¿Qué tan seguros están mis archivos en / home?

8

Esta es una wiki comunitaria. Realmente me gustaría los pensamientos de otras personas sobre esto. Tampoco quiero discutir la ética de almacenar contraseñas de texto sin formato.

Para aquellos que no están familiarizados, libpurple es la biblioteca utilizada por Pidgin, y cuando elige guardar sus contraseñas, lo hace como texto plano debajo ~/.purple/accounts.xml.

El razonamiento detrás de esto es que si alguien puede acceder a su cuenta de usuario, tiene mayores problemas de los que preocuparse, entre otros puntos válidos .

Mi principal preocupación es que uso mi cuenta de Gmail en Pidgin, por lo que mi contraseña de Gmail se almacena en texto sin formato. El acceso al correo electrónico de alguien significa el acceso al 90% de sus otras cuentas, a través de las funciones de recuperación de contraseña en la mayoría de los sitios. Eeek .

Considere eso...

  • Mi / home está encriptado, si alguien tiene acceso físico a la unidad
  • Siempre bloqueo mi sistema cuando me alejo
  • Soy sensato acerca de la instalación de paquetes no oficiales
  • Cualquier aplicación que ejecute en userland tiene acceso a mis archivos de usuario

¿Qué tan seguro es esto realmente? ¿Hay alguna otra amenaza que pueda acceder a accounts.xml?

Actualizar

Gracias por las respuestas! Hasta ahora tenemos:

Estoy feliz de que mis datos estén seguros en caso de robo. Estoy más preocupado por algún proceso diseñado para apuntar a estos archivos no seguros. Por otra parte, la naturaleza del software de código abierto dificulta las aplicaciones maliciosas, ya que la revisión del código público expondrá el código malicioso.

Si puede pensar en otros vectores a través de los cuales se pueda acceder a estos detalles de la cuenta, me gustaría escucharlos :)

security user-space password invertidas
fuente
3
No es que puedas revertirlo, pero no habría hecho este wiki comunitario. Esta pregunta es respondible y ahora no das ningún incentivo ya que no podemos ganar reputación con nuestras respuestas.
Peter Smit el
Punto tomado @Peter, me preocupaba que la pregunta fuera demasiado subjetiva y se cerraran demasiado fácilmente en los sitios de intercambio de SO y SU.
invertir

Respuestas:

2

En su mayor parte, si alguien tiene acceso físico a la máquina, la seguridad es nula y sin efecto. En cuanto a "otros usuarios", si no están tratando de acceder a los archivos y pueden tropezar con ellos, simplemente configure los permisos en su carpeta de inicio para que nadie más tenga acceso excepto usted.

En cuanto a la seguridad en una red, me resulta difícil creer que alguien ingrese a sus archivos personales a menos que deje los puertos abiertos sin cuidado. Si le preocupa, use Gufw para administrar su firewall. También puede verificar desde este sitio web si tiene agujeros de seguridad de algún tipo: https://www.grc.com/x/ne.dll?bh0bkyd2

También puede leer esta descripción general de seguridad en los foros de Ubuntu: http://ubuntuforums.org/showthread.php?t=510812

¡Espero que esto pueda ser de ayuda para usted!

NightwishFan
fuente
Yo uso Firestarter para configurar iptables. Gracias por los enlaces, muy útil!
invertir
Con respecto al acceso físico, tener una unidad encriptada significa que sería mucho más seguro de lo normal. Impide que la mayoría de los ataques obvios funcionen.
cmcginty
1

Entonces, su preocupación es la aplicación que almacena datos confidenciales en texto claro. Aqui hay algunas sugerencias:

  • alternativas : intente encontrar otra aplicación que no almacene sus datos en texto claro. Empathy puede sustituir a Pidgin y almacenar sus credenciales dentro de Gnome Keyring , que es una tienda segura y encriptada,
  • contraseña segura : no se puede hacer mucho contra el acceso físico si el atacante cree que puede encontrar valores más altos de lo que le costará en tiempo y la ruptura de recursos por fuerza bruta en su disco duro encriptado. Cuanto más fuerte sea su contraseña, mayores serán las posibilidades de que el atacante se rinda. Consulte el artículo de Mozilla + video sobre cómo crear una contraseña segura . Y para su preocupación por su cuenta de Gmail, puede encontrar la solución de Google para mantener seguro el acceso a su cuenta .
  • Mantenerse actualizado : siempre existe el riesgo de un agujero de seguridad en una de sus aplicaciones que podría dar acceso a un atacante a su disco. Por ejemplo, un agujero en Flash que deja abierto el acceso al disco podría dar al atacante acceso libre a archivos de texto sin formato.
Huygens
fuente
2
Estoy de acuerdo en usar empatía en lugar de pidgin, y sí, pidgin almacena la cuenta de información en 'solo texto sin formato'. considere tener una contraseña segura, es inútil si la contraseña se almacena en texto plano, qué tan segura es nuestra contraseña.
squallbayu
Empathy es el nuevo IM predeterminado en Ubuntu, pero su compatibilidad con el protocolo mxit es defectuoso (no se conecta), así que uso Pidgin por esa razón. Otra alternativa es usar una cuenta Jabber separada solo para mensajería instantánea, en lugar de mi cuenta de gmail. ¡Gracias por su respuesta!
invertir
@KeyboardMonkey, debe probar el enlace que le proporcioné anteriormente para mantener segura su cuenta de Google (consulte el segundo enlace en la segunda viñeta). Al menos, incluso si alguien obtiene su contraseña, tiene una capa de acceso adicional a su cuenta de Google.
Huygens
¡Esto es genial, el momento perfecto de Google!
invertir
1

Generalmente creo un directorio privado encriptado y muevo la configuración pidgin y cualquier otra información más peligrosa (.ssh, etc.) a ~ / Private. Luego creo enlaces simbólicos para los directorios en sus ubicaciones originales. Para crear un directorio privado encriptado, use

ecryptfs-setup-private

Es posible que también necesite instalar un paquete: 

sudo apt-get install ecryptfs-utils

Vea esto para más detalles

Nerdfest
fuente
¿Cómo evitará esto que una aplicación acceda a los archivos en un sistema en vivo a través de la red? Solo pueden seguir los enlaces simbólicos.
Mi carpeta de inicio ya está encriptada. ¿Es necesario para mí también?
Interesante Knox
0

Si su / home está encriptado, entonces la única forma de recuperar la contraseña es desencriptando, que es la única forma de hacerlo (a menos que tenga una granja de servidores muy grande y mucho tiempo) usando la contraseña. Esto podría ser forzado a tiempo, así que asegúrese de que sea una contraseña muy segura.

Entonces, en general, eso es bastante seguro. Personalmente, me encantaría mantener mi contraseña de gmail en un directorio cifrado / de inicio.

YaManicKill
fuente
1
Estoy bastante contento con el lado del cifrado, estoy más preocupado por un proceso que se ejecuta en el país de usuario, que se ejecuta bajo mis privilegios de usuario, que accede a este archivo de texto sin formato o cualquier otro detalle importante en mi cuenta. ¡Gracias!
invertir
Ahhh ok, entiendo lo que quieres decir ahora. Bueno, en ese caso, me aseguraría de que todos los programas que tienes sean del repositorio de Ubuntu y sean bien conocidos. Si es así, y no instala ninguna otra aplicación de terceros, entonces estaría contento con eso.
YaManicKill