Autenticazione per i servizi del server "richiede la memorizzazione della password in un formato meno sicuro"

4

Ho acquistato e scaricato l'applicazione MacOS Server per ospitare una VPN e ospitare un repository Satis.

Quando si abilitano i servizi VPN o siti web, appare una finestra di dialogo che chiede "Vuoi cambiare la modalità di memorizzazione della password?", con la raccomandazione che "L'autenticazione a questo servizio richiede la memorizzazione della password in un formato meno sicuro".

Non riesco a trovare ulteriori informazioni al riguardo, non dalla documentazione del server, né dalla ricerca su Google.

  • Che cosa significa in realtà?
  • Perché è necessario?
  • Riguarda le credenziali dell'account utente MacOS? In tal caso, influirà solo sulle credenziali dell'account da cui viene eseguita l'applicazione Server (se questo è il caso, creerò un account utente separato per eseguire l'app Server)?

Mille grazie per il tuo tempo e aiuto.

    
posta 568ml 28.08.2017 - 17:37
fonte

2 risposte

1

OS X memorizza la tua password in un formato crittografato a "modo hash salato" (Vedi questa domanda che" rimescola "la tua password (combinata con a "salt" ) in modo tale da non poter essere decifrato, ma ogni volta produce lo stesso valore.

A seconda di come è configurato Apache, utilizza algoritmi diversi (normalmente salati), tra cui MD5, SHA1 e crypt: si veda la documentazione

Questi sono più facili da decifrare di SHA-512, ma anche abbastanza sicuri (usano un salt, e sono hash unidirezionali. Un utente malintenzionato dovrebbe ottenere il file htpasswd per crackare la password)

Lo stesso vale per il server VPN: non sono sicuro di quale algoritmo di hashing usi, ma è uno con meno entropia rispetto al database degli utenti interni, che è ciò che significa l'avvertimento.

È necessario perché ogni pezzo di software è scritto da diversi manutentori (il server web di Apache, per esempio) e non da Apple, e perché memorizzano la tua password piuttosto che autenticarti contro il database degli utenti di OS X.

Si riferisce a qualsiasi utente autorizzato ad autenticarsi su tali servizi (i servizi VPN e Web) e non sull'account utente su cui è in esecuzione l'app Server.

    
risposta data 31.08.2017 - 22:31
fonte
1

Basandosi sulla risposta di @ Josh, ci sono alcuni servizi legacy che richiedono l'uso di un algoritmo di hashing chiamato MS / CHAP. Una delle sfortunate proprietà della famiglia di hash MS / CHAP è che l'hash memorizzato è sufficientemente debole da consentire il recupero della password. Questo è un problema se il file nel server che contiene gli hash viene rubato da un utente malintenzionato. Il server VPN PPTP è uno dei servizi legacy che utilizzano MS / CHAP.

Tutto ciò detto, non è necessario indebolire l'hash dell'amministratore del server se quella persona non utilizzerà VPN. Gli utenti creati dopo l'installazione e l'installazione di Server.app avranno i loro hash indeboliti. È possibile utilizzare lo strumento pwpolicy (8) per vedere quali hash vengono salvati per un utente. Se hai creato un utente prima dell'avvio della VPN e desideri che utilizzino il servizio, puoi andare nel pannello degli utenti e cercare quell'utente, vedrai un messaggio "l'utente potrebbe non essere in grado di accedere a tutti servizi "con un'opzione da correggere. Scegli la correzione.

Penso che sia sempre una buona idea avere un utente specifico per le attività di amministrazione del server. Quindi ti incoraggio a creare un utente per eseguire Server.app e successivamente non sarà necessario indebolire gli hash per quell'utente.

    
risposta data 04.09.2017 - 10:02
fonte

Leggi altre domande sui tag