[Thinlinc-technical] Ett litet säkerhetstips: /etc/ldap.conf

[Erik Forsberg]

Hej!

Vid installation av ThinLinc med autenticiering mot LDAP-server,
exempelvis mot eDirectory, så lagrar man i vissa fall ett lösenord i
/etc/ldap.conf, till det DN som används för att hämta uppgifter om
existerande användare.

På de flesta installationer jag har varit med och gjort, och
förmodligen på en del andra, så kan vem som helst på systemet läsa den
filen, vilket gör att lösenordet blir åtkomligt för vem som helst som
har ett konto på maskinen. Detta är också standardinställningen.

Nu är inte det ett egentligt problem, eftersom användaren som man
använder för att läsa från eDirectory med ändå ska vara en användare
som bara har läsrättigheter till rätt attribut och inga
skrivrättigheter, och attributen man hämtar är ändå information är
icke säkerhetssensitiv.

Dock, om man inte vill att vem som helst ska kunna läsa lösenordet så
visar det sig att /etc/ldap.conf bara behöver vara läsbar av root,
förutsatt att man också kör nscd.

Det här fungerar för mig på Fedora Core 2, och bör fungera på andra
plattformar också. Värt att testa, om man inte vill exponera
lösenordet av någon anledning.

mvh,
\EF
-- 
Erik Forsberg                Telephone: +46-13-21 46 00
Cendio AB                    Web: http://www.cendio.com