Stockage de mots de passe cryptés SVN

109

J'ai installé SVN sur une machine Ubuntu et je ne peux pas comprendre quelque chose.

Chaque fois que je vérifie quelque chose à partir du terminal, j'obtiens cette erreur concernant l'enregistrement d'un mot de passe non chiffré:

-----------------------------------------------------------------------
ATTENTION!  Your password for authentication realm:

   <[...]> Subversion Repository

can only be stored to disk
unencrypted!  You are advised to
configure your system so that
Subversion can store passwords
encrypted, if possible.  See the
documentation for details.

You can avoid future appearances of
this warning by setting the value of
the 'store-plaintext-passwords' option
to either 'yes' or 'no' in
'/home/[...]/.subversion/servers'.
-----------------------------------------------------------------------

Je l'ai un peu lorgné mais je n'ai rien trouvé d'utile. J'ai trouvé un sujet où il était dit qu'il s'agissait d'un problème client, pas d'un problème de serveur, mais je ne suis toujours pas convaincu.

Il dit "configurez votre système"; qu'est-ce que cela veut dire exactement? Le serveur ou le client? Si je suis le serveur, puis-je faire quelque chose à ce sujet? en plus de cacher l'avertissement (comme il le dit) ...

Merci!

svn unix encryption passwords Treznik
la source
1
Double possible de Comment supprimer l'avertissement concernant le stockage du mot de passe non chiffré après la validation du fichier dans svn
ian5v
1
Cette question concerne la manière de masquer l'avertissement si vous ne souhaitez pas crypter le mot de passe. Cette question porte sur la façon de configurer un système pour crypter correctement le mot de passe.
outis nihil

Réponses:

44

C'est un problème client. Il vous avertit que les informations d'identification utilisées pour les différents serveurs sont stockées en texte brut. Vous pouvez masquer cet avertissement ou utiliser un stockage crypté pour mettre en cache les mots de passe.

Voir: http://blogs.collab.net/subversion/2009/07/subversion-16-security-improvements/

Frisco
la source
14
Les stockages de cryptage présentés étaient GNOME Keyring ou Kwallet, mais comme je n'utilise aucune interface de bureau sur mon serveur, je suppose que le cryptage est hors de question. Droite?
treznik le
3
Dans le premier commentaire, vous pouvez voir qu'il existe une option pour l'utiliser en ligne de commande, je ne sais pas comment cela fonctionne mais semble faisable.
frisco
5
Je ne peux pas croire que svn ne fournit pas de pw haché comme htpasswd ou similaire.
d -_- b
17
@sims Le hachage est utile si vous souhaitez VÉRIFIER l'exactitude d'un mot de passe. Le client est sur le point d'envoyer le mot de passe au serveur, le hachage ne suffit donc pas. Vous devez le stocker de manière bidirectionnelle.
Notinlist
6
Vous pouvez l'obtenir sans recompilation, sur la base de ubuntuforums.org/showthread.php?t=1348567 .
Définissez
6

En chiffrant le mot de passe, vous ne pourrez pas obtenir de non-répudiation (d'autres utilisateurs pourraient utiliser votre hachage comme vous) en raison des autorisations de fichier du système d'exploitation. Cependant, la plupart des entreprises ont configuré la subversion à l'aide de leur mot de passe de domaine ou d'une forme de mot de passe SSO. En chiffrant le mot de passe, vous masqueriez au moins quelqu'un pour ne pas accéder à d'autres comptes d'utilisateurs.

Je serais toujours préoccupé par la force de cryptage. Si le mot de passe subversion est lié à d'autres comptes importants, quelqu'un peut tester la force de cryptage pour déchiffrer le mot de passe.

Le meilleur pari est de configurer le client subversion pour désactiver les mots de passe stockés et forcer les développeurs paresseux à s'authentifier à chaque fois.

Jason Lawrence
la source
13
La question de savoir si cette dernière proposition est "meilleure" dépend d'autres facteurs. Et si les développeurs, confrontés à un processus de validation / mise à jour onéreux, commençaient à utiliser moins SVN et que, par conséquent, la granularité de la synchronisation avec les autres devenait plus grossière? Et s'ils commençaient à truquer les jurés pour stocker leurs mots de passe ailleurs et à automatiser le processus d'authentification de manière non sécurisée?
LarsH
2

Je stocke les informations d'identification sur un disque crypté. (Bien que, tandis que encfs est monté, les informations d'identification sont toujours en texte brut sur mon compte)

$ ls -nl ~/.subversion/
total 20K
-rw-r--r-- 1 1000 1000 4.2K 2009-07-10 13:00 README.txt
lrwxrwxrwx 1 1000 1000   31 2009-10-14 14:31 auth -> ~/crypt/subversion/auth/
-rw-r--r-- 1 1000 1000 5.7K 2009-07-10 13:00 config
-rw-r--r-- 1 1000 1000 3.6K 2009-07-10 13:00 servers

Utiliser git-svn signifie que j'ai besoin des informations d'identification beaucoup moins souvent, donc ce n'est peut-être pas trop onéreux de ne pas les enregistrer du tout.

bsb
la source