プレーンテキストの資格情報ファイルをユーザー名とパスワードでどのように保護しますか?

12

自動マウントネットワークドライブをセットアップしようとしています。ネットワークドライブにはユーザー/パスが必要です。「mount.cifs」のマニュアルページでは、ユーザー/パスを提供する方法が2つあります。

  1. [非推奨] user / passを/ etc / fstabに入れます
  2. 別の資格情報ファイルを作成し、ユーザー/パスを資格情報ファイルに入れます

「[オプション2]は、/ etc / fstabなどの共有ファイルにパスワードをプレーンテキストで入力するよりも優先されます。資格情報ファイルを適切に保護してください。

  • 私の経歴は次のとおりです。ソフトウェア開発者、多数のLinuxソフトウェア開発(開発ライブラリのインストール、Eclipse、Javaなどのアプリケーションのインストール)。私はITやシステム管理者ではありません。
  • これは自分の開発マシン上にあります

IT / sysadminのバックグラウンドがないため、「資格情報ファイルを適切に保護する」ための標準の推奨方法は何ですか?

(クレデンシャルファイルを保護する方法が複数ある場合は、最も一般的なものから順にリストして、トレードオフについて説明してください。)

security  mount  automounting 
トレバー・ボイド・スミス
ソース

回答:

11

引用したmanページのスニペットは、標準のファイル所有権とアクセス許可が提供する基本的なセキュリティレベルを参照しているようです。構成ファイル/etc/fstabは、システム上のすべてのユーザーが読み取ることができます。機密情報を保存するためのより安全な場所は、所有者のみが読み取ることを許可する権限を持つファイルです。あなたの場合、ユーザーがrootになることを理解しています。

ファイルを入れて/etc/名前を付けたとしましょうcifs-cred(ルートとして作成して編集します)。それからあなたは使うでしょう

chmod 600 /etc/cifs-cred

これにより、所有者(rootでなければならない)だけがコンテンツにアクセスできるようになります。それ以外の場合、そのようなセットアップでシステムセットアップが適切に機能しなかった場合、特別なシステムユーザーがファイルにアクセスできることを意味します。その場合、あなたは試す必要があるかもしれません

chmod 660 /etc/cifs-cred

または何かのような

chown root:wheel /etc/cifs-cred
chmod 660 /etc/cifs-cred

-システムの* nixフレーバーとシステムデーモンの構成によって異なります。

それ以外に、システムが危険にさらされる可能性がある場合は、暗号化されていないパスワードを信頼しないでください。ファイルのアクセス許可のみに依存するのはかなり単純です。ファイルの内容は、軽度のセキュリティ侵害からのみ保護されます。

rozcietrzewiacz
ソース
1
同じ出力を取得することについて話しているunix.stackexchange.comの質問またはWebサイトはありますか?しかし、「ファイルのアクセス許可にのみ依存」していませんか?
Trevor Boyd Smith
残念ながら、この部分はアプリケーションに依存しています。一部のプログラムとアプリケーションは、ハッシュ化されたパスワードをサポートしていますが、サポートしていないものもあります。CIFS / SMBの状況はわかりませんが、この場合、本当に安全な代替策があるかどうかは正直疑わしいです。詳細については、ITセキュリティを参照してください。
rozcietrzewiacz
3

マウントするユーザーのUNIX権限のみをrwに設定します。

cat > ~/cifs.credentials <<EOC
user=UserName
pass=PassWord
EOC
chmod 0600 ~/cifs.credentials

他のすべてのユーザーは、chmodコマンドの後でこのファイルにアクセスできません。

f4m8
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.