[debian-users:24895] Re: アクセス権について。

[ikari <ikari@xxxxxxxxx>]

回答ありがとうございます。
碇です。

MATSUI Takahiro wrote:
> 
> palindrome ではないでしょうか。これだと「回文」ということになっ
> てそれっぽい警告になります。
> 

すいません、typoでした。

> ユーザに簡単にパスワードを変更してもらいたいのであれば、全く違う
> 方法ですが、
> 
> ・poppassd を使う（Eudora が対応している、その他にもクライアント
> あり）

これは一応入れてみたのですが、/etc/servicesに
poppassd 106/tcp #Eudora
poppassd 106/udp #Eudora
とかいてあり、又使い方も分からない&ユーザーMUAに何を使っているのか
わからないないなどで、やめました。

> ・Samba を導入してドメインを作成し（NT server があるなら必要ない
> です）、PAM 対応の pop server を使って pam_smb でパスワードを認
> 証する。パスワードはドメインのログオンと同じで、Windows から変更
> できる

これは、よさそうですけど大幅にnetworkを構築し直さなければなりませんね。
大声では言えないのですけど、ちょっと面倒な構成になっています。
近い将来に大変更があるのですけれども、その際に参考にさせていただきます。

> ・PAM 対応の pop server を使い、pam_pwdfile を使ってシステムとは
> 別のパスワードにする。このパスワードファイルを web から変更でき
> る permission にする

これはちょっとわからないので、今後調べます。
JFにたしかPAMのページがあったはずなので、見てみます。
ただ、私の所ではpopユーザーのシェルはすべて/bin/falseです(^^)
何かあると全部私の所に飛んできます。
もちろん、telnetなど開いていずsshを使える人間もいません(^^)

> ・APOP だけつかうようにして、APOP 用のパスワードファイルを web
> から変更できるような permission にする
> 
> など考えられます。
> どの方法も一長一短あります。それと、どのような方法にするかを決め
> る際には、パスワードが平文でネットワークが流れてもいいかなども考
> えた方がいいと思います。
> 

これが一番問題なのですが、ちょうど今セキュリティーポリシーを
検討している最中ですので、訳の分からないMUAは排除してしまい、
APOP onlyにしてしまおうかと思っています。
但し、社員皆にうらまれる事になりそうなのでちょっと腰が引けます。
今現在はpop3ですので、プレーンテキストでパスワードが流れても
結局一緒の気がします。スニッフ+フィルタでどうせばれる。
スニッファーをおかれる(クラックされている)ホストがある訳では
ないのですが、心中的にはpop3を使っていれば同じのような気がします。

webからの予定でしたので、sslを使おうかとも思っていたのですが、
IEにバグがあったりで過去に諦めた経緯があります。
cryptを使って無理矢理shadowを書き換えるのものが存在するのですが、
java servletを使ってしまった為、何しろメモリーリークです。
passwdの変更ページぐらいで、メモリを食われたくないのでPHPかなにかで
書き直そうと思って今現在検討中の最中です。

> なお、うちでは３番目の方法を使ってます。パスワードが色々あって大
> 変不評です（笑）。「この方がセキュリティが」とかいっても一般の方
> 々にとっては不便なだけで、結局みんなすべてのパスワードを同じにし
> て、全然変えてくれません（笑）。

どこも同じですね(^^)
このごろ、社内でアニメッチャや、ポスぺがはやっているので
そんな物の仕様まで調べてられません。
使うMUAを限定してしまおうかと思っているのですが、ブーイングの嵐が
目に見えているので何とも腰砕けです。
qmailに以降しようと決意して約2ヶ月、未だに以降していません。
一度稼動してしまうと、なかなか変更はできませんね(^^)
トラブルは回避したいという気持ちが先走ってしまいます。
それが、セキュリティホールの第一歩なのですが・・

-- 
**************************************
    碇 永志  PCA(株) ikari@xxxxxxxxx
**************************************