Cher forum,
Je suis sous fedora core 4.Je souhaite faire un audit de mes mots de passes. Seulement voila c'est stocké sur du openldap. Je suis bien admin de mon openldap et j'arrive à lire les champs userPassword. Le problème c'est que je ne sais pas dans quel format il sont (des,3des,md5,sha1 ? en fait à priori MD5 mais ca reste à verifier...). Ce que je voudrais faire c'est les mettre dans un format passwd/shadow pour les faire digérer par john-the-ripper.
Comment je fais ? Je suis sur qu'il y en a bien un parmi vous qui a du faire un script en bash ou perl ou java qui tranfère un annuaire ldap en fichiers passwd/shadow non ?
Allez un peu d'aide s'il vous plaît :)
Merci d'avance.
Forum Linux.redhat récupération de mot de passe openldap
10
nov.
2005
# Dans quel cas on peut donner ce genre de renseignement sur un forum ?
Posté par Yann 'Ze' Richard (site web personnel) . Évalué à 2.
Je connait parfaitement la réponse à la question posé et pourtant mon instint d'administrateur système me dicte de ne pas répondre.
Tout dabord, tu dis être administrateur de l'annuaire LDAP mais tu ne connais pas l'encodage de mot de passe utilisé dans ton annuaire.
Ensuite ta page perso annonce un webmail "conseil en sécurité et réseaux informatiques" et pourtant il annonce la couleur cad la version du webmail utilisé...
Donc en tant que paranoïaque je ne répondrai pas pour l'instant donc.
D'ou ma question, dans quel cas on peut répondre sur ce genre de sujet sans donner pour autant des moyens, techniques aux scriptskiddie's and Co. qui ne captent en général rien à ce qu'il font..
J'ai vu plusieurs question en rapport avec des "Audits" qui n'ont pas eu de réponses pour ces raisons la..
[^] # Re: Dans quel cas on peut donner ce genre de renseignement sur un forum
Posté par OufY (site web personnel) . Évalué à 0.
l'encodage en dur des mots de passe est bien MD5, seulement la manière dont ils ressortent quand j'interroge l'annuaire je ne sais pas trop. Ceci dit j'ai vérifié et c'est bien MD5.
D'autre part, mon site franchement, j'ai pas vraiment le temps de m'en occuper et de sécuriser tout ca. Je peux te le dire, c'est pas vraiment secure mais c'est pas vraiment ce qui m'intéresse pour l'instant. En tout cas, il l'st suffisament pour les "script kiddies" comme tu dis.
Maintenant, de toute facon, les mots de passes hashé, je les ai. Le "soit-disant" secret est deja tombé.... Ce que je voulais c'est juste gagner du temps et apprendre un peu.
Enfin, si tu n'as toujours pas confiance (je veux bien le comprendre...) essaie d'etre un peu moins arroguant et dis-moi clairement mais POLIMENT que tu estime que ce genre d'information n'est pas publiable, et dis moi pourquoi (je suis toujours pret à apprendre...)
Je suis pas vraiment un pro du développement, mais en sécurité (informatique ou autre d'ailleurs), je pense m'y connaitre, et je vois pas en quoi ca pourrait etre genant de fournir ce genre d'info puisque le prérequis est d'avoir le hash des mots de passe. Les éléments secrets, je les ai déja....
allez hop --->[]
[^] # Re: Dans quel cas on peut donner ce genre de renseignement sur un forum
Posté par Yann 'Ze' Richard (site web personnel) . Évalué à 2.
Salut,
Je ne suis pas arrogant en posant une question simple aux lecteurs du forum. Par contre toi en te proclamant expert en sécurité...
Et il me semble que c'est par politesse que j'ai répondu pour dire "pour l'instant c'est non et voici pourquoi, vous en pensez quoi vous autres ?"
Ensuite, si tu étais si expert que ca, tu serais allé lire comme moi à l'époque la page de Solar Designer qui parle de John The Ripper (jusqu'au bout pas juste jusqu'au lien 'download') et tu aurais trouvé la solution.
[^] # Re: Dans quel cas on peut donner ce genre de renseignement sur un forum
Posté par OufY (site web personnel) . Évalué à -1.
On a pas du partir du bon pied. Si je t'ai parrut arrogant, je m'en excuses, mais je n'ai pas apprécie le "script kiddies" : je ne suis peut être pas un gourou mais je ne pense pas être un gamin qui passe son temps à cracker des verrous pour jouer au méchant chinois du FBI...
Enfin, bref pour répondre à ta question sur le fait de publier ce genre d'information ou non, moi je ne pense pas que cela gènant : Comme je te le disait, j'ai déjà les mots de passes hashés, donc il n'y a plus grand chose à protéger. Mais si quelqu'un à quelque chose à nous apprendre la-dessus je serai ravi qu'on nous explique ce qui peut encore être gènant.
Excuses-moi encore pour mon agacement du post précédent mais je t'assure que se faire traiter de gamin alors qu'on veut juste un peu d'aide c'est pas super sympa surtout quand on s'adresse au forum de linuxfr.
Cordialement,
[^] # Re: Dans quel cas on peut donner ce genre de renseignement sur un forum
Posté par Yann 'Ze' Richard (site web personnel) . Évalué à 1.
Désolé si tu as pris l'expression pour toi mais ce n'était absolument pas le cas.
Je ne suis pas du tout contre publier ce genre d'information. Mais ma question porte uniquement sur la politique générale que j'ai constaté sur les forums de linuxfr. Pour résumer en général la seule réponse apportée à ce genre de demande est "va voir ailleur".
Donc pour résumer, dans le doute, je ne poste pas ce genre d'info ici, parce que je ne souhaite pas contrevenir aux possibles règles implicites du forum.
Après si tu souhaites plus d'info contacte moi en privée tout simplement.
# Read the fine manual
Posté par Nico . Évalué à 4.
[^] # Re: Read the fine manual
Posté par OufY (site web personnel) . Évalué à 0.
Merci, du tuyau. Je n'y avais pas du tout pensé. Le seul problème c'est que mon annuaire ne donne pas les mots de passes en anonymous donc mon shadow contient plein de x. Je pense que ca doit trouver une solution dans un .ldaprc ? c'est bien ca ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.