Re: [Ayuda] autenticacion

To: Luis Daniel Lucio Quiroz <dlucio en okay com mx>
Subject: Re: [Ayuda] autenticacion
From: Sandino Araico Sánchez <sandino en sandino net>
Date: Thu Apr 22 00:39:02 2004
Cc: ayuda en linux org mx
In-reply-to: <200404090004.55556.dlucio@okay.com.mx>
List-archive: <https://mail.linux.org.mx/pipermail/ayuda/>
List-help: <mailto:ayuda-request@linux.org.mx?subject=help>
List-id: GNU/Linux help list <ayuda.linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-subscribe: <https://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=subscribe>
List-unsubscribe: <https://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=unsubscribe>
References: <4071F4A4.203@virtualsirius.com> <200404080121.12755.dlucio@okay.com.mx> <40761EEF.3030606@sandino.net> <200404090004.55556.dlucio@okay.com.mx>
Sender: ayuda-admin en linux org mx
User-agent: Mozilla Thunderbird 0.5 (Macintosh/20040208)

Luis Daniel Lucio Quiroz wrote:

y quienrayos dijoq se l es da shell?

Ahí está la raíz del asunto, pero es un poco más complicada de entenderde lo que yo pensaba, pero independientemente de que ya esté solucionadoel pedo ahí les va:

Partimos del hecho de que Internet ya no es una comunidad pequeña yamigable como lo era en los años sesentas y ahora existen miles debrasileños que no tienen otra cosa que hacer durante el día que comercocos y atacar sistemas ajenos.

Bueno, pues lo que no me gusta de usar cuentas del sistema cuando no esindispensable hacerlo (como en el caso de los administradores que ahuevo necesitan shell) es por varias razones: La primera es por que losusuarios típicos, comunes y corrientes eligen passwords malísimos, y sialguien te snifeó un password y por casualidad ese usuario tiene shellpues ahí ya se te metió un brasileño, pero aunque no tengan shell, lasegunda razón es que les estás dando la oportunidad de tratar deexplotar a un PAM defectuoso (y tanto Linux como Solaris usan PAM) yasea desde ssh, telnet o desde el mismo pop3d o imapd y una oportuindadde esas bién aprovechada le daría a nuestro amigo brasileño acceso a tumáquina como superusuario y no queremos que eso suceda ¿o si? y latercera razón es porque los servidores de correo líderes de laactualidad (por lo menos Sendmail y Postfix que yo conozca) tienen lacapacidad de entregar el correo buzones virtuales asociados a cuentas decorreo virtuales y esto lo asociamos con servidores POP o IMAP modernos(del siglo XXI) que saben autentificar esas cuentas de correo virtualescontra archivos planos o bases de datos que en ningún momento necesitanentrar en contacto con PAM o la autentificación del sistema y de estamanera cierras varias puertas a los ociosos que quieren tener acceso noautorizado a tu sistema...

Ah, y no es necesario modificar tu aplicación de PHP que ya funcionaautentificando contra el POP3 del servidor de correo....

Desde luego, no es imposición, es sólamente mi opinión sobre una malapráctica que ya no tiene razón de ser, ya no vivimos en el siglo XXcuando las cuentas de usuarios del sistema eran seguras, de las últimascuatro versiones de la serie 2.4 de Linux dos han sido vulnerables aescalabilidad de usuario mortal hacia superusuario llámese root o comose llame, las cuentas de usuario mortal del sistema ya no son seguras enel siglo XIX y deben ser cuidadas casi con el mismo celo con el que escuidada la cuenta del superusuario.

Y bueno, para aquellos que dicen que además de alegar hay que proveersoluciones, pues ahí les van dos recomendaciones:

1. La más fácil: Sendmail + Teapop con la configuración para hostsvirtuales en ambos

2. La mejor: Postfix + DBMail usando transporte pipe o LMTP

El Jue 08 Abr 2004 22:56, Sandino Araico Sánchez escribió:

Luis Daniel Lucio Quiroz wrote:

No para nada es la forma mas sencilla y eficaz,
en promedio un usuario normal comun y corriente es incapaz de recordar una
buena contraseña además de tener N cuentas, que para el correo, que para
el sistema de web 1, 2 y 3, que para el dominio, bla bla.

¿y a poco les das shell a todos los usuarios comunes y corrientes?

Es mejor así.

El Mié 07 Abr 2004 05:35, Sandino Araico Sánchez escribió:

Max Valdez wrote:

Activa en tu Solaris un servidor de POP, y has que tu programa se
"firme" en el con las credenciales proporcionadas por el usuario.

El servidor POP no necesita estar completo (ni tener correo) y puede
vivir en otro puerto, sólo te interesa como autentificador.

Por qué POP? Es un protocolo simple y PHP lo conoce bien :-)

Solo ten en cuenta que si los usuarios no usan SSL (probablemente nadie
lo va a hacer), los login y passwords en texto plano.

Los usuarios usarán SSL si no les dejas otra alternativa:
<?
  if(empty($_SERVER["*HTTPS*"])) {
      header("Location: https://mi-servidor.com/mi-aplicacion.php";);
      exit;
  }
?>

Sin embargo, pese a lo que opinen los demás pienso que es mala idea
autentificar contra usuarios del sistema de cualquiera que sea el
sistema.

Max

_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista:
http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/



_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Mensaje(s) a continuación:
- Re: [Ayuda] autenticacion
  - De: Max Valdez

Referencias:
- [Ayuda] autenticacion
  - De: Radamantis Torres Lechuga
- Re: [Ayuda] autenticacion
  - De: Luis Daniel Lucio Quiroz
- Re: [Ayuda] autenticacion
  - De: Sandino Araico Sánchez
- Re: [Ayuda] autenticacion
  - De: Luis Daniel Lucio Quiroz

Previo por Fecha: Re: [Ayuda] presentacion linux
Siguiente por Fecha: [Ayuda] Gracias
Previo por Hilo: Re: [Ayuda] autenticacion
Siguiente por Hilo: Re: [Ayuda] autenticacion

[Hilos de Discusión] [Fecha] [Tema] [Autor]