Hallo!
Es wäre klasse, wenn es einen Feldtyp "password" gäbe. Für Standardkennwörter, Lizenzschlüssel, für vertrauliches, wasauchimmer. Wenn dieser Feldtyp dafür sorgen würde, daß der Inhalt im opsi-configed nach dem Speichern nur noch mittels Sternchen anzeigt und auch im Installationslog autom. rausfliegen würde, fände ich das sehr hilfreich.
Gruß
Holger Pandel
Weiterer Property Feldtyp: password
Weiterer Property Feldtyp: password
Wer mir einen Kaffee spendieren mag 
, bitte gerne!
opsi PackageBuilder - Python Edition
opsibian-gen - RaspberryPi Image Generator mit opsi 4.1
Winst32 Preprocessor
, bitte gerne!opsi PackageBuilder - Python Edition
opsibian-gen - RaspberryPi Image Generator mit opsi 4.1
Winst32 Preprocessor
Re: Weiterer Property Feldtyp: password
Hallo zusammen,
diesem Wunsch kann ich mich voll und ganz anschließen.
Wie ich hier viewtopic.php?f=7&t=4254 schreibe, habe ich derzeit genau dieses "Problem", dass ein Kennwort in der Log-Datei der Installation immer im Klartext erscheint.
Es sei denn, man ändert das LogLevel, was dann aber u. U. dazu führt, dass auch andere (evtl. wichtige) Informationen nicht mehr im Log stehen.
Vielleicht wäre es auch möglich, das Log, welches im configed angezeigt wird, ausführlicher (unabhängig vom LogLevel) zu machen. So könnte man im Log auf dem Client nur rudimentär protokollieren, im Fehlerfalle jedoch mit dem Installations-Log via configed die Schwierigkeiten genauer analysieren.
Viele Grüße aus dem hohen Norden und noch einen schönen Tag.
Nils
diesem Wunsch kann ich mich voll und ganz anschließen.
Wie ich hier viewtopic.php?f=7&t=4254 schreibe, habe ich derzeit genau dieses "Problem", dass ein Kennwort in der Log-Datei der Installation immer im Klartext erscheint.
Es sei denn, man ändert das LogLevel, was dann aber u. U. dazu führt, dass auch andere (evtl. wichtige) Informationen nicht mehr im Log stehen.Vielleicht wäre es auch möglich, das Log, welches im configed angezeigt wird, ausführlicher (unabhängig vom LogLevel) zu machen. So könnte man im Log auf dem Client nur rudimentär protokollieren, im Fehlerfalle jedoch mit dem Installations-Log via configed die Schwierigkeiten genauer analysieren.
Viele Grüße aus dem hohen Norden und noch einen schönen Tag.
Nils
Re: Weiterer Property Feldtyp: password
Hi,
wenn ich das richtig verstehe, werden hier zwei vollkommen unterschiedliche Sachen gewünscht.
Ich erkläre mal was ich verstehe.
Holger Pandel wünscht sich als teil der Host Informationen (wie z.B. Beschreibung, Inventarnummer) ein Feld,
das bei der Erstellung gefüllt werden kann aber im Configed nicht im Klartext angezeigt wird.
Habe ich das richtig verstanden ?
Wenn ja - Unter welchen Umständen sollen die Informationen aus diesem Feld im Klartext zugänglich sein (z.B. per opsi-servicecall) und sollen diese Informationen auf dem Server im Klartext oder verschlüsselt liegen ?
Nils wünscht sich, dass Passwörter im Logfile des opsi-winst nicht im Klartext auftauchen.
Habe ich das richtig verstanden ?
Dazu empfehle ich, für genau die Code Zeilen den Loglevel temporär abzusenken.
Ich sehe dazu keine einfach im opsi-winst zu implementierende Alternative.
gruß
d.oertel
wenn ich das richtig verstehe, werden hier zwei vollkommen unterschiedliche Sachen gewünscht.
Ich erkläre mal was ich verstehe.
Holger Pandel wünscht sich als teil der Host Informationen (wie z.B. Beschreibung, Inventarnummer) ein Feld,
das bei der Erstellung gefüllt werden kann aber im Configed nicht im Klartext angezeigt wird.
Habe ich das richtig verstanden ?
Wenn ja - Unter welchen Umständen sollen die Informationen aus diesem Feld im Klartext zugänglich sein (z.B. per opsi-servicecall) und sollen diese Informationen auf dem Server im Klartext oder verschlüsselt liegen ?
Nils wünscht sich, dass Passwörter im Logfile des opsi-winst nicht im Klartext auftauchen.
Habe ich das richtig verstanden ?
Dazu empfehle ich, für genau die Code Zeilen den Loglevel temporär abzusenken.
Ich sehe dazu keine einfach im opsi-winst zu implementierende Alternative.
gruß
d.oertel
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
Re: Weiterer Property Feldtyp: password
Naja ein allgemeines Problem bei OPSI ist ja das Passwörter über Product-Properties immer im Klartext im Configed und in logfiles stehen. Gewünscht wird eine spezielle Art von Properties die nach Eingabe den Text nur noch in Form von Sternchen anzeigt und welche auch im WINST automatisch als *** geloggt werden ohne das man vorher den loglevel runter drehen muss.
Die beiden Wünsche bauen also auf einander auf
Die beiden Wünsche bauen also auf einander auf
Re: Weiterer Property Feldtyp: password
Hallo Herr Dr. Oertel, hallo Tobias,
genau wie Tobias schreibt, wäre es wünschenswert, einen Property-Typ zu haben, mit welchem man Passwörter als Produkteigenschaft speichern kann. Diese sollen dann bei der (De-)Installation etc. in der Log-Datei nicht im Klartext angezeigt werden.
Ich meine, das z. B. bei Installation des OPSI-Client-Agent Kennwörter im Log sinngemäß so protokolliert werden:
Ob die Kennwörter der ProductProperty im Feld des configed im Klartext angezeigt werden finde ich nicht ganz so wichtig, da hierauf wohl meistens ohnehin nur die Administratoren haben. Ob jedoch ein Kennwort im Installationslog auf dem Client im Klartext erscheint, ist aus meiner Sicht deutlich kritischer. Vor allem, wenn es - wie bei tightVNC - als Option des MSI-Install-Strings verwendet wird, um bestimmte Optionen der Anwendung nach der Installation zu schützen. Zumal in diesem Fall (tightVNC) die Optionen explizit auf ein Passwort hinweisen, so dass dieses auch über die Windows-Suche mit Dateiinhalt nach dem Begriff "Password" gefunden würde.
Anmerkung: Bei tightVNC kann über eine der Optionen ein Kennwort definiert werden, mit Hilfe dessen die lokale Konfiguration vor Zugriff durch den User geschützt werden kann. Gelangt ein User in Kenntniss dieses Kennwortes, so kann er seinen VNC-Server frei konfigurieren...
Hoffentlich ist nun etwas klarer, worum es mir geht. Falls nicht, bitte weiter nachfragen.
Ich wünsche allen noch einen schönen und erfolgreichen Tag.
Viele Grüße
Nils
genau wie Tobias schreibt, wäre es wünschenswert, einen Property-Typ zu haben, mit welchem man Passwörter als Produkteigenschaft speichern kann. Diese sollen dann bei der (De-)Installation etc. in der Log-Datei nicht im Klartext angezeigt werden.
Ich meine, das z. B. bei Installation des OPSI-Client-Agent Kennwörter im Log sinngemäß so protokolliert werden:
.confidential: *******
Ob die Kennwörter der ProductProperty im Feld des configed im Klartext angezeigt werden finde ich nicht ganz so wichtig, da hierauf wohl meistens ohnehin nur die Administratoren haben. Ob jedoch ein Kennwort im Installationslog auf dem Client im Klartext erscheint, ist aus meiner Sicht deutlich kritischer. Vor allem, wenn es - wie bei tightVNC - als Option des MSI-Install-Strings verwendet wird, um bestimmte Optionen der Anwendung nach der Installation zu schützen. Zumal in diesem Fall (tightVNC) die Optionen explizit auf ein Passwort hinweisen
Code: Alles auswählen
SET_CONTROLPASSWORD=1 VALUE_OF_CONTROLPASSWORD=admpassAnmerkung: Bei tightVNC kann über eine der Optionen ein Kennwort definiert werden, mit Hilfe dessen die lokale Konfiguration vor Zugriff durch den User geschützt werden kann. Gelangt ein User in Kenntniss dieses Kennwortes, so kann er seinen VNC-Server frei konfigurieren...
Hoffentlich ist nun etwas klarer, worum es mir geht. Falls nicht, bitte weiter nachfragen.
Ich wünsche allen noch einen schönen und erfolgreichen Tag.
Viele Grüße
Nils
Re: Weiterer Property Feldtyp: password
Hallo Nils,
das was du willst kannst du auch jez schon.
Einfach vor dem Befehl der nicht geloggt werden soll den LogLevel runtersetzen.
Und danach wieder hoch setzen.
SetLogLevel=x
0 = nothing (absolut nichts)
1 = essential ("unverzichtbares")
2 = critical (unerwartet Fehler die zu einem Programmabbruch führen)
3 = error (Fehler, die kein laufendes Programm abbrechen)
4 = warning (das sollte man sich nochmal genauer anschauen)
5 = notice (wichtige Aussagen zu dem Programmverlauf)
6 = info (zusätzlich Informationen)
7 = debug (wichtige debug Meldungen)
8 = debug2 (mehr debug Informationen und Daten)
9 = confidential (Passwörter und andere sicherheitsrelevante Daten)
das was du willst kannst du auch jez schon.
Einfach vor dem Befehl der nicht geloggt werden soll den LogLevel runtersetzen.
Und danach wieder hoch setzen.
SetLogLevel=x
0 = nothing (absolut nichts)
1 = essential ("unverzichtbares")
2 = critical (unerwartet Fehler die zu einem Programmabbruch führen)
3 = error (Fehler, die kein laufendes Programm abbrechen)
4 = warning (das sollte man sich nochmal genauer anschauen)
5 = notice (wichtige Aussagen zu dem Programmverlauf)
6 = info (zusätzlich Informationen)
7 = debug (wichtige debug Meldungen)
8 = debug2 (mehr debug Informationen und Daten)
9 = confidential (Passwörter und andere sicherheitsrelevante Daten)
Re: Weiterer Property Feldtyp: password
Hallo Tobias,
vielen Dank für Deine schnelle Antwort. Diesen "Workaround" nutze ich derzeit. Allerdings führt er dazu, dass der eigentliche Installations-String nicht im Protokoll erscheint. Somit wird aus meiner Sicht die Diagnose bei einer fehlerhaften Installation erschwert. Außerdem weiß ich nicht, ob nicht im Falle eines Fehlers im Installations-String genau dieser doch im Protokoll erscheinen würde, da er in diesem Fall eine höhere Log-Priorität besäße.
Deswegen wäre mir die Möglichkeit, ein Kennwort aus einer ProductProperty gar nicht oder nur maskiert im Log zu sehen deutlich lieber.
Trotzdem nochmals vielen Dank für Deinen Tipp.
Viele Grüße
Nils
vielen Dank für Deine schnelle Antwort. Diesen "Workaround" nutze ich derzeit. Allerdings führt er dazu, dass der eigentliche Installations-String nicht im Protokoll erscheint. Somit wird aus meiner Sicht die Diagnose bei einer fehlerhaften Installation erschwert. Außerdem weiß ich nicht, ob nicht im Falle eines Fehlers im Installations-String genau dieser doch im Protokoll erscheinen würde, da er in diesem Fall eine höhere Log-Priorität besäße.
Deswegen wäre mir die Möglichkeit, ein Kennwort aus einer ProductProperty gar nicht oder nur maskiert im Log zu sehen deutlich lieber.
Trotzdem nochmals vielen Dank für Deinen Tipp.
Viele Grüße
Nils
Re: Weiterer Property Feldtyp: password
Genaus so war es gemeint! Also neben den Product Property Typen "unicode" und "boolean" noch ein "password" Typ.tobias hat geschrieben:Naja ein allgemeines Problem bei OPSI ist ja das Passwörter über Product-Properties immer im Klartext im Configed und in logfiles stehen. Gewünscht wird eine spezielle Art von Properties die nach Eingabe den Text nur noch in Form von Sternchen anzeigt und welche auch im WINST automatisch als *** geloggt werden ohne das man vorher den loglevel runter drehen muss.
Die beiden Wünsche bauen also auf einander auf
Wer mir einen Kaffee spendieren mag , bitte gerne!
opsi PackageBuilder - Python Edition
opsibian-gen - RaspberryPi Image Generator mit opsi 4.1
Winst32 Preprocessor
, bitte gerne!opsi PackageBuilder - Python Edition
opsibian-gen - RaspberryPi Image Generator mit opsi 4.1
Winst32 Preprocessor
Re: Weiterer Property Feldtyp: password
Hi,
das mit dem propertytyp habe ich vestanden, soweit es den configed betrifft.
Das Problem im opsi-winst ist aber nicht trivial.
Man könnte hier eine Konvention einführen, das eine Variable deren namen mit '$pass_' anfängt,
in primären sektionen im Logging (<9) ihren Wert mit '*' angibt.
Aber spätestens bei den sekundären Sektionen wird es schwieriger, da hier die Variablen bekanntermaßen textuelle Platzhalter sind, die vor der Ausführung durch die Werte ersetzt werden. D.h. zum Zeitpunkt der Entstehung einer Logzeile kann der opsi-winst nicht mehr wissen, ob ein String aus einer Variable kommt oder nicht.
Der einzige Weg, den ich da im Moment sehe, ist das der opsi-winst sich intern eine Stringliste der 'verbotenen Strings' hält und wenn er in einer Logzeile einen solchen String entdeckt diesen durch Sternchen ersetzt (vollkommen unabhängig wo dieser String herkommt).
gruß
d.oertel
das mit dem propertytyp habe ich vestanden, soweit es den configed betrifft.
Das Problem im opsi-winst ist aber nicht trivial.
Man könnte hier eine Konvention einführen, das eine Variable deren namen mit '$pass_' anfängt,
in primären sektionen im Logging (<9) ihren Wert mit '*' angibt.
Aber spätestens bei den sekundären Sektionen wird es schwieriger, da hier die Variablen bekanntermaßen textuelle Platzhalter sind, die vor der Ausführung durch die Werte ersetzt werden. D.h. zum Zeitpunkt der Entstehung einer Logzeile kann der opsi-winst nicht mehr wissen, ob ein String aus einer Variable kommt oder nicht.
Der einzige Weg, den ich da im Moment sehe, ist das der opsi-winst sich intern eine Stringliste der 'verbotenen Strings' hält und wenn er in einer Logzeile einen solchen String entdeckt diesen durch Sternchen ersetzt (vollkommen unabhängig wo dieser String herkommt).
gruß
d.oertel
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
Re: Weiterer Property Feldtyp: password
Ah ok, verstanden. Klingt wirklich nicht trivial. Wenn das für die primäre Sektion und den configed regelbare wäre, wäre das ja schon ein guter Anfang. Den eigentlich Aufruf in der sekundären Sektion müsste man dann doch händisch (notgedrungen) über die Änderung des Loglevels abfangen. Verstehe ich das richtig?
Wer mir einen Kaffee spendieren mag , bitte gerne!
opsi PackageBuilder - Python Edition
opsibian-gen - RaspberryPi Image Generator mit opsi 4.1
Winst32 Preprocessor
, bitte gerne!opsi PackageBuilder - Python Edition
opsibian-gen - RaspberryPi Image Generator mit opsi 4.1
Winst32 Preprocessor