[Qmail-it] vpopmail password
Fabio Busatto
fabio.busatto at sikurezza.org
Fri Oct 27 11:22:37 CEST 2006
On Fri, Oct 27, 2006 at 11:08:29AM +0200, ivan re wrote:
> Installando qmail e vpopmail mi sono accorto che il file delle
> password è in chiaro (vpasswd).
E` il default dell'installazione di vpopmail, le direttive che gestiscono
il salvataggio delle password in vpopmail sono le seguenti:
--disable-md5-passwords Use DES crypt() instead of MD5 encryption for passwords.
--disable-clear-passwd Don't store a cleartext version of the password in addition to the encrypted version.
Io personalmente trovo questa funzionalita` utile, anche se effettivamente
puo` sembrare un problema di sicurezza.
Tieni conto che il file delle password ha dei permessi che non lasciano ad
un normale utente di leggerne il contenuto, e se uno e` su quella macchina
con i permessi tali da poter leggere quel file, probabilmente il fatto che
ci siano in chiaro le credenziali non e` il problema peggiore.
Fa invece molto comodo poter sapere la password dimenticata, visto che spesso
capita che il cliente chiami per chiederla, e non sia cosi` facile cambiarla
e fargliela reimpostare ("eh, ma la controllo su altri client, poi e` un casino").
> E' possibile fare in modo che le password siano invece cifrate. Da
> questo punto di vista è meglio usare vpopmail e mysql?
Comunque e` sempre presente la versione hash della password (MD5 o DES a seconda
della configurazione), una volta questo era il solo dato presente mentre ora si
puo` aggiungere la versione cleartext, utile principalmente per quello detto prima.
Sinceramente non capisco cosa c'entri usare mysql invece del vpasswd, i problemi
di permessi sono sempre gli stessi, e non credo che si possa aumentare cosi` tanto
la sicurezza solo mettendo le informazioni in un database relazionale invece che
in un cdb. Forse non avevi ben chiaro qualcosa, spero che ora lo sia :)
Ciao
-fabio
--
Fabio Busatto <fabio.busatto at sikurezza.org>
More information about the Qmail-it
mailing list