Як захистити файл простого текстових облікових даних з ім'ям користувача та паролем?

12

Я намагаюся налаштувати мережевий накопичувач, який автоматично встановлюється. Мережевий диск вимагає користувача / проходу. На сторінці man для "mount.cifs" є два способи надання користувача / проходу.

  1. [не рекомендується] помістити користувача / пройти в / etc / fstab
  2. створити окремий файл облікових даних та помістити користувача / пропустити у файл облікових даних

"[варіант 2] бажано мати паролі в простому тексті у спільному файлі, наприклад / etc / fstab. Не забудьте належним чином захистити будь-який файл облікових даних. "

  • Моє передумови: розробник програмного забезпечення, багато розробки програмного забезпечення linux (встановлення бібліотек розробки, встановлення таких програм, як Eclipse або java). Я не ІТ чи сисадмін.
  • Це на моїй власній розробці

Зважаючи на відсутність фону IT / sysadmin, який стандартний метод "належного захисту будь-якого файлу облікових даних"?

(Я також вдячний, якщо існує декілька методів захисту файлу облікових даних, будь ласка, перерахуйте їх у порядку, що є найпоширенішим до найменшого, та опишіть компроміси.)

security  mount  automounting 
Тревор Бойд Сміт
джерело

Відповіді:

11

Схоже, фрагменти чоловічої сторінки, які ви цитували, посилаються на базовий рівень безпеки, який надають стандартні права власності на файли та дозволи . Файл конфігурації /etc/fstabчитається будь-яким користувачем у системі. Більш безпечним місцем для зберігання конфіденційної інформації буде файл з дозволами, який дозволяє читати лише власникові. Я розумію, що у вашому випадку користувач буде root .

Скажімо, ви помістили файл /etc/і назвали його cifs-cred(створити та відредагувати його як root). Тоді ви б скористалися

chmod 600 /etc/cifs-cred

Це запевнить, що лише власник (який має бути root ) матиме доступ до вмісту. В іншому випадку, якщо така установка не дозволила належним чином виконати налаштування вашої системи, це може означати, що файл повинен бути доступний для якогось спеціального користувача системи. У такому випадку вам може знадобитися спробувати

chmod 660 /etc/cifs-cred

чи щось подібне

chown root:wheel /etc/cifs-cred
chmod 660 /etc/cifs-cred

- залежно від того, який * nix аромат вашої системи та конфігурації демонів системи.

Окрім цього, якщо система може бути піддана будь-якій небезпеці, вона ніколи не повинна довіряти незашифрованим паролям. Залежно від дозволів на файли досить наївно - вміст файлу захищений лише від незначних порушень безпеки.

rozcietrzewiacz
джерело
1
Чи є якісь питання unix.stackexchange.com або веб-сайти, які говорять про отримання однакового результату ... але не "залежать лише від дозволів на файли"?
Тревор Бойд Сміт
На жаль, ця частина залежить від програми. Деякі програми та програми підтримують хешовані паролі, інші - ні. Я не знаю, яка ситуація з CIFS / SMB, але, чесно кажучи, сумніваюся, чи є справді безпечна альтернатива в цьому випадку. Ви можете подивитися на IT Security для отримання додаткової інформації.
rozcietrzewiacz
3

Просто встановіть права Unix на rw для монтажу:

cat > ~/cifs.credentials <<EOC
user=UserName
pass=PassWord
EOC
chmod 0600 ~/cifs.credentials

Всі інші користувачі не мають доступу до цього файлу після команди chmod

f4m8
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.