Werden Samba-Passwörter sicher gespeichert?

Question

Samba kann auf mehrere Arten authentifizieren, aber in einer eigenständigen Situation wird es meiner Ansicht nach am häufigsten so konfiguriert, dass die Authentifizierung anhand von Passwort-Hashes erfolgt. Diese Hashes werden in /etc/passwd oder (heutzutage häufiger) in der Shadow-Passwortdatei gespeichert.

Die Person, von der Sie dies gehört haben, hat möglicherweise Speicherung mit Übertragung verwechselt.

Passwörter können entweder verschlüsselt oder unverschlüsselt an den Samba-Server gesendet werden. Wenn Sie beide Arten von Systemen in Ihrem Netzwerk haben, sollten Sie sicherstellen, dass die Passwörter der einzelnen Benutzer sowohl in einer herkömmlichen Kontodatenbank als auch in Sambas verschlüsselter Passwortdatenbank gespeichert sind. Auf diese Weise können autorisierte Benutzer von jedem Clienttyp aus auf ihre Freigaben zugreifen.[1] Wir empfehlen jedoch, dass Sie Ihr System auf verschlüsselte Passwörter umstellen und unverschlüsselte Passwörter aufgeben, wenn die Sicherheit ein Problem darstellt.

http://www.samba.org/samba/docs/using_samba/ch09.html

BEARBEITEN:

Ich erinnere mich (kann die Referenzen aber gerade nicht finden), dass der Hauptfaktor, der dieses Problem verursachte, die Art und Weise war, wie Windows-Clients sich authentifizieren. Sie verlangen, dass der Server das Passwort kennt. Dies ist anders als bei anderen Authentifizierungssystemen, bei denen der Server nur einen Hash oder einen öffentlichen Schlüssel benötigt und es daher nicht möglich ist, ein Passwort (oder gleichwertige Anmeldeinformationen) aus auf dem Server gespeicherten Daten abzurufen.

Samba kann sich auch gegenüber Kerberos- oder LDAP-Servern authentifizieren. Es gibt also viel Spielraum für die Einrichtung eines sicheren Systems.

Das Register hat eine interessanteArtikelauf NTLMV2.

EDIT2:

Tatsächlich erfordert NTLMV2 nicht, dass der Authentifizierungsserver das Passwort kennt - laut dieserMicrosoft-Artikel.

Answer 1

Samba kann auf mehrere Arten authentifizieren, aber in einer eigenständigen Situation wird es meiner Ansicht nach am häufigsten so konfiguriert, dass die Authentifizierung anhand von Passwort-Hashes erfolgt. Diese Hashes werden in /etc/passwd oder (heutzutage häufiger) in der Shadow-Passwortdatei gespeichert.

Die Person, von der Sie dies gehört haben, hat möglicherweise Speicherung mit Übertragung verwechselt.

Passwörter können entweder verschlüsselt oder unverschlüsselt an den Samba-Server gesendet werden. Wenn Sie beide Arten von Systemen in Ihrem Netzwerk haben, sollten Sie sicherstellen, dass die Passwörter der einzelnen Benutzer sowohl in einer herkömmlichen Kontodatenbank als auch in Sambas verschlüsselter Passwortdatenbank gespeichert sind. Auf diese Weise können autorisierte Benutzer von jedem Clienttyp aus auf ihre Freigaben zugreifen.[1] Wir empfehlen jedoch, dass Sie Ihr System auf verschlüsselte Passwörter umstellen und unverschlüsselte Passwörter aufgeben, wenn die Sicherheit ein Problem darstellt.

http://www.samba.org/samba/docs/using_samba/ch09.html

BEARBEITEN:

Ich erinnere mich (kann die Referenzen aber gerade nicht finden), dass der Hauptfaktor, der dieses Problem verursachte, die Art und Weise war, wie Windows-Clients sich authentifizieren. Sie verlangen, dass der Server das Passwort kennt. Dies ist anders als bei anderen Authentifizierungssystemen, bei denen der Server nur einen Hash oder einen öffentlichen Schlüssel benötigt und es daher nicht möglich ist, ein Passwort (oder gleichwertige Anmeldeinformationen) aus auf dem Server gespeicherten Daten abzurufen.

Samba kann sich auch gegenüber Kerberos- oder LDAP-Servern authentifizieren. Es gibt also viel Spielraum für die Einrichtung eines sicheren Systems.

Das Register hat eine interessanteArtikelauf NTLMV2.

EDIT2:

Tatsächlich erfordert NTLMV2 nicht, dass der Authentifizierungsserver das Passwort kennt - laut dieserMicrosoft-Artikel.

Werden Samba-Passwörter sicher gespeichert?

Antwort1

verwandte Informationen