[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:24895] Re: アクセス権について。
回答ありがとうございます。
碇です。
MATSUI Takahiro wrote:
>
> palindrome ではないでしょうか。これだと「回文」ということになっ
> てそれっぽい警告になります。
>
すいません、typoでした。
> ユーザに簡単にパスワードを変更してもらいたいのであれば、全く違う
> 方法ですが、
>
> ・poppassd を使う(Eudora が対応している、その他にもクライアント
> あり)
これは一応入れてみたのですが、/etc/servicesに
poppassd 106/tcp #Eudora
poppassd 106/udp #Eudora
とかいてあり、又使い方も分からない&ユーザーMUAに何を使っているのか
わからないないなどで、やめました。
> ・Samba を導入してドメインを作成し(NT server があるなら必要ない
> です)、PAM 対応の pop server を使って pam_smb でパスワードを認
> 証する。パスワードはドメインのログオンと同じで、Windows から変更
> できる
これは、よさそうですけど大幅にnetworkを構築し直さなければなりませんね。
大声では言えないのですけど、ちょっと面倒な構成になっています。
近い将来に大変更があるのですけれども、その際に参考にさせていただきます。
> ・PAM 対応の pop server を使い、pam_pwdfile を使ってシステムとは
> 別のパスワードにする。このパスワードファイルを web から変更でき
> る permission にする
これはちょっとわからないので、今後調べます。
JFにたしかPAMのページがあったはずなので、見てみます。
ただ、私の所ではpopユーザーのシェルはすべて/bin/falseです(^^)
何かあると全部私の所に飛んできます。
もちろん、telnetなど開いていずsshを使える人間もいません(^^)
> ・APOP だけつかうようにして、APOP 用のパスワードファイルを web
> から変更できるような permission にする
>
> など考えられます。
> どの方法も一長一短あります。それと、どのような方法にするかを決め
> る際には、パスワードが平文でネットワークが流れてもいいかなども考
> えた方がいいと思います。
>
これが一番問題なのですが、ちょうど今セキュリティーポリシーを
検討している最中ですので、訳の分からないMUAは排除してしまい、
APOP onlyにしてしまおうかと思っています。
但し、社員皆にうらまれる事になりそうなのでちょっと腰が引けます。
今現在はpop3ですので、プレーンテキストでパスワードが流れても
結局一緒の気がします。スニッフ+フィルタでどうせばれる。
スニッファーをおかれる(クラックされている)ホストがある訳では
ないのですが、心中的にはpop3を使っていれば同じのような気がします。
webからの予定でしたので、sslを使おうかとも思っていたのですが、
IEにバグがあったりで過去に諦めた経緯があります。
cryptを使って無理矢理shadowを書き換えるのものが存在するのですが、
java servletを使ってしまった為、何しろメモリーリークです。
passwdの変更ページぐらいで、メモリを食われたくないのでPHPかなにかで
書き直そうと思って今現在検討中の最中です。
> なお、うちでは3番目の方法を使ってます。パスワードが色々あって大
> 変不評です(笑)。「この方がセキュリティが」とかいっても一般の方
> 々にとっては不便なだけで、結局みんなすべてのパスワードを同じにし
> て、全然変えてくれません(笑)。
どこも同じですね(^^)
このごろ、社内でアニメッチャや、ポスぺがはやっているので
そんな物の仕様まで調べてられません。
使うMUAを限定してしまおうかと思っているのですが、ブーイングの嵐が
目に見えているので何とも腰砕けです。
qmailに以降しようと決意して約2ヶ月、未だに以降していません。
一度稼動してしまうと、なかなか変更はできませんね(^^)
トラブルは回避したいという気持ちが先走ってしまいます。
それが、セキュリティホールの第一歩なのですが・・
--
**************************************
碇 永志 PCA(株) ikari@xxxxxxxxx
**************************************