Bagaimana Anda melindungi file kredensial teks biasa dengan nama pengguna dan kata sandi?

12

Saya mencoba mengatur drive jaringan pemasangan-otomatis. Drive jaringan memerlukan pengguna / pass. Di halaman manual untuk "mount.cifs" ada dua cara untuk memberikan pengguna / pass.

  1. [tidak disarankan] masukkan pengguna / pass di / etc / fstab
  2. buat file kredensial terpisah dan letakkan pengguna / pass dalam file kredensial

"[opsi 2] lebih disukai daripada memiliki kata sandi dalam plaintext dalam file bersama, seperti / etc / fstab. Pastikan untuk melindungi file kredensial dengan benar. "

  • Latar belakang saya adalah: pengembang perangkat lunak, banyak pengembangan perangkat lunak linux (menginstal perpustakaan pengembangan, menginstal aplikasi seperti Eclipse, atau java). Saya bukan orang IT atau sysadmin.
  • Ini di mesin pengembangan saya sendiri

Mengingat kurangnya latar belakang IT / sysadmin saya, apa metode standar yang disarankan untuk "melindungi file kredensial dengan benar"?

(Saya juga akan menghargai, jika ada beberapa metode untuk melindungi file kredensial, untuk membuat daftar dalam urutan yang paling umum untuk paling sedikit dan menggambarkan pengorbanannya.)

security mount automounting Trevor Boyd Smith
sumber

Jawaban:

11

Sepertinya cuplikan halaman manual yang Anda kutip merujuk pada tingkat keamanan dasar yang disediakan oleh kepemilikan dan izin file standar . File konfigurasi /etc/fstabdapat dibaca oleh setiap pengguna di sistem. Tempat yang lebih aman untuk menyimpan informasi sensitif adalah file dengan izin yang memungkinkan untuk hanya dibaca oleh pemiliknya. Saya mengerti bahwa dalam kasus Anda, pengguna akan menjadi root .

Katakanlah Anda memasukkan file /etc/dan beri nama cifs-cred(buat dan edit sebagai root). Maka Anda akan menggunakan

chmod 600 /etc/cifs-cred

Itu akan memastikan hanya pemilik (yang harus menjadi root ) akan memiliki akses ke konten. Jika tidak, jika pengaturan seperti itu tidak memungkinkan kerja pengaturan sistem Anda dengan benar, itu bisa berarti file tersebut harus dapat diakses oleh beberapa pengguna sistem khusus. Dalam hal ini, Anda mungkin perlu mencoba

chmod 660 /etc/cifs-cred

atau semacamnya

chown root:wheel /etc/cifs-cred
chmod 660 /etc/cifs-cred

- tergantung pada apa * nix flavour sistem Anda dan konfigurasi daemon sistem.

Selain itu, jika sistem dapat berisiko dikompromikan, Anda tidak boleh mempercayai kata sandi yang tidak dienkripsi. Bergantung hanya pada izin file agak naif - konten file hanya dilindungi terhadap pelanggaran keamanan kecil.

rozcietrzewiacz
sumber
1
apakah ada pertanyaan atau situs web unix.stackexchange.com yang berbicara tentang mendapatkan hasil yang sama ... tetapi jangan 'hanya bergantung pada izin file'?
Trevor Boyd Smith
Sayangnya, bagian ini tergantung pada aplikasi. Beberapa program dan aplikasi memiliki dukungan untuk kata sandi hash, yang lain tidak. Saya tidak tahu apa situasinya dengan CIFS / SMB, tapi jujur ​​saya ragu apakah ada alternatif yang benar-benar aman dalam kasus ini. Anda mungkin melihat Keamanan TI untuk informasi lebih lanjut.
rozcietrzewiacz
3

Hanya mengatur hak unix ke rw untuk pengguna pemasangan:

cat > ~/cifs.credentials <<EOC
user=UserName
pass=PassWord
EOC
chmod 0600 ~/cifs.credentials

Semua pengguna lain tidak memiliki akses ke file ini setelah perintah chmod

f4m8
sumber