SASL/PAM: cuidado con claves en blanco o vacias - Venezolana GNU/linux
Home auth bug debian devuan pam sasl security SMTP SASL/PAM: cuidado con claves en blanco o vacias

SASL/PAM: cuidado con claves en blanco o vacias

 

SASL/PAM: evita los usuarios en blanco

 

El SMTP autenticado existe para los usuarios de dominios. En algunas configuraciones funciona usando sasl2-bin a travĂ©s de PAM.  

Que pasa? Si tiene una contraseña vacía para algunas cuentas de Unix en este servidor, como: 

thisuser::17197:0:99999:7:::

Notaran la falta de contraseñas (ejemplo, como la cuenta root puede estar en el contenedor LXC, despuĂ©s de la creaciĂłn) para evitar el inicio de sesiĂłn. 

Las claves vacias permiten que se pueda ingresar si combinas PAM con otro metodo como sasl2-bin

Pues sorpresa No evitara que inicie sesion, aceptará una contraseña en blanco como inicio de sesiĂłn autenticado válido. En /etc/pam.d/common-auth puedes encontrar una explicaciĂłn: 

auth [success=1 default=ignore] pam_unix.so nullok

Efectivamente hará (al menos en Devuan/Debian estable actual) el servidor un relĂ© abierto para este usuario.  

Y esta reportado?

Algunas personas ya lo informaron y hay spambots que usan específicamente root con contraseña en blanco (sin hacer de antemano ningún otro intento estúpido de hacer un mal uso del servidor). Aqui un hilo muy completo https://github.com/linux-pam/linux-pam/issues/284

Soluciones?

Aquí hay una solución, simplemente asegurándose de que ningún usuario tenga un campo de contraseña en blanco en /etc/shadow:

usermod -p '!' thisuser

Siendo "thisuser" el nombre de login o usuario a proteger de contraseñas en blanco.

Tags
TAGS: , , , , , , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)

DESTACADOS:

El E3 está muerto: ¿quĂ© tamaño tenĂ­a? leyenda para jugadores

E3 (abreviatura de Electronic Entertainment Expo) fue una feria/evento comercial anual para/de la industria de los videojuegos y/o jugadores...