我聽說 samba 儲存密碼的方式比普通的 Linux 密碼更不安全。
這是真的?如果是,我該怎麼辦?
答案1
Samba 可以透過多種方式進行身份驗證,但在獨立情況下,我預計最常見的是配置為針對密碼雜湊進行身份驗證,雜湊儲存在/etc/passwd 中或(現在更常見)儲存在影子密碼檔中。
聽你說這句話的人可能混淆了儲存和傳輸。
密碼可以加密或非加密格式傳送到 Samba 伺服器。如果您的網路上同時擁有這兩種類型的系統,則應確保每個使用者代表的密碼都儲存在傳統帳戶資料庫和 Samba 的加密密碼資料庫中。這樣,授權使用者就可以從任何類型的客戶端存取其共用。但是,如果存在安全性問題,我們建議您將系統遷移到加密密碼並放棄非加密密碼
http://www.samba.org/samba/docs/using_samba/ch09.html
編輯:
我記得(但現在找不到參考資料)導致此問題的主要因素是 Windows 用戶端的身份驗證方式。他們要求伺服器知道密碼。這與其他身份驗證系統不同,在其他身份驗證系統中,伺服器僅需要雜湊值或公鑰,因此無法從伺服器上儲存的資料中檢索密碼(或等效的登入憑證)。
Samba 也可以針對 Kerberos 或 LDAP 伺服器進行驗證。因此,建立安全系統的空間很大。
寄存器有一個有趣的文章在 NTLMV2 上。
編輯2:
實際上 NTLMV2 不需要身份驗證伺服器知道密碼 - 根據此微軟文章。