Comment protégez-vous un fichier d'informations d'identification en texte brut avec le nom d'utilisateur et le mot de passe?

12

J'essaie de configurer un lecteur réseau à montage automatique. Le lecteur réseau nécessite un utilisateur / pass. Dans la page de manuel de "mount.cifs", il existe deux façons de fournir l'utilisateur / pass.

  1. [non recommandé] mettez l'utilisateur / pass dans / etc / fstab
  2. créer un fichier d'informations d'identification distinct et mettre l'utilisateur / passe dans le fichier d'informations d'identification

"[option 2] est préférable à la présence de mots de passe en texte brut dans un fichier partagé, tel que / etc / fstab. Assurez-vous de protéger correctement tout fichier d'informations d'identification. "

  • Mon expérience est: développeur de logiciels, beaucoup de développement de logiciels linux (installation de bibliothèques de développement, installation d'applications comme Eclipse ou java). Je ne suis pas un informaticien ou un administrateur système.
  • C'est sur ma propre machine de développement

Étant donné mon manque de connaissances en informatique / administrateur système, quelle est la méthode standard suggérée pour "protéger correctement tout fichier d'informations d'identification"?

(J'apprécierais également, s'il existe plusieurs méthodes pour protéger le fichier des informations d'identification, de les énumérer dans l'ordre le plus courant pour le moins et de décrire les compromis.)

security mount automounting Trevor Boyd Smith
la source

Réponses:

11

Il semble que les extraits de page de manuel que vous avez cités se réfèrent au niveau de sécurité de base fourni par la propriété et les autorisations de fichier standard . Le fichier de configuration /etc/fstabest lisible par n'importe quel utilisateur du système. Un endroit plus sûr pour stocker des informations sensibles serait un fichier avec des autorisations permettant d'être lu uniquement par le propriétaire. Je comprends que dans votre cas, l'utilisateur serait root .

Disons que vous placez le fichier /etc/et le nommez cifs-cred(créez et modifiez-le en tant que root). Ensuite, vous utiliseriez

chmod 600 /etc/cifs-cred

Cela garantira que seul le propriétaire (qui devrait être root ) aura accès au contenu. Sinon, si une telle configuration ne permettait pas le bon fonctionnement de la configuration de votre système, cela pourrait signifier que le fichier devrait être accessible à un utilisateur spécial du système. Dans ce cas, vous devrez peut-être essayer

chmod 660 /etc/cifs-cred

ou quelque chose comme

chown root:wheel /etc/cifs-cred
chmod 660 /etc/cifs-cred

- en fonction de la saveur * nix de votre système et de la configuration des démons système.

En dehors de cela, si le système risque d'être compromis, vous ne devez jamais faire confiance aux mots de passe non chiffrés. Dépendre uniquement des autorisations sur les fichiers est plutôt naïf - le contenu des fichiers n'est protégé que contre les failles de sécurité mineures.

rozcietrzewiacz
la source
1
y a-t-il des questions ou des sites Web unix.stackexchange.com qui parlent d'obtenir la même sortie ... mais ne dépendent pas uniquement des autorisations sur les fichiers?
Trevor Boyd Smith
Malheureusement, cette partie dépend de l'application. Certains programmes et applications prennent en charge les mots de passe hachés, d'autres non. Je ne sais pas quelle est la situation avec CIFS / SMB, mais honnêtement, je doute qu'il existe une alternative vraiment sécurisée dans ce cas. Vous pouvez consulter la sécurité informatique pour plus d'informations.
rozcietrzewiacz
3

Définissez simplement les droits Unix sur rw pour l'utilisateur de montage:

cat > ~/cifs.credentials <<EOC
user=UserName
pass=PassWord
EOC
chmod 0600 ~/cifs.credentials

Tous les autres utilisateurs n'ont pas accès à ce fichier après la commande chmod

f4m8
la source