[GTER] Problemas com sevidores de E-mail
Gustavo Molina
gustavo at molina.com.br
Wed Apr 30 03:53:24 -03 2003
Hello João,
Wednesday, April 30, 2003, 2:49:50 AM, you wrote:
> apenas um banco de dados que mapeia UIDs em nomes e nomes em UIDs, e tem
> como atributos senha, home dir, nome completo e shell. A principal
> função do /etc/passwd é criar usuários para login shell, é verdade, mas
> não é a única.
A senha pode estar em outro arquivo, como o /etc/shadow que, num sistema um
pouco mais seguro, teria de ser lido APENAS pelo root. (não estou falando de
NIS, que muitas vezes introduz outros problemas de segurança)
Assim, o daemon TERIA de rodar como root (ou dar um su em algum momento - dá na
mesma). Nem sempre pode ser uma Good Thing expor um serviço externo rodando como
root.
> Por exemplo, para cada daemon que eu coloco rodando em um setvidor, eu
> escolho um UID diferente para ele, e registro esse uid no /etc/passwd.
> Não criei um usuário para o daemon, apenas registrei no banco de dados.
> Se o daemon for configurado para tal, e pode usar esse banco de dados
> para mapear um nome em um uid, e dar setuid quando necessário, ou então,
> para buscar o seu home dir.
Perfeito. E se algum outro serviço que você não necessariamente quer que o
usuário acesse [como o horrível wu-ftpd] tiver por default aceitar autenticação
do /etc/passwd ? Alguns serviços usam autenticação própria, como SQL, e TAMBÉM
aceitam do /etc/passwd, nas configurações default.
Eu, pessoalmente, acho a solução de /etc/passwd uma das mais ineficientes e
perigosas do ponto de vista da segurança. Mas pode ser paranóia minha, afinal
todos usam.
---
Gustavo Molina mailto:gustavo at molina.com.br
More information about the gter
mailing list