Hallo, Am Sonntag, 27. Oktober 2002 19:10 schrieb Martin Oehler:
Wenn ich auf einem NIS-Client als Benutzer
ypcat passwd
eingebe, bekomme ich eine passwd angezeigt, in der die Passwörter verschlüsselt mit drinstehen (also kein "x" an der Stelle, wie man es erwarten würde). Damit hat ein Benutzer ein file zur Hand, dass er bequem mit z.B. john bearbeiten kann, um die Passwörter zu entschlüsselt.
Ja.
Auf einem System ohne NIS (etwa lokaler Rechner) ist es nicht möglich, diese Informationen zu erhalten, da die Benutzer ja keine Leserechte auf die /etc/shadow haben.
NIS ist älter als das shadow Konzept.
Da es durchaus möglich ist, dass jemand auf Grund von mehr CPU-Power etwaige schwache Passwörter schneller entschlüsselt als die Admin- Prüf-Kiste, würde mich interessieren, wie gängige Workarounds für dieses Problem aussehen?
evtl. NIS+ ? Gibt's für Linux aber nur Client-seitig. Und ob es das Problem tatsächlich löst weiß ich auch nicht. LDAP statt NIS sollte helfen.
Ich habe festgestellt, dass ich mich als Benutzer weiterhin anmelden kann, wenn die Rechte auf ypcat so gesetzt sind, dass Benutzer diesen Befehl nicht ausführen können. Ist das die einzige Möglichkeit, wie ich o.g. Problem lösen kann?
Ich bezweifle, dass du das Problem damit gelöst hast. Schöne Grüße aus Bremen hartmut