говорит, что ему для md5 надо знать plain пароль, потому как иначе он не может. Врет или как? PAM ведь справляется... Ingvarr.
Re: Authorisation again. Security.
On Fri, Nov 30, 2001 at 04:59:02AM +0300, Ingvarr Zhmakin wrote: Последний вариант симпатичен тем, что в-первых, не надо будет иметь разные пароли для почты и системы (pam_ldap), а во-вторых, через ldap, похоже, можно попробовать без боли авторизовать NT-шников. Но не будет ли plain-text паролизация в ldap-базе дырой? Будет. -- Anton Petrusevich
Re: Authorisation again. Security.
Выяснилось, что хваленый The Bat!, под которым, как оказалось, сидит половина юзеров, не умеет SSL. Значит, чтоб защитить аутентификацию, надо переводить курьера под cram-md5. Тоже, в сущности неплохо, но есть два пути: 1) userdb 2) ldap с plain паролями. Есть еще один путь, если тебе надо защитить только авторизацию - включи apop Виктор
Re: Authorisation again. Security.
On Fri, Nov 30, 2001 at 08:47:07AM +0500, Viktor Vislobokov wrote: Есть еще один путь, если тебе надо защитить только авторизацию - включи apop Цитата из popa3d: There exist extensions to the protocol that are supposed to fix this problem. I am not supporting them yet, partly because this isn't going to fully fix the problem. In fact, APOP and the weaker defined SASL mechanisms such as CRAM-MD5 may potentially be even less secure than transmission of plaintext passwords because of the requirement that plaintext equivalents be stored on the server. -- Anton Petrusevich
