Umsetzung Fremd auf ISPCP

[Uwe Driessen]

Hallo

Ich habe mit RC6 angefangen eine bestehende Hostinggeschichte auf ISPCP umzusetzen. Während der Umsetzung kam die RC7 raus.
Dachte ich kein Problem nimmst gleich die neue dann musst du nicht gleich Upgraden zumal dann auch die Mailgeschichte in sub_domain und sub_alias_domains laufen sollen.

Es müssen ca. 450 Domains und ca. 600 Mailkonten mit Username Password, FTP_accounts, mysqldatabases auf der neuen Kiste laufen.
inkl. das wir Postfix beigebracht haben auch mit externen Mailservern die nicht unter unseren Fuchtel stehen umzugehen (wird zwar noch in Poweradmin gesetzt aber evtl. macht mal jemand 2 Felder zusätzlich rein (ext. Mailserver = ja, Ip-Adresse bzw. DNS-Name)

alleine die Umsetzung der Datenbanken von Alt nach neu umfassen ca. 400 Zeilen Mysql..

Letzte Anpassungen am Konvertierungsscript gemacht und dann kommt die GROßE Überraschung ……

Mein AKTUELLES Problem:

Wie bekomme ich saubere 1000 Passwörter in Cleartext und Blowfish (so werden die jetzt wohl generiert) für alle Accounts in die Datenbank?

Witze wie von Hand einpflegen bitte sparen.

Hat jemand ein Script das 1000 Passwörter in Cleartext(die könnte ich ja noch generieren) in Blowfish bzw. in das im System verwendete Verschlüsselung umstellt.

Nicht ein Password kann per Mysql-script generiert werden.
Heute lese ich das Dovecot nicht offiziell unterstützt werden soll bzw. von Entwickler Seite
NUR Courier unterstützt wird (ok das Problem bekommt man gefixt)
Riesige Password Probleme weil Format geändert mit dem außer Courier keiner umgehen kann.

Dito bei PowerDNS (diese Diskussion wurde ja auch schon in den Boards geführt)
Wir hatten und sogar die Mühe gemacht für PDNS die Statements anzupassen und so aufzubauen das dieses evtl. modular per include eingebunden werden könnte (der Feinschliff fehlt noch aber wir haben ein DIFF womit das ganze auch nach Update sehr elegant wieder eingespielt werden kann.)

davon lebt doch freie Software das es externe gibt die auch mal das eine oder andere Modul dazu beisteuern können sofern eine definierte Schnittstelle vorhanden ist (geht auch ohne aber nicht so schön)

Noch einiges anderes das bei der Grundsätzlichen Anlage der Software (Modulare Bauweise und nicht monolitisch) nicht bedacht wurde.

Ein paar grundsätzliche Überlegungen :
Keine Ahnung warum Entwickler freie Software künstlich einschränken und den Linux Gedanken ALLES geht sofern es einer macht und offen in ALLE Richtungen zur zusammen arbeit zu bewegen verlassen ….

Alleine das Passwörter verschlüsselt in einer Datenbank gespeichert werden bedeutet keinen Sicherheitsgewinn.
Im Gegenteil ein Admin der Zugriff auf das System hat braucht keine Passwörter!! Der kommt eh überall rein (deswegen nennt man den ja auch Admin).
Wenn der admin des Systems auch Passwörter Neu setzen kann dann weis er auch was er cleartext getippt hat.
Änderung der User über Squirrel am Password geht auch nicht mehr.
Das wichtigste das Passwörter verschlüsselt übertragen werden können (Challenge-Response Verfahren, CRAM-MD5, DIGEST-MD5, NTLM) vom Client zum Host ist versperrt. Mit blowfish geht nur Cleartext in der Kommunikation und dort wo die Sicherheit wirklich benötigt wird geht es eben nicht. Alles andere ist Pseudosicherheit und hat nichts mit Datenschutz zu tun. Sicherheit wo Sie hingehört. Database Inhalte MÜSSEN anders geschützt werden.
Wie mir mein Kollege gerade mitteilt ist Blowfish scheinbar auch noch Versionsabhängig sodass nach einem Systemupdate(sehr wichtig) plötzlich das System nicht mehr läuft.

Wer in Die Datenbank kommt um Daten zu stehlen kann auch neue Passwörter setzen.

Ob die Probleme und die Einschränkungen die da jetzt alle auftauchen wirklich so bedacht wurden?

ISPCP ist eine Sehr schöne Lösung wenn man einen leeren Server hat auf dem alles sowieso neu eingeben muss. Es ist schnell, insgesamt sehr sauber Programmiert. Das waren die Gründe warum ich ISPCP für dieses Project empfohlen habe.
Im Moment stehe ich allerdings mit dem Arsch an der Wand da ich den Usern keine sicheren Passwörter nach den System
RIGHT( ENCRYPT( MD5( concat( t2.local, now(), t2.virtual_alias) ) ),8)
bzw.
t1.mail_pass = encrypt(`mail_pass_clear`,RIGHT( ENCRYPT( MD5( mail_pass_clear) ),2))
generieren kann .
Da ISPCP mit der entsprechenden Einstellung nur sichere Passwörter akzeptiert kann der User die dann gerne hinterher ändern. Das alte System lies sogar 123456 als PW zu so was möchte ich mit ISPCP eliminieren.

Macht es doch bitte einstellbar wer unbedingt Blowfish möchte soll es einstellen wer lieber die Cleartext PW nimmt um Verbindungen besser zu sichern sollte das auch tun können.

wer Dovecot möchte sollte es Nehmen können (zumindest sauber ohne große Verbiegungen einbinden)
the same für den DNS Server der Wahl. kleines Script auf das über die Config zugegriffen wird und schon ist man nach allen Seiten offen und der Code bleibt auch übersichtlich.

evtl. habt Ihr ja schon solche Schalter und ich finde diese nur nicht??

Das sicherste System das ich kenne benutzt keine Passwörter, hat keinen Stromanschluß und liegt 10 Meter tief in der Sahara vergraben *ggg

Nehmt es bitte nicht persönlich, ich halte das Tool durchaus für sehr gut, ich muß nur meine Probleme lösen.

[BeNe]

Quote:Wie bekomme ich saubere 1000 Passwörter in Cleartext und Blowfish (so werden die jetzt wohl generiert) für alle Accounts in die Datenbank?

Wenn Du auf die RC7 upgradest werden die PW´s automatisch bein admin login verschlüsstelt. Es gibt ein script welches die PW wieder entschlüsselt (http://www.isp-control.net/forum/showthr...?tid=5495)

Quote:Heute lese ich das Dovecot nicht offiziell unterstützt werden soll bzw. von Entwickler Seite
NUR Courier unterstützt wird (ok das Problem bekommt man gefixt)

In Zukunft soll das auch noch kommen. Habe es aber schon eine weile mit Dovecot am laufen und das ohne Probleme.

Den Rest muss ich mir erstmal durchlesen, ist etwas viel Text.

Greez BeNe

[chrroessner]

Tach,

das Problem hier ist, dass ein Datenbestand aus einer anderen Domain-Hosting-Software auf ISPCP portiert werden soll. Das ganze läuft rein SQL-basiert ab (die Konvertierung). Nur ist unser Problem (ich gehöre dazu :-) ), dass wir nicht wissen, wie wir nun verschlüsselte Passwörter erzeugen können.

Mir würde ja ein simpler 5-Zeiler in Perl reichen, wo ich über STDIN Plaintext reinwerfe und über STDOUT Blowfish raus bekomme. Dann kann ich so ein Skript in der Shell verarbeiten und alles wird gut *g*

Mein Problem ist, ich kann leider kein Perl ;-)

Beispiel:

echo "Tolles_PW" | perlskript-magic.pl | mysql -uroot -p**** -e "UPDATE ...."

So irgendwie halt

Gruß
Christian

[tango]

Quote:Hat jemand ein Script das 1000 Passwörter in Cleartext(die könnte ich ja noch generieren) in Blowfish bzw. in das im System verwendete Verschlüsselung umstellt

wo befindet sich die Klartext Passwörter von dir ?? in einer Datenbank oder wirst du es erst generieren lassen ??

und bitte nicht so lange Text'e schreiben, es wechselt von Fragen bis auf Beschwerden und hört bei Vorschlägen auf

[Uwe Driessen]

(02-27-2009 05:38 AM)BeNe Wrote:  

Quote:Wie bekomme ich saubere 1000 Passwörter in Cleartext und Blowfish (so werden die jetzt wohl generiert) für alle Accounts in die Datenbank?

Wenn Du auf die RC7 upgradest werden die PW´s automatisch bein admin login verschlüsstelt. Es gibt ein script welches die PW wieder entschlüsselt (http://www.isp-control.net/forum/showthr...?tid=5495)

wie bekomme ich denn die PW's überhaupt in die database?
den Beitrag zum Entschlüsseln hatte ich schon gefunden aber ich habe noch keine Blowfish in der Database habe bzw. am aller aller liebsten wäre mir sogar das es weiterhin mit Cleartext rennt da das die beste Kompatibilität und mehr Sicherheitsmöglichkeiten nach Außen bietet. Mit Cleartext kann jede Software intern arbeiten.

[Lucan]

Ich bin eh nicht "die Leuchte" was das ganze betrifft, allerdings weiss ich, das die passwort verschlüsselung erst in RC7 (oder wars schon RC6?) dazu gekommen ist.


Würde es euch evtl helfen, euren Server auf z.B. eine RC6 zu importieren und den Server dann auf eine 1.0 upzugraden?

[chrroessner]

Das ist alles nur der pure Frust *g* :-) Nicht zu hart bewerten

Ehm, im Moment würde ich die PWs irgendwies on-the-fly generieren. Wir haben daher die Tabelle mail_users um eine Spalte ergänzt, in der dann auch das Cleartext-PW drin stehen kann (nur für uns; die Spalte kann dann auch irgendwann wieder weg, wenn alle Benutzer erfolgreich gestartet sind)

---

(02-27-2009 05:59 AM)Lucan Wrote:  Ich bin eh nicht "die Leuchte" was das ganze betrifft, allerdings weiss ich, das die passwort verschlüsselung erst in RC7 (oder wars schon RC6?) dazu gekommen ist.


Würde es euch evtl helfen, euren Server auf z.B. eine RC6 zu importieren und den Server dann auf eine 1.0 upzugraden?

Die Idee hatte ich auch schon, leider haben wir schon die RC7 installiert. Wollte nicht nochmal auf RC6 downgradedn, zumal wir das gesamte Setup über 4 virtuelle Server verteilt haben und munter mit NFS quer gemountet. Das war schon hart genug

[Uwe Driessen]

und bitte nicht so lange Text'e schreiben, es wechselt von Fragen bis auf Beschwerden und hört bei Vorschlägen auf

*gg

Ich bin eigentlich schon seit über einem Jahr hier angemeldet da kommt mit der zeit so einiges zusammen was auffällt und was man gerne anders anders hätte bzw. anders benötigt *g

[tango]

(02-27-2009 05:55 AM)chrroessner Wrote:  Tach,

das Problem hier ist, dass ein Datenbestand aus einer anderen Domain-Hosting-Software auf ISPCP portiert werden soll. Das ganze läuft rein SQL-basiert ab (die Konvertierung). Nur ist unser Problem (ich gehöre dazu :-) ), dass wir nicht wissen, wie wir nun verschlüsselte Passwörter erzeugen können.

Mir würde ja ein simpler 5-Zeiler in Perl reichen, wo ich über STDIN Plaintext reinwerfe und über STDOUT Blowfish raus bekomme. Dann kann ich so ein Skript in der Shell verarbeiten und alles wird gut *g*

Mein Problem ist, ich kann leider kein Perl ;-)

Beispiel:

echo "Tolles_PW" | perlskript-magic.pl | mysql -uroot -p**** -e "UPDATE ...."

So irgendwie halt

Gruß
Christian

versuch dochmal mit php

<?
$str = 'Klartextpasswort';
echo crypt($str, CRYPT_BLOWFISH);
?>

[chrroessner]

Das produziert in Deinem Beispiel:

0$7rqYZ9dRVYo

Sind das dann benutzbare Passwörter für ispcp?

Wäre natürlich klasse.