From: Sancar Saran (saran@ktg.com.tr)
Date: Tue 01 Aug 2000 - 14:55:43 EEST
"M. Erdi Cinar" wrote:
> Sancar Bey yanitiniz için çok tesekkür ederim. Güvwnlik probleminden kastim
> MS-Win9x lerin Samba sunucuya passworleri zayif bir sifreleme algoritmasi
> kullanarak göndermesidir.Bu konudaki okudugum dökümanin ilgili yerine de
> asagiya aldim.
>
> ...............................
> Answer Yes, upon which Windows will create a separate profile and password
> file for you and save a copy of your password in the file. Now when you
> connect to Samba, Windows will send its password, which will be used to
> authenticate you for each share. We won't worry about profiles for the
> moment; we'll cover them in Chapter 6, Users, Security, and Domains. We
> should point out, however, that there is a small security risk: someone can
> steal the password file and decrypt the passwords because it's weakly
> encrypted. Unfortunately, there isn't a solution to this with Windows 95/98.
> In Windows 2000 (NT 5.0), the password encryption should be replaced with a
> much better algorithm.
>
Sanirim burda bahsettigi windowsun cachelemek amaci ile passwordlerinizin bir
kopyasini
calistigi makinain diskine kopyalamasi. Registryde yapilacak bir degisimle
client makinalarin paswordleri cachelemesi onlenebilir. Benim asil dusundugum,
samba winxx arasi authentication esnasinda giden password'lerin
plain olmasi. En son 1998 de kullandim sambayi, ozman plain text olarak
gondermek zorunda kalmistim.
Yani biri sniffer kullanip passwordleri alabilir. Bence asil sorun burda.
Iyi calistirmalar dilerim...
Not= Eger ogrencileriniz arasinda bu kapasitede arkadaslar varsa onlari kendi
tarafiniza cekmeniz daha iyi olur,
yuksek limitli kotalar hep ise yaramistir :)
> .........
>
> Benim kaygim , örnegin bir kampus uygulamasin da kirilan sifreler nedeniyle
> SAMBA sunucudaki hesaplarinda kirilmis olmalari durumudur. Okudugum
> dökümanlara göre MS-win9x istemcilerde kullanilan passwordler sunucudaki
> passwordlerle ayni olmak zorunda. Bu durumda sunucudaki hesaplar da kirilmis
> oluyor.
>
> Saygilarimla,
>
> M.Erdi Cinar erdi@baskent.edu.tr
>
> ----- Original Message -----
> From: Sancar Saran <saran@ktg.com.tr>
> To: Multiple recipients of list LINUX <linux@listweb.bilkent.edu.tr>
> Sent: Monday, July 31, 2000 2:22 PM
> Subject: [LINUX:18339] Re: Win9x istemci -- Samba sunucu arasında passwd
> guvenlik sorunu !
>
> > "M. Erdi Cinar" wrote:
> >
> > > Samba konusunda çok yeniyim. Okuduğum dökümanlarda (1) , win9X
> > > istemci makinalarla, Samba sunucu arasındaki passwd iletişimimde ,
> > > win9x makinalarda cyrptonun çok basit olduğu ve kolaylıkla decyrpte
> > > edilebileceği yazılıyor. Ancak NT 5.0 da kriptolamanın güvenli
> > > olduğuna değiniliyor. İncelediğim kadarıyla Samba gerçekten mükemmel
> > > olanaklar sunuyor ancak bu güvenlik zaafıyla bu olanakları
> > > bağdaştıramadım. Bu güvenlik zaafını önlemenin bir yolu var mı?
> > > Saygılarımla, M. Erdi Cinar erdi@baskent.edu.tr (1)
> > >
> http://www.linux.org.tr/documents/konferanslar/InternetHaftasi-2000/samba/sa
> mba6.html
> > > http://www.kneschke.de/projekte/ksamba/using_samba/index.html
> >
> > Guvenlik zaaflarindan kastiniz MS-Win95 lerin ve WInNT4.0 nin sp2 ye
> > kadar olan surumlerinin
> > password'leri cleantext olarak gondermesi ise, sanirim bu konuda
> > yapilabilecek fazla bisi yok.
> > (yinede samba dokumanlarini karistirmakta fayda var, epeydir urastigimi
> > soyliyemem)
> >
> > Zaten M$ in NT5.0 (a.k.a Win2K) de kullandigi degistirilmish Kerberos
> > paketi yeteri kadar firtina kopartti,
> > sirf bu yuzden M$ slashdotu bazi postlari silmesi icin zorladi vs vs...
> > Kisaca M$ 5.0 (her nekadar guvenli oldugunu idda etesede benim anladigim
> > sagladiklari guvenlik, standart kerberosu degistirerek samba gibi
> > programlarin win2k ile calismasini
> > engellemek. Iste ne kadar guvenli oluyorsa)
> >
> > ozetle Kullanicilarinizin ne yapmasindan korkuyorsunuz ? ki onlem almak
> > istediniz
> >
> > Iyi calismalar dilerim...
> >
> > --
> > Sancar Saran saran@ktg.com.tr
> > ------------------------------------------------
> > Koy - Tur Computer Networks System Administrator
> >
> >
> >
> >
> >
> > Listeden cikmak icin:
> > unsub linux
> > mesajini listeci@bilkent.edu.tr adresine gonderiniz.
> > Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
> > Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
> > Liste arsivinin adresi: http://listweb.bilkent.edu.tr/
> >
> >
>
>
> Listeden cikmak icin:
> unsub linux
> mesajini listeci@bilkent.edu.tr adresine gonderiniz.
> Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
> Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
> Liste arsivinin adresi: http://listweb.bilkent.edu.tr/
-- Sancar Saran saran@ktg.com.tr ------------------------------------------------ Koy - Tur Computer Networks System AdministratorListeden cikmak icin: unsub linux mesajini listeci@bilkent.edu.tr adresine gonderiniz. Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin. Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html Liste arsivinin adresi: http://listweb.bilkent.edu.tr/