Menü
aus ein
Ansicht umschalten Baum an
Avatar von gge
  • gge

2 Beiträge seit 19.10.2004

Re: Haben die denn nichts gelernt?!

Hi,
ich bin selbst Star-Hosting Kunde, die folgenden Information sind aus
erster Hand.

Bei Star-Hosting werden alle Passwörter im Klartext im Datacenter
gespeichert.

Jeder Kunde kann seine "Auslieferungs-Passwörter" im sogenannten
Datacenter nachsehen. Im Auslieferungszustand sind Root/Mysql/Confixx
Passörter alle gleich. Es gibt kein Script (im Unterschied zu
vanager.com), mit dem der DAU seine Passwörter alle anlegen/ändern
kann.

Wer sein Passwort sinnvollerweise wechselt, muss es an vielen
verschiedenen Stellen wechseln, weil beim ach so sicheren
Linux-System root-passwörter fast immer im Klartext in diverses
Configs gespeichert werden. Wie bekloppt sind die diversen
Confixx/Mysql/Spamassign Programmierer eigentlich, dass sie mit
Klartext Passwörtern arbeiten? Steinzeit? Nix begriffen?

Einfach mal das root-PW auf der Platte suchen, sich die Augen reiben,
fluchen.

In einem Standard Star-Hosting Debian System ist das Root Passwort in
folgenden Dateien im Klartext (wobei das eine Linux Krankheit ist,
Standard Debian):
/etc/mail/spamassign/local.cf
/root/confixx/confixx_main_conf
/etc/webmin/mysql/config (nicht Star-Hosting Standard)
/usr/bin/autoresponder.pl
/var/www/confixx/settings.inc.php
/var/www/confixx/bin/sslgen.pl
außerdem landete das Root-Passwort in diversen LOG-Dateien.

Wer jetzt die Passwörter ändert, muss natürlich noch dem MYSQL die
neuen Passwörter eintragen, sonst geht nix mehr mit Confixx.
Eine saubere Installation würde mit PAM arbeiten, allerdings...
können das wirklich alle betroffenen Programme? Auch Confixx? Auch
Spamassign?

Allgemein zum Thema "sicheres Betriebssystem"

Wenn die Diskussion um sichere Betriebssysteme losgeht, muss auch die
Technologie der überlicherweise verwendeten Software überprüft
werden.
Das Abspeichern der Passwörter in Klartext-CFG Dateien ist das
hinterletzte UND leider Standard auch bei Debian/Suse.

So sieht der aktuelle Stand aus bei technisch veralteten
Betriebsystemen mit technisch veralteten Anwendungen. Ein Pam System
ist derart kompliziert aufzubauen, das es unterbleibt.

Und wenn nur 3% der Admins es beherrschen, bleiben 97% der Systeme
sinnlos unsicher installiert. Wenn eine normale Anforderung an die
Sicherheit jedoch nur von 3% der Admins durchführbar ist, taugt das
System nichts für den Massenmarkt.
Wenn dann noch wichtige Anwendungen es nicht beherrschen -->> Tonne.

Ich gehöre ganz bestimmt zur ABM Fraktion, bin allerdings immer
wieder enttäuscht von der Blauäugigkeit der Linux-Gemeinde bzw.
Programmierer.

Alles Gute
Guido
Bewerten
- +
Anzeige