Rootpass-Abfrage im VServer-Admin Bogus?

Hotgun

Registered User
Mir ist eben aufgefallen, dass ich bei den letzten Reboots immer ein veraltetes Root-Pass eingegeben habe, wenn ich durch das Webinterface dazu aufgefordert wurde, wobei die Reboots trotzdem ausgeführt wurden. Ist das ein genereller Bug? Nicht das es was ändern würde, aber das sieht ein wenig nach Vorspiegelung falscher Sicherheit aus.. :?:
 

Huschi

Moderator
Staff member
Hotgun said:
Mir ist eben aufgefallen, dass ich bei den letzten Reboots immer ein veraltetes Root-Pass eingegeben habe...
Aus Sicherheitsgründen hat S4F ja nur Dein root-Passwort zum Zeitpunkt der Auslieferung. Und genau dieses ist ja auch gemeint. Es wäre sicherlich bedenklich, wenn ich mein root-Passwort ändern würde und S4F bekommt direkt ne Mail mit meinem neuen Passwort, oder? :)

Ich denke es ist völlig korrekt so.

Letztendlich wird das Passwort ja auch nicht gebraucht um den Server neu zu Starten. Da sind ja ganz andere Mechanismen vorhanden.
Nein, das Passwort wird lediglich als 'Bestätigung' eingegeben.

Bedenklich finde ich in diesem Fall eher, daß man das selbe Passwort an anderer Stelle im Admin-Bereich im Klartext lesen kann. :)

huschi the husch
 

luke

Registered User
Ich habe dazu gerade einen etwas ältere Beitrag auf heise.de gelesen:

Kunden, die einen Reboot ihres Server ausgeführt haben möchten, konnten dies durch Eingabe von Username und Passwort über das Administrations-Web-Interface von Intergenia beauftragen. Damit "im Falle einer technischen Störung auch ohne weitere Rückfragen das System hochgebracht" werden kann, muss der Kunde ebenso das Root-Passwort des Linux-Systems angeben.


So far!
#
Luke
 

Huschi

Moderator
Staff member
luke said:
Damit "im Falle einer technischen Störung auch ohne weitere Rückfragen das System hochgebracht" werden kann, muss der Kunde ebenso das Root-Passwort des Linux-Systems angeben.
D.h. man könnte dort auch 'Mumple' eingeben?
ROTFL :D
Ehrlich gesagt, würde ich dort nie mein echtes Root-Passwort eingegen.
Da bewegt man sich nämlich ganz schnell in einer rechtlichen Grauzone, da man das Root-Passwort ja freiwillig gegeben... :x
Außerdem bezweifel ich, daß die jeden Reboot beobachten. Das läuft doch alles automatisch (vorallem bei den vServern), und gar nicht bei denen im Rechenzentrum... :)
Und wenn der Server nicht hochkommt, muß man doch 0190 wählen, damit die das merken. Dann kann ich denen im Zweifelsfall immer nochmal das Rootpasswort sagen.

huschi the husch
 

luke

Registered User
Huschihusch said:
Außerdem bezweifel ich, daß die jeden Reboot beobachten. Das läuft doch alles automatisch (vorallem bei den vServern), und gar nicht bei denen im Rechenzentrum... :)

Automatisch? Bis vor kurzem zumindest ist laut deren Beschreibung ein "Techniker" zu den Server gegangen und hat auf Reset gedrückt. ;-)


So far!
#
Luke
 
Top