Re-Hallo

ich bin darauf aufmerksam gemacht worden, daß man bei einigen servern offensichtlich eine passwortdatei angezeigt bekommt, wenn man die domainmit folgender url aufruft:
http://www.xyz.de/etc/passwd
bei jemandem, den ich kenne, steht in der ausgabe etwa folgendes (verändert)

root::5:8:Superuser::
ftp::562:562:::
xyzde:x:52842:112:::
, wobei "xyzde" der benutzername für den ftp-zugang im klartext ist.
kennt sich jemand so damit aus, daß er/sie mir sagen kann, ob dies eine gravierende sicherheitslücke darstellt, und ob man daraus evtl. sogar das ftp-passwort entschlüsseln kann?

Das ist in der Tat bedenklich, da so immerhin Usernamen bekannt sind, und man es für eine Brute-Force-Attacke deutlich einfacher hat.
Dennoch sollten so keine Passwörter ans Tageslicht kommen, die passwd ist immerhin auch so lokal für jeden lesbar. Das Passwort steht in der Regel Einweg-Verschlüsselt in der zweiten Spalte (siehe auch etwas weiter unten den Thread zur crypt-Verschlüsselung) und dürfte daraus nicht wiederherstellbar sein.
Natürlich geht auch hier ein Brute-Force (oder auch mit dictionary) bis man es raushat.

Praktisch stellt das aber kein Problem da, da hier (wie hoffentlich überall) Shadow-Passwörter verwendet werden. Erkennbar daran, daß in /etc/passwd in der 2. Spalte nichts oder nur müll ("x") steht. Die eigentlich Passwörter liegen sicher verwahrt in /etc/shadow und die kann nur root lesen.

Henryk Plötz
Grüße von der Ostsee