La autenticación en los Servicios del Servidor "requiere almacenar su contraseña de forma menos segura"

4

He comprado y descargado la aplicación MacOS Server para alojar una VPN y para alojar un repositorio Satis.

Al habilitar los servicios de VPN o sitios web, aparece un diálogo que pregunta "¿Desea cambiar la forma en que se almacena su contraseña?", con el consejo de que "La autenticación en este servicio requiere almacenar su contraseña de forma menos segura".

No puedo encontrar más información sobre esto, ni en la documentación del Servidor, ni en la búsqueda en Google.

  • ¿Qué significa esto realmente?
  • ¿Por qué es esto necesario?
  • ¿Pertenece a mis credenciales de cuenta de usuario de MacOS? De ser así, ¿solo afectará a las credenciales de la cuenta desde la que se ejecuta la aplicación del Servidor (si este es el caso, crearé una cuenta de usuario diferente para ejecutar la aplicación del Servidor)?

Muchas gracias por su tiempo y ayuda.

    
pregunta 568ml 28.08.2017 - 17:37

2 respuestas

1

OS X almacena su contraseña en un formato cifrado de "hash con sal" (ver esta pregunta que" codifica "su contraseña (combinada con a "sal" ) de tal manera que no se pueda descifrar, pero produce el mismo valor cada vez.

Dependiendo de cómo esté configurado Apache, usa diferentes algoritmos (normalmente con sal), incluidos MD5, SHA1 y crypt: vea la documentación

Estos son más fáciles de descifrar que SHA-512, pero también son bastante seguros (usan un salt y son hashes de una sola vía. Un atacante debería obtener el archivo htpasswd para descifrar su contraseña)

Lo mismo ocurre con el servidor VPN: no estoy seguro del algoritmo de hash que utiliza, pero tiene menos entropía que la base de datos interna de usuarios, que es lo que significa la advertencia.

Es necesario porque cada pieza de software está escrita por distintos mantenedores (el servidor web por Apache, por ejemplo) y no por Apple, y porque almacenan su contraseña en lugar de autenticarlo en la base de datos de usuarios de OS X.

Se refiere a cualquier usuario que tenga autorización para autenticarse en esos servicios (los servicios VPN y web) y no a la cuenta de usuario con la que se ejecuta la aplicación del servidor.

    
respondido por el Josh 31.08.2017 - 22:31
1

Sobre la base de la respuesta de @ Josh, hay algunos servicios heredados que requieren el uso de un algoritmo de hashing llamado MS / CHAP. Una de las propiedades desafortunadas de la familia de hash MS / CHAP es que el hash almacenado es lo suficientemente débil como para permitir que se recupere la contraseña. Esto es un problema si el atacante roba el archivo en el servidor que contiene los hashes. El servidor PPTP VPN es uno de los servicios heredados que utilizan MS / CHAP.

Dicho todo esto, no es necesario que debilite el hash del administrador del servidor si esa persona no va a utilizar VPN. Los usuarios creados después de que Server.app se haya instalado y configurado tendrán sus hashes debilitados. Puede usar la herramienta pwpolicy (8) para ver qué hashes se guardan para un usuario. Si tiene un usuario creado antes de que se inicie la VPN y desea que utilicen el servicio, puede ir al panel de usuarios y buscar ese usuario, verá un mensaje "es posible que el usuario no pueda acceder a todos los Servicios "con una opción para arreglar. Elige una solución.

Creo que siempre es una buena idea tener un usuario específico para las tareas de administración del servidor. Por lo tanto, le animo a crear un usuario para ejecutar Server.app y, posteriormente, no habrá necesidad de debilitar los hashes para ese usuario.

    
respondido por el Leland Wallace 04.09.2017 - 10:02

Lea otras preguntas en las etiquetas