[GTER] Problemas com sevidores de E-mail

Gustavo Molina gustavo at molina.com.br
Wed Apr 30 03:53:24 -03 2003


Hello João,

Wednesday, April 30, 2003, 2:49:50 AM, you wrote:

> apenas um banco de dados que mapeia UIDs em nomes e nomes em UIDs, e tem 
> como atributos senha, home dir, nome completo e shell.  A principal 
> função do /etc/passwd é criar usuários para login shell, é verdade, mas 
> não é a única.

A  senha  pode  estar  em  outro arquivo, como o /etc/shadow que, num sistema um
pouco  mais  seguro,  teria  de ser lido APENAS pelo root. (não estou falando de
NIS, que muitas vezes introduz outros problemas de segurança)

Assim,  o daemon TERIA de rodar como root (ou dar um su em algum momento - dá na
mesma). Nem sempre pode ser uma Good Thing expor um serviço externo rodando como
root.

> Por exemplo, para cada daemon que eu coloco rodando em um setvidor, eu 
> escolho um UID diferente para ele, e registro esse uid no /etc/passwd. 
> Não criei um usuário para o daemon, apenas registrei no banco de dados. 
>   Se o daemon for configurado para tal, e pode usar esse banco de dados 
> para mapear um nome em um uid, e dar setuid quando necessário, ou então, 
> para buscar o seu home dir.

Perfeito.  E  se  algum  outro  serviço  que você não necessariamente quer que o
usuário  acesse [como o horrível wu-ftpd] tiver por default aceitar autenticação
do  /etc/passwd  ? Alguns serviços usam autenticação própria, como SQL, e TAMBÉM
aceitam do /etc/passwd, nas configurações default.

Eu,  pessoalmente,  acho  a  solução  de /etc/passwd uma das mais ineficientes e
perigosas  do  ponto  de vista da segurança. Mas pode ser paranóia minha, afinal
todos usam.

--- 
Gustavo Molina          mailto:gustavo at molina.com.br



More information about the gter mailing list