Если взломают сервер где стоит jabber...

Вопрос такой. В каком виде и где хранятся пользовательские данные от jabber ? Нужны ли доп. настройки чтоб при взломе сервера или сама администрация виртуального сервера несмогли получить доступ к пользовательским данным ? Жаба по дефолту сама шифрует данные ?

 

файерволл на сервере должен быть.
если это linux сервер, то это iptables на блокировку всего что не разрешено,
чтобы если загрузили трой на сервер не от рута, чтобы трой не смог установить
соединениеююи тем самым не мог подняться до root-доступа.

 

Spoiler: Оффтоп

Судя по твоим топикам ты один из тех, кто начал не с того конца. Перед тем как что-то ломать надо сначала получить квалификацию админа/программиста не ниже уровня middle. Пока этого нет ты будешь вечно создавать такие топики.

Это зависит от конкретного яббер-сервера. У каждого софта свои форматы хранения логинов/паролей. Яббер-серверы бывают разные, например ejabberd, jabberd2, openfire. Все три умеют хранить пароли где угодно: в простых файлах, в БД типа мускуля, можно даже для этого заюзать pam или ldap авторизацию. Кароче на всех серверах по разному.

Не понимаю суть вопроса. Ты хочешь пошифровать БД юзеров а потом трясти с админов сервера за неё деньги? Сделать это возможно, но сложно. Можно угнать БД юзеров, поднять на vps-ке ldap-сервер и замутить авторизацию через него. При этом, если на яббер-сервере работает регистрация новых юзеров то она сломается. И чтобы она не сломалась тебе ещё надо делать поддержку регистрации новых юзеров.

 

Нет. Объясню на примере
Допустим есть форум на xenforo. Когда новый пользователь регистрируется там его данные в бд хранятся в шифрованном виде. Т.е если кто то взломает форум и сольет бд данного форума то ему придется брутом подбирать пароли. т.е визуально он не сможет увидеть пароли. Вот и мне интересно как у жабы ? Т.е данные шифруются или они хранятся в открытом виде ? и нужны ли какие то доп. настройки чтоб данные зашифровать чем то чтоб когда злоумышленник получит рут доступ на сервере был только мусор состоящий из бинарного кода

 

Это зависит не от яббер-сервера а от криворукости админа. Как админ настроит сервер так он и будет работать. Можно хранить в открытом виде, можно в виде хешей.

Шивровать данные (логины, email, vcard) смысла нет, так как это не мега-секретная информация. Соответственно яббер-серверы этого делать не умеют. И если тебе надо их шифровать то тебе придётся кодить свой собственный модуль авторизации.

Spoiler: Но смысла в этом нет

Если твой сервак порутали то хакеру пофиг, что данные в БД зашифрованы. Если твой яббер-сервер может расшифровать зашифрованные в БД данные то и хакер тоже может. Он просто прочитает конфиг яббер-сервера в котором прописан ключ шифрования и расшифрует данные из БД. Можно конечно усложнить жизнь хакеру: при старте демона одноразово вручную вводить ключ шифрования так чтобы он нигде на винте не хранился. Но даже в этом случае хакер может сделать дамп памяти яббер-сервера и откопать в нём ключ шифрования.

Яббер-серверы умеют только хешировать пароль. И все нормальные админы настраивают их так, чтобы пароли хранились в виде хеша.

Итого: все данные юзеров кроме паролей хранятся в открытом виде. Пароли хранятся в виде хеша (если админ не идиот).

 

ну я про это и спрашиваю
при стандартном установке через стандартный мануал пароли хешируются или нужны доп. настройки ?

 

Пароли в чистом виде не хранятся, переписка недоступна, а вот конференции хранятся на сервере (последние сообщения, их объем настраивается) - можно прочитать сообщения участников.
Пожалуй самое неприятное - roster, список твоих контактов хранится на сервере и тоже достается.

Это на опыте ejabberd, openfire, prosody.

 

тогда долой конференцию ) и только личная переписка

 

Данные естественно шифруются, пароли не хранятся открыто, при взломе сервера, пользователи не пострадают и их информация останется не доступна. Никакие доп настройки не нужны.

 

PGP - не слышали??? а также холодная голова во всем, технологии почти все с багами, того или иного уровня, вопрос только когда и кому это будет необходимо в реале!

 

Апну темку. Насколько реально расшифровать хэш/соль ejabberd? Если не реально, то насколько реально проснифать сервер (имея рут доступ к ссш) что бы получить пароли по которым авторизовываются.