Dans quelle mesure mes fichiers se trouvent-ils dans / home?

8

Ceci est un wiki communautaire. J'aimerais vraiment que les autres pensent à ce sujet. Je ne veux pas non plus discuter de l'éthique du stockage des mots de passe en texte brut.

Pour ceux qui ne sont pas familiers, libpurple est la bibliothèque utilisée par Pidgin, et lorsque vous choisissez d'enregistrer vos mots de passe, elle le fait sous forme de texte brut sous ~/.purple/accounts.xml.

Le raisonnement derrière cela est que si quelqu'un peut accéder à votre compte d'utilisateur, vous avez de plus gros problèmes à vous inquiéter, entre autres points valides .

Ma principale inquiétude est que j'utilise mon compte gmail dans Pidgin, et donc mon mot de passe gmail est stocké en texte brut. L'accès au courrier électronique de quelqu'un signifie l'accès à 90% de ses autres comptes, via des fonctionnalités de récupération de mot de passe sur la plupart des sites. Eeek .

Considérez que ...

  • Mon / domicile est crypté, si quelqu'un obtient un accès physique au lecteur
  • Je verrouille toujours mon système quand je m'éloigne
  • Je suis sensible à l'installation de packages non officiels
  • Toute application que j'exécute dans l'espace utilisateur a accès à mes fichiers utilisateur

Est-ce vraiment sûr? Y a-t-il d'autres menaces qui pourraient potentiellement accéder à accounts.xml?

Mise à jour

Merci pour les réponses! Jusqu'à présent, ont:

Je suis heureux que mes données soient en sécurité en cas de vol. Je suis plus préoccupé par certains processus conçus pour cibler ces fichiers non sécurisés. Là encore, la nature des logiciels open source rend les applications malveillantes difficiles, car l'examen du code public exposera le code malveillant.

Si vous pouvez penser à d'autres vecteurs par lesquels ces détails de compte pourraient être accédés, j'aimerais les entendre :)

security user-space password inversés
la source
3
Non pas que vous puissiez l'inverser, mais je n'aurais pas créé ce wiki communautaire. Cette question est répondable et maintenant vous ne donnez aucune incitation car nous ne pouvons pas gagner la réputation avec nos réponses.
Peter Smit
Point pris @Peter, je craignais que la question soit trop subjective et ils se ferment trop facilement sur les sites d'échange SO et SU.
inverser

Réponses:

2

Pour la plupart, si quelqu'un a un accès physique à la machine, la sécurité est nulle et non avenue. Quant aux "autres utilisateurs" s'ils n'essaient pas d'accéder aux fichiers et peuvent simplement y tomber, il suffit de définir les autorisations sur votre dossier de base afin que personne d'autre n'y ait accès sauf vous.

En ce qui concerne la sécurité sur un réseau, j'ai du mal à croire que quelqu'un entre dans vos fichiers personnels à moins que vous ne laissiez négligemment les ports ouverts. Si vous êtes concerné, utilisez Gufw pour gérer votre pare-feu. Vous pouvez également vérifier à partir de ce site Web si vous avez des failles de sécurité de quelque sorte: https://www.grc.com/x/ne.dll?bh0bkyd2

Vous pouvez également lire cet aperçu de la sécurité sur les forums Ubuntu: http://ubuntuforums.org/showthread.php?t=510812

J'espère que cela peut vous être utile!

NightwishFan
la source
J'utilise Firestarter pour configurer iptables. Merci pour les liens, très utiles!
inverser
en ce qui concerne l'accès physique, avoir un lecteur crypté signifie qu'il serait beaucoup plus sécurisé que la normale. Il empêche la plupart des attaques évidentes de fonctionner.
cmcginty
1

Votre préoccupation est donc l'application qui stocke les données sensibles en texte clair. Voici quelques suggestions:

  • alternatives : essayez de trouver une autre application qui ne stocke pas vos données en texte clair. L'empathie peut remplacer Pidgin et stocker vos informations d'identification dans Gnome Keyring , qui est un magasin sécurisé et crypté,
  • mot de passe fort : vous ne pouvez pas faire grand-chose contre l'accès physique si l'attaquant pense qu'il peut trouver des valeurs plus élevées que ce qui lui coûtera en temps et en ressources craquant par la force brute de votre disque dur chiffré. Plus votre mot de passe est solide, plus les chances que l'attaquant abandonne sont élevées. Consultez l'article et la vidéo de Mozilla sur la façon de créer un mot de passe fort . Et pour vos soucis concernant votre compte Gmail, vous pouvez trouver une solution Google pour sécuriser l'accès à votre compte .
  • se tenir à jour : il y a toujours le risque d'une faille de sécurité dans l'une de vos applications qui pourrait permettre à un attaquant d'accéder à votre disque. Par exemple, un trou dans Flash qui laisse l'accès au disque ouvert pourrait donner à un attaquant un accès gratuit aux fichiers en texte brut.
Huygens
la source
2
J'accepte d'utiliser l'empathie à la place de pidgin, et oui, pidgin stocke le compte d'informations en «texte simple». considérez avoir un mot de passe fort, il est inutile si le magasin de mots de passe en texte brut, quelle est la force de notre mot de passe.
squallbayu
L'empathie est la nouvelle messagerie instantanée par défaut dans Ubuntu, mais le support du protocole mxit est bogué (ne se connectera pas), j'utilise donc Pidgin pour cette raison. Une autre alternative consiste à utiliser un compte Jabber distinct uniquement pour la messagerie instantanée, au lieu de mon compte gmail. Merci pour votre réponse!
inverser
@KeyboardMonkey, vous devez essayer le lien que j'ai donné ci-dessus pour sécuriser votre compte Google (voir le 2ème lien dans la 2ème puce). Au moins, même si quelqu'un met la main sur votre mot de passe, vous disposez d'une couche d'accès supplémentaire à votre compte Google.
Huygens
c'est un excellent timing parfait de la part de Google!
inverser
1

Je crée généralement un répertoire privé chiffré et je déplace la configuration pidgin et toute autre information plus dangereuse (.ssh, etc.) dans ~ / Private. Je crée ensuite des liens symboliques pour les répertoires à leur emplacement d'origine. Pour créer un répertoire privé chiffré, utilisez

ecryptfs-setup-private

Vous devrez peut-être également installer un package: 

sudo apt-get install ecryptfs-utils

Voir ceci pour plus de détails

Nerdfest
la source
Comment cela empêchera-t-il une application d'accéder aux fichiers d'un système actif via le réseau? Ils peuvent simplement suivre les liens symboliques.
Mon dossier personnel est déjà crypté. Est-ce que c'est nécessaire pour moi aussi?
Intéressant Knox
0

Si votre / home est crypté, le seul moyen de récupérer le mot de passe est de le décrypter, la seule façon de le faire (sauf si vous avez une très grande batterie de serveurs et beaucoup de temps) est d'utiliser le mot de passe. Cela pourrait être forcé à temps, alors assurez-vous qu'il s'agit d'un mot de passe très fort.

Donc, dans l'ensemble, c'est assez sûr. Personnellement, je serais heureux de conserver mon mot de passe gmail dans un répertoire crypté / home.

YaManicKill
la source
1
Je suis assez content du côté du cryptage, je suis plus inquiet au sujet d'un processus qui s'exécute dans l'espace utilisateur, qui s'exécute sous mes privilèges d'utilisateur, qui accède à ce fichier texte brut ou à tout autre détail important dans mon compte. Merci!
inverser
Ahhh ok, je comprends ce que tu veux dire maintenant. Eh bien, dans ce cas, je m'assurerais que tous les programmes que vous avez sont ceux du référentiel Ubuntu et sont bien connus. Si c'est le cas, et que vous n'installez aucune autre application tierce, j'en serais heureux.
YaManicKill