[vpsFree.cz: community-list] vpsAdmin delka root hesla
Tomáš Valoušek
valy23 at gmail.com
Fri Feb 10 14:59:33 CET 2012
Vůbec nemám obavu o "cracknutí" serveru správcem VPS. Mám obavu z toho, že
cokoliv připojeného do internetu může být cracknuto a pokud zjistím že
nejsem jediným rootem na mém serveru je dobré vyloučit to, že někdo napadl
backend vpsadminu a přečetl si heslo v plaintextu.
Dne 10. února 2012 14:47 Pavel Snajdr <snajpa at snajpa.net> napsal(a):
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
>
> Jedna vec je vyvolavat paniku, druha vec je o tom nevedet vubec...
>
> Vezmi si, kde vsude davas svoje heslo - NIKDE tomu nemuzes verit.
>
> VSUDE musis mit jine heslo.
>
> A nezapominej, ze stejni lide, kteri maji pristup do te databaze, maji
> primy pristup na ty VPS.
>
> Proto si myslim, ze je totalne zbytecne vyvolavat paniku.
>
> Ano, je to hnusne reseni, ne, nelibi se mi, ale je to tak a to co pisu
> vyse je proste pravda.
>
> Takze opravdu, ale opravdu zadna panika netreba, a uz vubec na nas
> nemusis kricet velkym pismem :)
>
> Pavel Snajdr
>
> +420 720 107 791
>
> http://vpsfree.cz
>
> On 02/10/2012 02:44 PM, Tomáš Valoušek wrote:
> > Mě to vůbec nenapadlo, ale tohle je fakt bezpečnostní díra jako prase,
> > která by měla být tou hlavní a nepřehlédnutelnou informací pro každého
> > člena: POZOR, HESLO ZMĚNĚNÉ PŘES VPSADMIN JE ULOŽENÉ KDESI V PLAINTEXTU.
> > ZMĚŇTE SI HESLO POMOCÍ PASSWD!!!!!
> >
> > Dne 10. února 2012 13:33 Pavel Snajdr <snajpa at snajpa.net
> > <mailto:snajpa at snajpa.net>> napsal(a):
> >
> > Nelibit se ti to muze, ale to je asi tak vsechno :)
> >
> > V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta
> > podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme
> > transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl
> > zmenit ho musi dostat v plaintextu.
> >
> > Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je
> > cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.
> >
> > Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.
> >
> > Pavel Snajdr
> >
> > +420 720 107 791
> >
> > http://vpsfree.cz
> >
> > On 02/10/2012 01:34 PM, Tomas Volf wrote:
> >> Ahoj,
> >> muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5
> > znaku, proc
> >> nenechat zabezpeceni na uzivateli".
> >
> >> Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, tak proc v
> >> plaintextu?
> >
> >> Musim priznat, ze tohle se mi moc nelibi...
> >
> >> On Fri, 10 Feb 2012 13:26:58 +0100
> >> Pavel Snajdr <snajpa at snajpa.net <mailto:snajpa at snajpa.net>> wrote:
> >
> >>> -----BEGIN PGP SIGNED MESSAGE-----
> >>> Hash: SHA256
> >
> >>> Ahoj,
> >
> >>> urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel,
> > protoze to
> >>> heslo je pak v plaintextu v databazi vpsAdminu.
> >
> >>> To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz
> >>> zapomenes heslo.
> >
> >>> Pavel Snajdr
> >
> >>> +420 720 107 791
> >
> >>> http://vpsfree.cz
> >
> >>> On 02/10/2012 11:30 AM, Tomas Volf wrote:
> >>>> Ahoj,
> >>>> jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota
> > 5 a vice
> >>>> znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne
> > zajima
> >>>> nazor ostatnich na tohle tema...
> >>>>
> >>>> PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden
> > znak :) Tim
> >>>> spis jestli dava smysl neco vynucovat ve vpsAdminovi...
> >>>>
> >>>>
> >>>>
> >>>> _______________________________________________
> >>>> Community-list mailing list
> >>>> Community-list at lists.vpsfree.cz
> > <mailto:Community-list at lists.vpsfree.cz>
> >>>> http://lists.vpsfree.cz/listinfo/community-list
> >>>
> >
> > _______________________________________________
> > Community-list mailing list
> > Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
> > http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz <mailto:Community-list at lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
>
> > _______________________________________________
> > Community-list mailing list
> > Community-list at lists.vpsfree.cz
> > http://lists.vpsfree.cz/listinfo/community-list
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.11 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>
> iF4EAREIAAYFAk81H+EACgkQdh+64ds5Daa4twD9EVUCahfSypQceXQEb2QFpo6P
> IWa9aOnibki1cqp5jZUA/0yVVeFRkBZ8Bk/x9iWp0IlgGUDrHiyqcrRQtai7vF2a
> =QRuo
> -----END PGP SIGNATURE-----
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20120210/a4ce4ea8/attachment-0002.html>
More information about the Community-list
mailing list