Hallo, ich habe kürzlich etwas sehr überreaschendes feststellen müssen: Ich habe einen Suse Linuxserver 7.1 mit SSH, Samba 2.2.4 installiert und ein Passwort vergeben vom Typ: "mauerwerk23". Nun logge ich mich als root via SSH und SWAT auf meiner Linuxkiste ein, um noch einige Konfigurationen vorzunehmen. Dabei habe ich beim Login aus Versehen nicht das vollständige Passwort eingegeben und TROTZDEM liess mich der Server rein. Ich probierte also ein wenig rum und stellte fest, dass ich dass Passwort nur etwa bis "mauerwer" eingeben musste, dann liess mich der Server rein, ohne die restlichen Stellen zu überprüfen - das funktionierte sowohl bei SSH mit Putty, als auch über HTTP mit SWAT!!!! Kann mir jemand sagen, wie ich den Server dazu ZWINGE, dass vollständige Passwort zu überprüfen??? Vielen Dank schon mal im voraus für eure Tips! Gruß Tux-Beginner -- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
Hallo,
ich habe kürzlich etwas sehr überreaschendes feststellen müssen:
Ich habe einen Suse Linuxserver 7.1 mit SSH, Samba 2.2.4 installiert und ein Passwort vergeben vom Typ: "mauerwerk23". Nun logge ich mich als root via SSH und SWAT auf meiner Linuxkiste ein, um noch einige Konfigurationen vorzunehmen. Dabei habe ich beim Login aus Versehen nicht das vollständige Passwort eingegeben und TROTZDEM liess mich der Server rein. Ich probierte also ein wenig rum und stellte fest, dass ich dass Passwort nur etwa bis "mauerwer" eingeben musste, dann liess mich der Server rein, ohne die restlichen Stellen zu überprüfen - das funktionierte sowohl bei SSH mit Putty, als auch über HTTP mit SWAT!!!!
Kann mir jemand sagen, wie ich den Server dazu ZWINGE, dass vollständige Passwort zu überprüfen??? Vielen Dank schon mal im voraus für eure Tips!
Gruß Tux-Beginner hallo, das ist ein "normale" problem, suse nimmt standartmäßig nur 8 zeichen lange
Am Dienstag, 28. Mai 2002 10:23 schrieb bebad@gmx.net: pw's. abhilfe: YaST1 aufrufen --> systemadministration --> sicherheitseinstellungen (ist wenn ich mich richtig errinnere der 3 menuepunkt von unten) und dor hast du dann wieder 2 untermenuepunkte. in einem der beiden kannst du deine maximale passwortlänge einstellen mfg andre
hallo, das ist ein "normale" problem, suse nimmt standartmäßig nur 8 zeichen lange pw's. abhilfe: YaST1 aufrufen --> systemadministration --> sicherheitseinstellungen (ist wenn ich mich richtig errinnere der 3 menuepunkt von unten) und dor hast du da nn wieder 2 untermenuepunkte. in einem der beiden kannst du deine maximale passwortlänge einstellen
mfg andre
Vielen Dank für die prompten Anworten von ALLEN!!! Ich werde die vorgeschlagenen Tips gleich mal ausprobieren!!! Also, DANKE!!!! Gruß... -- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
From: "Andre Lorenz"
das ist ein "normale" problem, suse nimmt standartmäßig nur 8 zeichen lange pw's. abhilfe: YaST1 aufrufen --> systemadministration --> sicherheitseinstellungen (ist wenn ich mich richtig errinnere der 3 menuepunkt von unten) und dor hast du dann wieder 2 untermenuepunkte. in einem der beiden kannst du deine maximale passwortlänge einstellen
Genau das funktioniert nicht. Gruß Thomas
Am Dienstag, 28. Mai 2002 10:23 schrieb bebad@gmx.net
Hallo,
ich habe kürzlich etwas sehr überreaschendes feststellen müssen:
Ich habe einen Suse Linuxserver 7.1 mit SSH, Samba 2.2.4 installiert und ein Passwort vergeben vom Typ: "mauerwerk23". Nun logge ich mich als root via SSH und SWAT auf meiner Linuxkiste ein, um noch einige Konfigurationen vorzunehmen. Dabei habe ich beim Login aus Versehen nicht das vollständige Passwort eingegeben und TROTZDEM liess mich der Server rein. Ich probierte also ein wenig rum und stellte fest, dass ich dass Passwort nur etwa bis "mauerwer" eingeben musste, dann liess mich der Server rein, ohne die restlichen Stellen zu überprüfen - das funktionierte sowohl bei SSH mit Putty, als auch über HTTP mit SWAT!!!!
Kann mir jemand sagen, wie ich den Server dazu ZWINGE, dass vollständige Passwort zu überprüfen??? Vielen Dank schon mal im voraus für eure Tips!
Gruß Tux-Beginner
Moin! Kann dir leider nicht die Lösung bieten, dafür allerdings eine Erklärung für dieses Verhalten: Linux erlaubt standardmässig lediglich Usernamen und Passwörter von 5-8 Zeichen länge. Der Rest wird einfach abgeschnitten. Traurig aber wahr. Schau sonst mal ob du was zum Thema PW / Usernamen länge in Erfahrung bringen kannst. Würde mich auch interessieren. MfG Ronser
* Ronny Bolzendahl schrieb am 28.Mai.2002:
Kann dir leider nicht die Lösung bieten, dafür allerdings eine Erklärung für dieses Verhalten:
Linux erlaubt standardmässig lediglich Usernamen und Passwörter von 5-8 Zeichen länge. Der Rest wird einfach abgeschnitten.
Traurig aber wahr. Schau sonst mal ob du was zum Thema PW / Usernamen länge in Erfahrung bringen kannst.
Normalerweise wird zum Verschlüsseln von Paßwörter crypt benutzt. crypt wiederum verwendet den DES Algorythmus. Der DES Algorythmus ist ein Symetrischer Algorythmus, allerdings wird das Paßwort nicht verschlüsselt, sondern es wird das Paßwort als Schlüssel verwendet. (Ich weiß jetzt nicht, ob das Paßwort einfach mit sich selber verschlüsselt wird, oder aber ob 0 mit dem Paßwort verschlüsselt wird. Habe schon beides gelesen.) Der DES Algorythmus verwendet für den Schlüssel 56 Bit, das sind 8x7. Es werden die ersten acht Byte genommen und von jedem Byte die ersten sieben Bit. Außerdem werden noch zwei Base-64 Ziffern salt genommen. Beim Anlegen eines Paßworts sind das Zufallsziffern, später sind es die beiden ersten Ziffern des verschlüsselten Paßworts. Das verschlüsselte Paßwort besteht aus 13 Base-64 Ziffern. Base-64 Ziffer sind keine Ziffer zur Basis 10 oder wie Hexadezimalziffern zur Basis 16, sondern Ziffer zu der Basis 64. Sie werden Dargestellt, durch Groß- oder Kleinbuchstaben, einer Dezimalziffer, oder den beiden Zeichen . oder / Der Klarname des Paßwortes ist niergendwo abgespeichert, sondern nur die verktyptete Form. Es wird bei jedem Login mit dem eingegebenen Paßwort verschlüsselt, und das Ergebnis mit dem, was in /etc/shadow verglichen. Wenn es übereinstimmt, dann ist die Einwahl geglückt. Siehe hierzu auch man 3 crypt. Anmerkung: im 3. Abschnitt der Manpages stehen C-Bibliothekroutinen. crypt ist mithin eine C-Bibliotheksroutine und nicht etwa ein ausführbares Programm. Wenn Euch das zu wenig erscheint, dann bedenkt, nur was ändern, wenn man ganz genau weiß, was man macht. Andere Verfahren haben andere Probleme. Viel wichtiger als mehere Buchstaben ist es, daß man Paßwörter nimmt, die nicht nur Kleinbuchstaben haben, sondern auch Großbuchstaben (nicht unbedingt am nur am Anfang) Ziffern, Satzzeichen usw. und das in einer Bunten Mischung. Und vor allem sollte es kein Sinnvolles Wort sein. Sowas wie jU,s8O:? ist viel besser, als etwa hundekuchen, obwohl es weniger Zeichen hat. Bernd -- Bitte die Etikette beachten: http://www.suse-etikette.de.vu/etikette.html Bitte Realnamen angeben, kein Vollquoting, kein Html, PGP oder Visitenkarten benutzen. Signatur mit "-- " abtrennen, bei Antworten "Re: " voranstellen, sonst nichts. |Zufallssignatur 4
participants (5)
-
Andre Lorenz -
B.Brodesser@t-online.de -
bebad@gmx.net -
Ronny Bolzendahl -
Thomas Bergen