Escuché que samba almacena contraseñas de una manera menos segura que las contraseñas normales de Linux.
¿Es esto cierto? En caso afirmativo, ¿qué puedo hacer al respecto?
Respuesta1
Samba puede autenticarse de varias maneras, pero en una situación independiente, espero que esté configurado más comúnmente para autenticarse contra hashes de contraseñas, los hashes se almacenan en /etc/passwd o (más comúnmente hoy en día) en el archivo de contraseña oculta.
La persona de quien escuchó esto puede haber estado confundiendo almacenamiento con transmisión.
Las contraseñas se pueden enviar al servidor Samba en formato cifrado o no cifrado. Si tiene ambos tipos de sistemas en su red, debe asegurarse de que las contraseñas representadas por cada usuario se almacenen tanto en una base de datos de cuentas tradicional como en la base de datos de contraseñas cifradas de Samba. De esta forma, los usuarios autorizados pueden acceder a sus acciones desde cualquier tipo de cliente.[1] Sin embargo, le recomendamos que cambie su sistema a contraseñas cifradas y abandone las contraseñas no cifradas si la seguridad es un problema.
http://www.samba.org/samba/docs/using_samba/ch09.html
EDITAR:
Recuerdo (pero no puedo encontrar las referencias en este momento) que el factor principal que causó este problema fue la forma en que los clientes de Windows se autentican. Requieren que el servidor conozca la contraseña. Esto es diferente a otros sistemas de autenticación donde el servidor solo necesita un hash o una clave pública y donde, por lo tanto, no es posible recuperar una contraseña (o credenciales de inicio de sesión equivalentes) de los datos almacenados en el servidor.
Samba también puede autenticarse contra servidores Kerberos o LDAP. Por tanto, hay muchas posibilidades para configurar un sistema seguro.
El Registro tiene una interesanteartículoen NTLMV2.
EDITAR2:
En realidad, NTLMV2 no requiere que el servidor de autenticación conozca la contraseña, según estoArtículo de Microsoft.