我对这种行为感到非常惊讶。在 Virtualmin 中,我可以通过单击“密码()保持不变”选项旁边的“(显示..)”链接来查看任何 SSH 用户的密码。我发现所有用户的密码(包括具有 SSH 访问权限的用户)都存储在 /etc/webmin/... 中的明文文件中。这似乎是不必要的风险!我该如何防止 Virtualmin 以这种方式存储密码?
答案1
Virtualmin 的最新版本(3.88.gpl)具有“散列密码存储”功能
因此现在可以:
Hashed password storage
Storage of plaintext passwords for virtual servers and mailboxes can now be disabled on a per-template basis. Virtualmin will instead store only hashed passwords in multiple formats, which prevents passwords from being compromised if the system is hacked. This feature should ideally be enabled before any virtual servers have been created.