¿Cómo protege un archivo de credenciales de texto sin formato con el nombre de usuario y la contraseña?

12

Estoy tratando de configurar una unidad de red de montaje automático. La unidad de red requiere un usuario / pase. En la página de manual para "mount.cifs" hay dos formas de proporcionar el usuario / pase.

  1. [no recomendado] poner el usuario / pass en / etc / fstab
  2. cree un archivo de credenciales separado y coloque el usuario / pase en el archivo de credenciales

"[la opción 2] es preferible a tener contraseñas en texto sin formato en un archivo compartido, como / etc / fstab. Asegúrese de proteger cualquier archivo de credenciales correctamente " .

  • Mi experiencia es: desarrollador de software, mucho desarrollo de software de Linux (instalación de bibliotecas de desarrollo, instalación de aplicaciones como Eclipse o Java). No soy un chico de TI o administrador de sistemas.
  • Esto está en mi propia máquina de desarrollo

Dada mi falta de experiencia en TI / sysadmin, ¿cuál es el método estándar sugerido para "proteger adecuadamente cualquier archivo de credenciales"?

(También agradecería que, si hay varios métodos para proteger el archivo de credenciales, enumere en orden de menor a mayor y describa las compensaciones).

security mount automounting Trevor Boyd Smith
fuente

Respuestas:

11

Parece que los fragmentos de la página de manual que citó se refieren al nivel básico de seguridad que proporcionan los permisos y la propiedad estándar de los archivos . El archivo de configuración /etc/fstabpuede ser leído por cualquier usuario en el sistema. Un lugar más seguro para almacenar información confidencial sería un archivo con permisos que solo el propietario pueda leer. Entiendo que en su caso, el usuario sería root .

Supongamos que coloca el archivo /etc/y lo nombra cifs-cred(crearlo y editarlo como root). Entonces usarías

chmod 600 /etc/cifs-cred

Eso asegurará que solo el propietario (que debería ser root ) tendrá acceso a los contenidos. De lo contrario, si dicha configuración no permitía el correcto funcionamiento de la configuración de su sistema, podría significar que el archivo debería ser accesible para algún usuario especial del sistema. En ese caso, es posible que deba intentar

chmod 660 /etc/cifs-cred

o algo así

chown root:wheel /etc/cifs-cred
chmod 660 /etc/cifs-cred

- dependiendo de qué sabor * nix tenga su sistema y la configuración de los demonios del sistema.

Aparte de eso, si el sistema puede estar en riesgo de verse comprometido, nunca debe confiar en las contraseñas sin cifrar. Depender únicamente de los permisos de archivo es bastante ingenuo: el contenido del archivo está protegido solo contra brechas de seguridad menores.

rozcietrzewiacz
fuente
1
¿hay alguna pregunta de unix.stackexchange.com o sitios web que hablen acerca de obtener la misma salida ... pero no 'dependen únicamente de los permisos de archivo'?
Trevor Boyd Smith
Desafortunadamente, esta parte depende de la aplicación. Algunos programas y aplicaciones tienen soporte para contraseñas hash, otros no. No sé cuál es la situación con CIFS / SMB, pero honestamente dudo si hay una alternativa realmente segura en este caso. Puede consultar Seguridad de TI para obtener más información.
rozcietrzewiacz
3

Solo configure los derechos de Unix en rw para el usuario de montaje:

cat > ~/cifs.credentials <<EOC
user=UserName
pass=PassWord
EOC
chmod 0600 ~/cifs.credentials

Todos los demás usuarios no tienen acceso a este archivo después del comando chmod

f4m8
fuente