[Postfixbuch-users] Kundenserver filzen

Stefan G. Weichinger lists at xunil.at
Mi Jul 13 09:11:08 CEST 2011


Am 12.07.2011 23:22, schrieb Mathias Jeschke:

> Was Patrick sagen wollte: Bei dem Zugriff auf die "Userdatenbank" per
> PAM (in der Regel bei lokalen Useraccounts) bzw. LDAP-Accounts kann
> man zusätzliche Prüfungen bei der Passwortänderung (z.B. cracklib)
> aktivieren und ein "schlechtes" Passwort abweisen.

postfixadmin bietet in seiner config.inc.php nur an, die Mindestlänge
des PW zu konfigurieren, aber keinen Check oder so.

Und selbst da bin ich nicht sicher, was ich auslöse, wenn ich das jetzt
erhöhe (ob dann bestehende PW womöglich angemeckert würden).

>> Die Frage ist doch: Wo kommen die rein und warum tut das Frontend nix 
>> dagegen. Bei uns darf man sowas halt einfach nicht speichern, wenn's 
>> nicht komplex genug ist. 
> 
> Das Problem wird sein, dass der OP dem "unvernüftigen" Nutzer
> Admin-Rechte oder ähnlich auf seinem Postfixadmin-System gewährt hat und
> dieser die schlechten Passwörter eingetragen hat.
> Sofern die Postfixadmin-Software keine solche Passwortprüfung vorsieht
> (wonach es aussieht) und er das nicht selbst reinbauen will (z.B. per
> "cracklib-Aufruf") hat er halt ein Problem.

Unterm Strich bin immer ich schuld, und habe ich das Problem ;-)

> Alternativ könnte man die Passworte zyklisch aus der DB extrahieren und
> John [1] "zum Fraß vorwerfen" und Accounts mit Treffern sperren lassen.
> (Mit entsprechender Benachrichtigung versteht sich.)

Yep. Könnte ich mal machen.

Kostet den Kunden dann noch mal extra Aufwand meinerseits ... auch, weil
ich adhoc noch keine Ahnung hab, wie ich das am Besten extrahier usw. Da
muß ich mal in Ruhe dazu, wenn ich wieder meine andere Arbeit
einigermassen nachgezogen hab, nach dem Stress gestern.

Ich hab mir jetzt mal einen Nagios-Check gesetzt, der mich warnt, wenn
die Queue dort über gewisse Schwellen geht, damit kann ich zumindest im
Auge behalten, falls wieder was losbricht. Klar, das ist keine Lösung,
aber eine zusätzliche Sicherungsmaßnahme.

Vielleicht sollte ich dem Kunden nahelegen, einen eigenen dedicated
Server anzumieten, als sein own private mailrelay. Dann ist es seine IP
und nicht meine, die er gefährdet (bzw. die meiner ganzen anderen Kunden).

Der Angreifer hat jedenfalls seit Änderung des Passworts nur noch 2x
probiert, mit einer anderen Kombi, seitdem ist Ruhe. Gut so.

Ich danke Euch.

Stefan



Mehr Informationen über die Mailingliste Postfixbuch-users