From: "Bernd Brodesser" Sent: Wednesday, May 17, 2000 4:16 PM

Hallo Marco,

* Marco Dieckhoff schrieb am 17.Mai.2000:

...

Ein Daemon (in C), der per TCP/IP-Socket von Windows-Clients genutzt wird, soll eine Username/Passwort-Kombination prüfen, und zwar aus der /etc/passwd oder /etc/shadow.

...

Gab's da nicht eine einfache Möglichkeit mit crypt() oder so?

Ich wüßte überhaupt keine andere Möglichkeit.

crypt_key = crypt (key,salt);

Dabei ist key das 8 Zeichen lange unverschlüsselte Passwort, salt sind die ersten beiden Zeichen des verschlüsselten Passwortes. Das Ergebnis wird dann mit dem verschlüsselten Passwort verglichen.

Siehe auch man crypt.

...

Der Daemon kann von mir aus gerne als root laufen, ist erstmal nur für Testzwecke.

Wenn Du /etc/shadow verwendest, dann muß es unter root geschehen. Aber wieso Daemon? Das ist doch kein Daemon, sondern ein normales Programm. Oder was willst Du da noch mit machen?

Der Daemon soll als TCP/IP-Server auf Requests eines (mehrerer) Windows-Clients warten und diese abarbeiten. Ich glaube, für ein solches Programm, dass dann auch ständig im Hintergrund arbeitet ist "Daemon" die richtige Bezeichnung. -- Marco Dieckhoff --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

On Wed, 17 May 2000, Bernd Brodesser wrote:

...

Der Daemon soll als TCP/IP-Server auf Requests eines (mehrerer) Windows-Clients warten und diese abarbeiten. Ich glaube, für ein solches Programm, dass dann auch ständig im Hintergrund arbeitet ist "Daemon" die richtige Bezeichnung.

Ja. Obwohl ein richtiger Daemon ist keinem Terminal zugeordnet. Meist wird er einfach von init gestartet.

Also ich hatte es so verstanden, dass er einen Daemon (jawohl, einen richtigen), der auf einem Port eine Anfrage von einer Win- dose entgegennimmt und die Zulaessigkeit der Anfrage zunaechst via Passwort pruefen will. Dass dabei dann das Passwort unver- schluesselt ueber das Netz geht, nimmt er sicherlich wissentlich in Kauf, sonst haette er sich sicherlich um eine Moeglichkeit fuer einen verschluesselten Verbindungsaufbau gekuemmert ... Tschau, Volker, leicht paranoid. -- <ESC>:r .signature mailto:volker.mueller@gmx.de :wq --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

* Marco Dieckhoff schrieb am 18.Mai.2000:

From: "Volker Mueller"

...

Dass dabei dann das Passwort unverschluesselt ueber das Netz geht, nimmt er sicherlich wissentlich in Kauf, sonst haette er sich sicherlich um eine Moeglichkeit fuer einen verschluesselten Verbindungsaufbau gekuemmert ...

Wer sagt, dass ich das PW unverschlüsselt übertrage? Ich hab doch garkeine Spezifikationen des Sprachprotokolls zwischen Client und Serer gegeben...

Da hätte ich dann doch auch noch mal eine Verständnisfrage: Was bringt es, das Passwort zu verschlüsseln? Der Angreifer fängt dann halt das verschlüsselte Passwort ab und benutzt dieses direkt. Bernd -- ROTFL = Rolling On The Floor, Laughing = Auf dem Boden wälzen, lachend. SCNR = Sorry, Could Not Resist = Sorry, Ich konte nicht wiederstehen. AFAIK = As Far As I Know = So weit ich weis|BTW = By The Way = Nebenbei bemerkt IMHO = In My Humble Opinion = meiner bescheidenen Meinung nach |Zufallssig. 9 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

Hallo Marco, * Marco Dieckhoff schrieb am 18.Mai.2000:

From: "Bernd Brodesser"

...

Was bringt es, das Passwort zu verschlüsseln? Der Angreifer fängt dann halt das verschlüsselte Passwort ab und benutzt dieses direkt.

Du hast mich falsch verstanden. Ich verschlüssele die Übertragung zwischen Windows und Linux-PC mit einem eigenen Verfahren. Linux entschlüsselt die Daten, die vom Windows-PC kommen wieder und verschlüsselt das Passwort *dann* mit crypt(), so dass ich es testen kann.

Nein, ich habe Dich schon fast richtig verstanden. Aber der springende Punkt ist, daß Du nicht nur das Passwort verschlüsselst, sondern alle Daten. So kann der Angreifer nicht das Passwort herausfiltern. Bernd -- Bitte die Etikette von Christian beachten: http://www.ndh.net/home/schult/ Bitte Realnamen angeben, kein Vollquoting, kein Html, PGP oder Visitenkarten benutzen. Signatur mit "-- " abtrennen, bei Antworten "Re: " voranstellen, sonst nichts. |Zufallssignatur 4 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com

On Thu, 18 May 2000, Marco Dieckhoff wrote:

...

via Passwort pruefen will. Dass dabei dann das Passwort unver- schluesselt ueber das Netz geht, nimmt er sicherlich wissentlich in Kauf, sonst haette er sich sicherlich um eine Moeglichkeit fuer einen verschluesselten Verbindungsaufbau gekuemmert ...

Wer sagt, dass ich das PW unverschlüsselt übertrage? Ich hab doch garkeine Spezifikationen des Sprachprotokolls zwischen Client und Serer gegeben...

Nun - wenn Du einen verschluesselten Verbindungsaufbau ala ssh etc. vorhast - dann nehme ich alles zurueck und behaupte das Gegenteil. In jedem Fall ist crypt das Mittel der Wahl zur Verschluesselung von Passwoertern und wenn Du shadow-Passwoerter verwendest, dann _muss_ zumindest der Teil des Daemons, der den PW-Eintrag aus der /etc/shadow liest, um ihn mit dem Resultat von crypt zu vergleichen, root-Rechte haben. Ansonsten reichen die Rechte von nobody. Tschau, Volker -- <ESC>:r .signature mailto:volker.mueller@gmx.de :wq --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com