SMB Login ändern

  • Hallo,

    ich habe via SMB im lokalen Netzwerk verschiedene Freigabe für verschiedene Nutzer. Kodi soll nur noch auf einen bestimmten Unterordner zugreifen können. Leider bekomme ich die Berechtigung nicht entfernt. Ich habe alle Quellen entfernt und wollte dann eine neue Quelle als SMB auf gleicher IP, aber mit anderem Nutzer erstellen. Das Erstellen ging auch, aber ich kann weiter auf alle anderen Dateien zugreifen, die nun nicht mehr sichtbar sein dürften.
    Kann ich noch an anderer Stelle die Freigabrn und Berechtigungen in Kodi einsehen?

    Danke.

  • Ok, hat sich erledigt. Die passwords.xml war das Problem.

    Allerdings in dem Zusammenhang eine andere Frage: Weshalb liegen die Passwörter dort im Klartext? Die Datei ist über den Dateimanager aufrufbar und wenn der Kodi nicht mit Passwort gestartet werden muss, hätte doch jeder freien Zugriff auf die Datei oder übersehe ich was? Das Kodi-Kennwort im Netzwerk ist bei mir geändert (Libreelec). Bei vielen sicher nicht. Damit reicht ggf. schon die Speicherkarte, um ziemlich leicht an Passwörter zu kommen. Etwas erschreckend [ai]

  • Gar nicht erschreckend. Die müssen wo im Klartext legen. Sie "verschlüsselt" zu speichern würde bedeuten man muss den Masterkey irgendwo haben oder herleiten um sie zu entschlüsseln und zu nutzen.
    Für jemanden der soweit ist Zugriff auf das Dateisystem des Geräts zu haben ist das dann auch keine Hürde mehr.
    Du siehst: Sicherheitsgewinn wäre null. Zudem: Es steht dir ja frei den Zugriff für den User auf r/o zu setzen den Du benutzt.

    Zur Ergänzung: Windows -> Tresor suchen (Anmeldeinformationen), dort stehen die von Windows gespeicherten Netzwerkzugänge, auch Linux speichert die gespeicherten Share Passworte oder sie stehen in einer Datei wenn man mit fstab einbindet... usw usw. mit Zugriff aufs Gerät selber hast du immer Zugriff.

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

    Einmal editiert, zuletzt von SkyBird1980 (7. Januar 2022 um 16:22)

  • Zur Ergänzung: Windows -> Tresor suchen (Anmeldeinformationen), dort stehen die von Windows gespeicherten Netzwerkzugänge

    Mein Stand ist, dass sich die Anmeldeinfornationen der SMB-Netzwerkzugänge bei Windows nicht so einfach auslesen lassen.

    Mir geht es ja im Kern nur darum, dass man aus Kodi heraus im Default-Modus auf diese Passwort-Datei zugreifen kann. Zumindest fand ich die Erkenntnis erschreckend, dass es mir gar nicht bewusst war, obwohl ich behaupten würde, kein technischer Laiie zu sein.

  • Ich sag immer: Irgendeinen Tod muss man ja sterben. Kodi ist Multiplattform und in Phyton geschrieben..

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

  • Mir geht es ja im Kern nur darum, dass man aus Kodi heraus im Default-Modus auf diese Passwort-Datei zugreifen kann. Zumindest fand ich die Erkenntnis erschreckend, dass es mir gar nicht bewusst war, obwohl ich behaupten würde, kein technischer Laiie zu sein.

    Ich denke jemand mit entsprechenden Windows Kenntnissen wird dir ziemlich schnell aufzeigen können wo sich in Windows deine Passworte noch im Klartext und/oder schlecht gehasht vorliegen ;)

    Hast du mal versucht dir mit einem Hex-Editor deine Binaries anzuschauen und dort mal nach deinem Passwort zu suchen? ;) Ich denke, wenn du das machst, und das bei Kodi schon erschreckend findest, dann wirst du deinen Rechner so schnell nicht mehr einschalten ;)

    Kurz gesagt: Kodi ist nicht auf Sicherheit ausgelegt. Wie @SkyBird1980 schon sagte, wenn schon jemand auf deinem System ist und Zugriff auf die Datei hat, die er nicht haben sollte, dann hast du ein ganz anderes Problem, welches du viel dringender angehen solltest als dir darüber Gedanken zu machen, dass da ein Passwort im Klartext vorliegt.

    Unter Linux steht das Password wenigstens nicht direkt in der fstab. Da kann man sich wie folgt behelfen:

    //server/share /pathto/mountpoint cifs credentials=/home/username/.smbcredentials,uid=shareuser,gid=sharegroup 0 0

    und legt dann im Home-Ordner des User eine Datei an: smbcredentials die dann folgenden Inhalt hat:

    Code
    username=shareuser
    password=sharepassword
    domain=domain_or_workgroupname

    Dieser Datei gibt man dann noch die Zugriffsberechtigungen "0600". So kann sie dann nur noch von diesem einen User gelesen werden. Hilft halt nur nicht, wenn sich jemand als dieser User anmelden kann. Dann ist ohnehin Essig. Wie schon gesagt wurde...wenn Zugriff auf das Dateisystem besteht, dann stehen Tür und Tor offen.


    Kodi ist Multiplattform und in Phyton geschrieben.

    Kodi selbst ist aber nicht in Python geschrieben ;). Kodi ist in C++ geschrieben. Die Add-ons sind in Python programmiert.

  • Die müssen wo im Klartext legen.

    Das ist nicht korrekt, wie du selbst ja auch beschreibst. Die zusätzlichen Hürden werden allgemein empfohlen. Typischerweise nutzen moderne Tools AES-256 zum Speichern von Passwörtern. Security-Audits (die ich kenne) sind nicht zu bestehen, mit Passwörtern im Klartext in Konfigurations-Dateien. Du hast natürlich recht - ohne weiteres Master-Passwort oder anderes Token - muss das zunächst reversibel verschlüsselt (nicht nur als Einweg-Hash) abgespeichert sein, und ist damit grundsätzlich immer knackbar.

    Das soll jetzt nicht heißen, dass ich das für Kodi nicht akzeptabel fände. Insbesondere, wenn man halt nur im eigenen LAN arbeitet. Im Zusammenhang (mit auch hier immer wieder gesehenen Anleitungen) mit Öffnung des Netzes Richtung Internet, ist es schon was anderes. Interessant auch, dass man hier oft liest, wie leichtfertig es sei SMBv1 zu nutzen. Nutze ich persönlich nicht mehr. Aber schaut euch das mal an - da sind die im Klartext abgespeicherten Passwörter für SMBv3 nicht bisschen besser.

    Ich denke jemand mit entsprechenden Windows Kenntnissen wird dir ziemlich schnell aufzeigen können wo sich in Windows deine Passworte noch im Klartext und/oder schlecht gehasht vorliegen

    Hast du eine Quelle?
    War früher sicher mal so, mit MD4 schlecht gehasht (Klartext kenne ich jetzt nicht). Heute ist das normalerweise AES-256. Wenn ich das richtig erinnere, ist für Normal-Sterbliche die einzige Lösung für vergessenes lokales Windows PW (ohne alternative Authentifizierung-Methoden), das "Stehlen" der Festplatte. (In dem Sinne, dass man sie halt beispielsweise unter Linux mounten kann).

    https://docs.microsoft.com/de-de/windows-…hnical-overview
    "[lokal gespeicherte Kennwörter] werden mit den gleichen Verschlüsselungs- und Hashalgorithmen wie Active Directory verschlüsselt.
    "In Windows Server 2016/Windows 10 und neueren Versionen wird es aus Gründen der Abwärtskompatibilität zuerst mit DES und dann mit CNG BCrypt AES-256 verschlüsselt (siehe CNGBCRYPT_AES_ALGORITHM). Frühere Windows-Versionen verschlüsseln NT-Hashes mithilfe von zwei Ebenen der DES + RC4-Verschlüsselung."

    Auch Browser (die natürlich für gespeicherte Passwörter reversible Verschlüsselung benötigen - für lokale Anmeldung reichen Hashes, für Browser nicht) geben sich Mühe, Passwörter sicher zu speichern.

    Das Thema ist sehr komplex. Ich will nur davor warnen, das so leichtfertige Formulierungen zu verklären. Vor 15 Jahren hatten große Admin-Teams noch "Hugo-Files" mit Passwörtern im Klartext. Das ist nach meiner Beobachtung heute nicht mehr der Fall. Auch viele Privatpersonen nutzen Passwort-Manager.

    Ich will da auch Windows OS nicht loben. Aber Gedanken haben sie sich schon gemacht. Und historisch auch viele Fehler eingebaut. Interessanter Lesestoff ist die wissenschaftliche Analyse des sicheren Zufallszahlen-Algorithmus von Windows. Der wurde geknackt. Aber was schon auffällig ist - auch zu jener Zeit wurden schon eigentlich (scheinbar) state-of-the-art Hash-Algorithmen genutzt. https://eprint.iacr.org/2007/419.pdf. Nach meinem Ermessen hat da Linux besser abgeschnitten https://eprint.iacr.org/2006/086.pdf, insbesondere wenn man bedenkt, dass da die Hürde für die Windows-Analyse entfiel - nämlich das Reverse-Engineering des Algorithmus. Sind beides nicht ganz neue Artikel, verdeutlichen aber schon, dass da die OS-Designer in Sachen Security grundsätzlich viel Mühe bereiten.

    Kodi 21.1, 17.6, 21.1, 16, 20.5 on Windows 11 Pro, Android 6, Android 12, FireTV Box 2nd Gen, FireTV 4k Max 2nd Gen
    Media on NAS, OpenMediaVault 6 (Debian Linux).

  • Nein, ich habe keine Quelle. Ich würde mich bei weitem auch nicht als Windows Experte oder Pentester bezeichnen. Ich möchte aber behaupten, dass es Leute gibt, die diese Fähigkeiten haben und sich das ein oder andere aus dem Ärmel schütteln.

    Was manche mit einem Kali-Linux auf einem frisch gepatchtem Windows 10 anstellen können und so Recht schnell Admin Zugriff haben, durfte ich bei einem Metasploit Workshop schon Live erleben. Da wird dir Angst und Bange ;)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!