Passwortmanagement / Login mit UserAccounts

[nightcode]

Dieses Szenario hat für mich rein garnix mehr mit der ursprünglichen Intention dieses Themas zu tun!

Ich bin gern dein Mailadmin. Bitte hashe deine Passwörter, speicher sie nirgends im Klartext und gib mir dein root Passwort bzw Zertifikat.
Nach 2 Stunden darfst du wieder Mailadmin sein und du wirst sehen: Es ändert rein garnix daran und dein Spielchen ist genauso möglich!

 

[nightcode]

Oder noch besser: der Zugang zur ISPConfig DB reicht auch.
Ich ersetze kurz den Login, mach dein Postfach leer und setze danach den alten gesalzenen Hash wieder ein...

Läuft alles aufs gleiche hinaus. Ist nur eine geringfügige Verschiebung des Problems!

Ich weiß zwar nicht wie, aber du speicherst das Passwort für ISPConfig und phpMyAdmin etc. doch bestimmt nicht einfach so im Klartext in einer Konfigurationsdatei oder? Kaum auszudenken was da alles passieren könnte

 

[nowayback]

Dieses Szenario hat für mich rein garnix mehr mit der ursprünglichen Intention dieses Themas zu tun

Für mich schon. Dieses Beispiel ist nur eines von vielen Möglichkeiten, dein Business zu erden. Und wenn dieses Beispiel genau so abläuft wie ich es beschrieben habe, dann tritt auch genau der Fall so ein.

Ich will dich nicht angreifen, nimm das bitte nicht persönlich. Ich will dir nur zeigen, dass es Möglichkeiten gibt, die dir Schaden zufügen können obwohl du evtl. gar keine bösen Absichten hattest. Man kann in der heutigen Zeit gar nicht dumm genug denken, um sich auszumalen was alles kommen kann.

Übrigends würde mich auch mal interessieren was denn deine AGB's, DSE und Co zu dem Thema schreiben. Hast du die von nem Anwalt wirklich mal gegenchecken lassen und halten die einem Verfahren vor Gericht wirklich Stand? Die rechtliche Seite ist hier nämlich auch nicht zu vernachlässigen.

Das soll es nun übrigends auch von mir zu dem Thema gewesen sein.

Wir selbst setzen ISPConfig mittlerweile auch ein, allerdings da hauptsächlich die Remote-API weil ISPConfig sich in unsere Umgebung integrieren musste ;-) Das funktioniert auch ausgesprochen gut, war aber Arbeit. Nach 5 Jahren, die ich hier im Forum bin, haben wir es dieses Jahr tatsächlich geschafft, das auf einigen Live-Systemen auszurollen. Nach dem was ich im Git so sehe steht uns mit 3.1 gar nicht so viel Arbeit bevor ;-)

 

[nightcode]

Wie gesagt: schau dir z.B. einfach mal all-inkl.com an.
Ein sehr großer Hoster, besonders für Kunden die sich nicht mit Servermanagement auseinander setzen wollen.
Und siehe da: man kann sich jedes Passwort von jedem E-Mail, SQL, FTP, Unteraccount und sonstwas anzeigen lassen.
Bei der Gelegenheit kannst du gleich nochmal aus juristischer Sicht deren AGB (ohne S), DSE und Co zerpflücken

 

[nowayback]

Wie gesagt: schau dir z.B. einfach mal all-inkl.com an.
Ein sehr großer Hoster, besonders für Kunden die sich nicht mit Servermanagement auseinander setzen wollen.
Und siehe da: man kann sich jedes Passwort von jedem E-Mail, SQL, FTP, Unteraccount und sonstwas anzeigen lassen.
Bei der Gelegenheit kannst du gleich nochmal aus juristischer Sicht deren AGB (ohne S), DSE und Co zerpflücken

Nicht mein Job und das war nicht meine Frage. Die Frage war, wie DU das regelst. Und die Frage wollte nicht ich dir stellen, sondern solltest du dir stellen. Schlaf mal ne Woche drüber. Das ist ein richtig heißes Eisen, welches du da anfässt.

 

[nightcode]

Und deshalb fahre ich, wie bereits mehrfach gesagt, den sicheren Weg.
Und ich werde nur davon abweichen, wenn es eines Tages zu sehr nervt bzw. zu viel Zeit raubt.

Dennoch lassen sich all diese Schreckensszenarien eben auch ohne diese Verfahrensweise realisieren!
Hosting ist immer ein heißes Eisen denn man ist immer ein potenzielles Opfer.
Mein Kunde hat auch nichts davon wenn ich anderen den Fehler in die Schuhe schiebe. Es könnte genauso gut ein Backdoor in ISPConfig der Auslöser sein. Und wer hats dann überhaupt eingesetzt? Richtig: ICH!

 

[planet_fox]

Backdoor in ISPConfig der Auslöser <<--- Nach 12 Jahren ISPConfig kann ich sagen sowas ist sehr unwahrscheinlich. ISPConfig wird mit viel Sorgfalt entwickelt. Backdoors kommen wenn nur durch gehackte ISP3 Server ins System oder miss Configuration.
Zum Passwort Thema, ja es gibt diverse Provider bei denen die Passwörter angezeigt werden. ISPConfig hat das nicht aus nennten Gründen von
Till. Alles was ich all die Jahre gebraucht habe als Admin von Linux Servern, war die shell und das Logfile System um Probleme zu finden .
Das andere waren Probleme die beim client selber waren, dazu brauchte ich nur eine Fernwartungssoftware.