[ISPconfig 3] Admin resetten

Dieses Thema im Forum "Allgemein" wurde erstellt von Diggo, 6. Juli 2009.

  1. Diggo

    Diggo New Member

    Hallo Board,

    ich habe vor einiger Zeit ein ISPconfig3 auf einer XenDomU einem Freund zur Verfügung gestellt. Nach langer Zeit ging das adminpasswort (und der account, falls man den "admin" umebennen kann) flöten.

    Gibt es eine möglichkeit das wieder herzustellen oder auf default "user: admin, pw: admin" zu setzen?

    Gruß,
    Dennis
     
  2. planet_fox

    planet_fox Super-Moderator

    hast du root passwort ?, mysql passwort, dann msste es gehn den admin unser einer neu installation in die datenbank zu kopieren. ich habe das jedoch noch nie versucht. aber ich denke es kann gehn
     
  3. AndréS

    AndréS New Member

    Hi Diggo,

    wenn du das Mysql Root PW hast, dann geht es sogar noch ein tickchen einfach. Gehe in die Tabelle und ändere einfach das PW vom User 1. Nicht vergessen vorher das passwort mit md5 zu hashen und NUR den Hash darein zu schreiben.

    Liebe Grüße

    AndréS
     
  4. Diggo

    Diggo New Member

    Ja ideal, vielen Dank. Die RootPWs hatte ich (die hab ich nicht rausgegeben), so konnte ich sogar über den PhpMyadmin da ganz bequem ran :).

    *edit*:

    Achso eine Frage noch, was mir dabei aufgefallen ist:
    ich bin kein Securityexperte, aber sollten Passworthashes nicht gesalzen werden?
     
    Zuletzt bearbeitet: 7. Juli 2009
  5. AndréS

    AndréS New Member

    gesalzen???

    Überleg mal folgendes Wort:
    Code:
    Hallo_Du
    ergibt:
    Code:
    feb7d038139d21ba6ee8c7ff93c5af2c
    Wie willst du wissen, das H diese auswirkung hat? Der Algorithmus ist nun nicht wirklich so, dass du das mal eben im Kopf nachrechnen kannst.
    http://de.wikipedia.org/wiki/MD5

    Zumal du das mal so sehen musst, selbst WENN ich an die DB ran komme (NUR LESEND!!!) dann sehe ich dein PW. Na und. Wie soll ich das zurück rechnen?
    Und du musst nun mal den original String eingeben der ja nun berechnet und dann gecheckt wird.

    Also gesalzen ist der. Bei weitem. Pass nur einfach auf, dass du dein PW vom MySQL Root nicht hergibst :)

    AndréS
     
  6. Till

    Till Administrator

    In ISPConfig 3 sind alle Passworte mit salt gespeichert. Sie es Dir einfach mal an. bevor Du sowas postest....
     
  7. AndréS

    AndréS New Member

    Hi Till,

    war das an mich gerichtet???
    Weil wenn ja, ich habe extra nachgefragt was er mit gesalzen meint. Ich habe es nicht auf salt bezogen sondern ehr darauf, dass ihm das PW nicht ausreichend geschützt sei. Daher auch meine Erklärung.
    AndréS
     
  8. Till

    Till Administrator

    Nein, das war an Deinen Vorposter gerichtet. Ich hätte da ein @Diggo hinzufügen sollen :)
     
  9. Diggo

    Diggo New Member

    Hallo Till,

    ich bin darauf gekommen, weil ich irgendein MD5Hashgenerator über Google genommen habe und er mir genau den gleichen Hashwert geliefert hatte wie der damals von ISP-CP generierte (vielleicht verdreh ich hier was, die Vorlesung mit Hashes hab ich noch vor mir ;) - wie gesagt bin kein Securityexperte, war ja als Frage gemeint).

    Nunja, ich möchte den Thread jetzt aber nicht zweckentfremden, nein sogar fortführen, denn:

    Ich habe heute eine neue DomU komplett frisch installiert, dieses mal auf Basis von Debian Lenny und mir ist aufgefallen (bzw. ist das ein bekanntes Verhalten?), dass ich sobald ich das passwort von "admin" abändere, ich mich nicht mehr einloggen kann - weder mit dem neuen passwort noch mit dem alten.
    Um genau zu sein, habe ich das Passwort von Admin abgeändert und anschließend einen Client angelegt, der das gleiche Passwort hat (noch immer zu testzwecken, produktiv würde ich sowas nicht machen).

    Bei der Installation bin ich 1 zu 1 nach dem Howto auf Howtoforge vorgegangen und habe lediglich den Port von ISPConfig von 8080 auf einen anderen geändert.
     
  10. Diggo

    Diggo New Member

    Ich habe jetzt noch einmal ISPconfig installiert,

    dieses mal als "standard" nicht als "expert" und den port auf 8080 belassen.
    Wenn ich jetzt einen User anlege, kann ich mich als dieser einloggen. Kann das jemand (z.B. in einer VM) nachstellen?
    Ich bin erstmal 2 Wochen weg, danach könnte ich da auch ein wenig forschen.

    *edit* Controlpanelname korrigiert
     
    Zuletzt bearbeitet: 10. Juli 2009
  11. Till

    Till Administrator

    Du bringst hier was durcheinander. Das hier ist das Forum für die Software ISPConfig und nicht ISP-CP. Wir irgeneine andere Software Ihre Passworte verschlüsselt kann ich Dir nicht sagen, ISPConfig 3 jedenfalls verwendet Crypt mit salt und nicht md5.
     
  12. Diggo

    Diggo New Member

    Uh sorry, ich meine ISPconfig :eek:

    Ich versuche ja das gerade eben irrtümlich andere genannte Controlpanel loszuwerden und teste ja deshalb ISPConfig, weil es einen durchdachteren Eindruck macht als die andere Software.
     
  13. Till

    Till Administrator

    Vielleicht mal ganz allgemein, bei ISPConfig legst Du user nicht manuell an. Wenn Du einen Controlpanel User anlegen mächtest, legst Du einen Kunden an. Wenn Du en User manuell anlegst dann müsstest Du auch diverse andere Berechtigungen manuell selbst setzen, damit dieser funktionieren würde und das geschieht beim Anlegen eines Clients automatisch.

    Dass Du Dich nach einem Passwort ändern nicht mehr einloggen kannst, kann ich so nicht reproduzieren. Bei mir geht das astrein und hat auch nichts mit dem Port zu tun.
     
  14. Diggo

    Diggo New Member

    Hallo Till, zuerst einmal danke für deine Geduld ;)

    Wenn ich Zeit habe, werde ich versuchen, das Adminlogin-problem zu reproduzieren. Sollte ich Erfolg haben melde ich mich bezügl. dieses Problems nochmal zu Wort :)
     
  15. kaschig

    kaschig New Member

    Admin resetten

    Nun mal wieder "zum Thema zurück" ;-)

    Hatte gerade leider das Phänomen, dass Änderungen die ich in ISP 3.0.0.3 gemacht habe (und dort nach einem Speichern bei erneutem Aufruf sichtbar waren) sich nicht auf das Live-System ausgewirkt haben (MySQL-Datenbank-Anlage, neuer User, Website) - und bevor die Frage kommt: ich kann nicht sagen seid wann das so ist, da ich in letzter Zeit keine Änderungen über das ISPConfig vorgenommen habe (zumindest nicht seitdem ich von 3.0.0.1 auf 3.0.0.3 aktualisiert habe).

    Nach dem ein oder anderen Hin- und Her-Geändere (jaaaa, sehr böse...) habe ich nun offenbar meinen User 'ispconfig' aus der MySQL-Datenbank ausgesperrt. Ich kann als root zwar in MySQL prima das Passwort (wieder) auf den Wert setzen, den ich mir notiert habe (was sich dann in der mysql.user auch im selben Hashwert bestätigt), das akzeptiert ISPConfig selber aber leider nicht.
    Mit anderen Worten: ich habe mich ausgesperrt.

    ispconfig.log sagt:
    WARNING - DB::connect()-> mysql_connect Access denied for user 'ispconfig'@'localhost (using password: YES)

    Nun habe ich mich schon zu /usr/local/ispconfig/server/lib/config.inc.php durchgearbeitet - frage mich aber, ob ich dort "richtig" bin, wenn ich dort $conf[db_password] setzen wollen würde (es "einfach" auf den MD5-Wert des Users zu setzen hat nichts gebracht).:(

    Wäre fein, einen Schlag auf den Hinterkopf oder anderweitig tatkräftige Hilfe zu bekommen. Danke im Voraus.

    Chris
     
  16. kaschig

    kaschig New Member

    Kleine Ergänzung

    Die Version ist natürlich ISPC 3.0.1.3

    Via phpmyadmin kann ich mich auch als 'ispconfig' einloggen. Es geht also letztlich darum wo ich wie ISPConfig das neue (alte) MySQL-Passwort mitteilen kann.
     
  17. Till

    Till Administrator

    Da hast Dui Dir aber was vorgenommen, das Passwort wird auch von allen Diensten verwendet und muss somit in allen Konfigurationsdateien geändert werden:

    /usr/local/ispconfig/server/lib/config.inc.php
    /usr/local/ispconfig/interface/lib/config.inc.php
    Den mysql* Dateien in /etc/postfix
    Der courier authmysqlrc Datei
    Der smtp Datei in /etc/pamd
    Der pureftpd Konfigurationsdatei.
     

Diese Seite empfehlen