[perl] =?iso-8859-1?Q?Autentificaci=F3n?= de Usuarios

Bolo Lacertus lacertus@servidor.unam.mx
Wed, 13 Dec 2000 14:23:54 -0600 

Saludos!

Gunnar, ?Su opinión sobre cual es el mejor esquema de autentificación?

No se recomienda usar el shadow de la máquina para dar acceso a
servicios de internet porque en un descuido alguien podría adquirir el
archivo completo con todos los passwords cifrados y luego usar un
programa para romper (por fuerza bruta) el password de algún usuario y
ganar acceso al sistema incluso como root (que también guarda su
password en ese archivo).

Es por eso que se recomienda que los servicios no tengan acceso al
/etc/shadow para evitar que "filtren" información, puedes usar los
mismos passwords para sesión UNIX y servicio copiando los renglones a
otro archivo de uso exclusivo de tu servicio (y quitandole los passwords
que no son de usuario como root, bin, etc) yusando el mismo esquema de
autentificación.

Por lo regular se dan passwords distintos para sesion y para servicio ya
que por lo regular son usuarios distintos los que se atienden por web
que los que efectivamente entran a sesión, realizan y/o ejecutan
programas, etc. De modo que si alguien puede romper o robar un password
de un ámbito no pueda acceder al otro (en especial es arriesgado dar
acceso a sesiones UNIX ya que es relativamente fácil romper el root una
vez que se pueden ejecutar programas a voluntad en el SO).

La mejor forma que conozco de unificar el sistema de autentificación es
utilizando un servidor de Directorio, por ejemplo un LDAP (OpenLDAP o I
Planet) de modo que UNIX le pregunte si debe dejar entrar a un usuario o
no, al igual que el servidor Web y para resguardar los passwords
simplemente fortaleces la seguridad de LDAP cifrando las operaciones de
consulta y configurandolo adecuadamente. Es considerablemente mas
trabajo, pero puedes lograr resultados espectaculares de esta forma.

Raúl González Diego wrote:
> precisamente era lo que había notado, al ver la información del archivo
> passwd note que tiene permisos rw-r--r--, mientras que el archivo shadow
> tiene permisos r------;
> resumiendo ¿es o no es conveniente utilizar ese esquema?
> ¿qué otro esquema de autentificación sería conveniente usar?
-- 
Bolo Lacertus: lacertus@servidor.dgsca.unam.mx		==~\___\
http://proteo.dgsca.unam.mx/cgi-bin/lacertus/hola	 =__vvvv
--------- Pie de mensaje --------------------------------
Visite: http://tlali.iztacala.unam.mx/~randrade/perl.shtml
Cancelar inscripcion:
mail to: majordomo@tlali.iztacala.unam.mx
text   : unsubscribe perl