Come si protegge un file di credenziali in testo semplice con nome utente e password?

12

Sto cercando di configurare un'unità di rete a montaggio automatico. L'unità di rete richiede un utente / pass. Nella pagina man di "mount.cifs" ci sono due modi per fornire l'utente / pass.

  1. [non consigliato] inserisci l'utente / passa in / etc / fstab
  2. creare un file di credenziali separato e inserire l'utente / passaggio nel file di credenziali

"[opzione 2] è preferibile ad avere password in chiaro in un file condiviso, come / etc / fstab. Assicurati di proteggere correttamente qualsiasi file di credenziali. "

  • Il mio background è: sviluppatore di software, molto sviluppo di software per Linux (installazione di librerie di sviluppo, installazione di applicazioni come Eclipse o Java). Non sono un tipo IT o amministratore di sistema.
  • Questo è sulla mia macchina di sviluppo

Data la mia mancanza di background IT / sysadmin, qual è il metodo standard suggerito per "proteggere correttamente qualsiasi file di credenziali"?

(Gradirei anche, se ci sono più metodi per proteggere il file delle credenziali, per favore elencare in ordine dal più comune al meno e descrivere i compromessi.)

security  mount  automounting 
Trevor Boyd Smith
fonte

Risposte:

11

Sembra che i frammenti di pagine man che hai citato si riferiscano al livello base di sicurezza fornito dalla proprietà e dalle autorizzazioni dei file standard . Il file di configurazione /etc/fstabè leggibile da qualsiasi utente sul sistema. Un luogo più sicuro per l'archiviazione di informazioni riservate sarebbe un file con autorizzazioni che consenta di essere letto solo dal proprietario. Capisco che nel tuo caso, l'utente sarebbe root .

Supponiamo che tu abbia inserito il file /etc/e lo abbia cifs-crednominato (crealo e modificalo come root). Quindi useresti

chmod 600 /etc/cifs-cred

Ciò assicurerà che solo il proprietario (che dovrebbe essere root ) avrà accesso ai contenuti. Altrimenti, se tale impostazione non consentisse il corretto funzionamento della configurazione del sistema, potrebbe significare che il file dovrebbe essere accessibile a un utente di sistema speciale. In tal caso, potrebbe essere necessario provare

chmod 660 /etc/cifs-cred

o qualcosa del genere

chown root:wheel /etc/cifs-cred
chmod 660 /etc/cifs-cred

- a seconda del tipo di * nix che il tuo sistema è e della configurazione dei demoni di sistema.

A parte questo, se il sistema può essere a rischio di compromissione, non dovresti mai fidarti di password non crittografate. Dipendere esclusivamente dalle autorizzazioni dei file è piuttosto ingenuo: i contenuti dei file sono protetti solo da lievi violazioni della sicurezza.

rozcietrzewiacz
fonte
1
ci sono domande su unix.stackexchange.com o siti Web che parlano di ottenere lo stesso output ... ma non "dipendono esclusivamente dalle autorizzazioni dei file"?
Trevor Boyd Smith,
Sfortunatamente, questa parte dipende dall'applicazione. Alcuni programmi e applicazioni supportano le password con hash, altri no. Non so quale sia la situazione con CIFS / SMB, ma onestamente dubito che ci sia un'alternativa davvero sicura in questo caso. È possibile consultare la sicurezza IT per ulteriori informazioni.
rozcietrzewiacz,
3

Basta impostare i diritti unix su rw per l'utente di montaggio:

cat > ~/cifs.credentials <<EOC
user=UserName
pass=PassWord
EOC
chmod 0600 ~/cifs.credentials

Tutti gli altri utenti non hanno accesso a questo file dopo il comando chmod

f4m8
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.