Hallo,
ich wolllte mal Fragen ob das möglich wäre in einer der nächsten Versionen bzw. manuell, alle Passwörter(Mailuser usw.).
Zu Verschlüsseln, weil ich finde nicht das Leute die selbst root Zugriff haben die Passwörter auslesen können.
Achja und ist bei FTP-Passwörter sehr wichtig das die raw-passwörter gespeichert werden?
MFG
Flo
sind die nicht bereits verschlüsselt in der db?
Nicht alle; Ich glaube die Mailpasswörter sind in PLAIN gespeichert
Display More
Hallo,
ich wolllte mal Fragen ob das möglich wäre in einer der nächsten Versionen bzw. manuell, alle Passwörter(Mailuser usw.).
Zu Verschlüsseln, weil ich finde nicht das Leute die selbst root Zugriff haben die Passwörter auslesen können.
Achja und ist bei FTP-Passwörter sehr wichtig das die raw-passwörter gespeichert werden?
MFG
Flo
Die Frage wurde schon mal gestellt.
Es macht doch keinen Sinn Passwörter mit einem aufwendigen Verfahren zu verschlüsseln, wenn Dein Server so oder so schon komprementiert wurde.
Dann hat der Angreifer schon Dein Root-DB Passwort und wird die verschlüsselten Passwörter ohne Probleme entschlüsseln.
Wenn es um den Aspekt Sicherheit geht, suchst Du definitv an der falschen Stelle.
Das gilt auch für die Raw-Passwörter!
Natürlich macht es Sinn, wenn ein Einwegverfahren verwendet wird (bsp. MD5). Ein Angreifer kann so zwar die Passworthashes auslesen, muss aber zuerst mit Rainbow-Tables ran, was unter Umständen eine Weile dauern kann.
Wenn jetzt noch ein Salt dazu verwendet wird (zufällig generierter String, der ans Passwort gehängt wird), und zudem noch ein sicheres Verschlüsselungsverfahren verwendet wird (MD5 ist veraltet), dann kann sich der Angreifer die Zähne an den Hashes ausbeissen.
Es geht hier um Vermeidung von Kollateralschaden, (zu) viele Leute verwenden gleiche Passwörter überall im Internet.
wenn Dieser aber root-Zugriff hat, kann er die files so bearbeiten, dass beim login (mail, ftp und co) die Passwörter irgendwo im Klartext abgespeichert werden. Ist zwar etwas mehr Aufwand für den Angreifer und es müssten sich alle mit dem Server verbinden (Zeitdauer), aber an sich hätte es jeder Angreifer recht schnell..
Die Hashes hier schützen hauptsächlich vor Idioten, weil auch Admins können bei Interesse den Weg des Eingreifers einschlagen 
Was interessieren den Angreifer die einzelnen Passwörter?
Er hat das RootDB Passwort!
Und damit Zugriff auf alle Datenbanken.
Wir haben uns darüber lang genug Gedanken gemacht. Das Ergebnis siehst Du ja.
Das wird auch laut aktuellem Stand nicht mehr geändert.
Zuerst muss der Angreifer mal root Zugriff haben. Wenn einer aber "nur" DB zugriff hat, dann kann der schonmal nix machen.
Die Schwierigkeitsstufe ist erhöht und Scriptkiddies haben schonmal verloren. Ein besserer Angreifer muss sich zuerst in die Funktionsweise von courier, proftpd, usw. einlesen und kann dann ggf. modifizierte Binaries einschleusen...
=> Das auslesen braucht dann wie gesagt Zeit. Viel mehr Zeit als mal kurz die DB kopieren und unbemerkt wieder zu verschwinden.
Folgendes imaginäres Szenario:
Ein Sicherheitsloch in i-MSCP, mit Zugriff auf die DB. Ist schonmal genug schlimm. Aber nun: Ein Sicherheitsloch im Updateserver/Softwareserver, der jetzt alle Server-IPs preisgibt (Wer hat die Updatecheck-Funktion schon nicht aktiviert?). Ein Angreifer kann jetzt gemütlich alle Server nach Namen+Passwörtern abgrasen und tausenden von unwissenden Kunden schaden... Was soll ich da meinen Kunden erzählen? "Ja sry, die i-MSCP Entwickler habens nicht für nötig erachtet."
TheCry: Was soll ein Angreifer die DB sonst interessieren? Irgendwelche unternehmenskritische Daten kommen eh nicht da drauf.
Warum sind die i-MSCP Loginpasswörter verschlüsselt?
Die Strategie geht auch nur solange gut, solange keiner davon weiss...
Nur so meine Ansicht...
da muss ich ihm Recht geben, sofern die db von außen erreichbar ist, ist das ein Einfallstor.. Eventuell solltet ihr das wirklich in der Version noch oder so fixen, weil schaden tuts GARANTIERT nicht
Verstehe mich bitte nicht falsch. Ich nehme Deine Gedanken ernst und tue es nicht einfach so ab. Ein richtiger Angreifer kennt sich mit der Materie aus.
Ihm würde der Root Zugriff auf die Datenbank vollkommen ausreichen. Ob verschlüsselte Passwörter ein großer Wall für ihn sind, will ich bezweifeln.
In kürzester Zeit hat er diese entschlüsselt.
Das ist einfach kein Schutz der Dein Szenario nur ansatzweise schützen würde.
Auch wenn ich die Thematik selbst schon mal im Internen angestoßen habe, werde ich es gerne noch einmal ansprechen.
Aber wenn ich mich nicht täusche gibt es auch große closed Sources Panel die auch ihre Mail-, FTP- und DB-Passwörter Plain abspeichern.