SASL/PAM: evita los usuarios en blanco
El SMTP autenticado existe para los usuarios de dominios. En algunas configuraciones funciona usando sasl2-bin a través de PAM.
Que pasa? Si tiene una contraseña vacĂa para algunas cuentas de Unix en este servidor, como:
thisuser::17197:0:99999:7:::
Notaran la falta de contraseñas (ejemplo, como la cuenta root puede estar en el contenedor LXC, después de la creación) para evitar el inicio de sesión.
Las claves vacias permiten que se pueda ingresar si combinas PAM con otro metodo como sasl2-bin
Pues sorpresa No evitara que inicie sesion, aceptará una contraseña en blanco como inicio de sesión autenticado válido. En /etc/pam.d/common-auth puedes encontrar una explicación:
auth [success=1 default=ignore] pam_unix.so nullok
Efectivamente hará (al menos en Devuan/Debian estable actual) el servidor un relé abierto para este usuario.
Y esta reportado?
Algunas personas ya lo informaron y hay spambots que usan especĂficamente root con contraseña en blanco (sin hacer de antemano ningĂşn otro intento estĂşpido de hacer un mal uso del servidor). Aqui un hilo muy completo https://github.com/linux-pam/linux-pam/issues/284
Soluciones?
Aquà hay una solución, simplemente asegurándose de que ningún usuario tenga un campo de contraseña en blanco en /etc/shadow:
usermod -p '!' thisuser
Siendo "thisuser" el nombre de login o usuario a proteger de contraseñas en blanco.
No hay comentarios.:
Publicar un comentario