web-dev-qa-db-ja.com

プレーンテキストの認証情報ファイルをユーザー名とパスワードでどのように保護しますか?

自動マウントネットワークドライブをセットアップしようとしています。ネットワークドライブにはユーザー/パスが必要です。 「mount.cifs」のマニュアルページでは、ユーザー/パスを提供する方法が2つあります。

  1. [非推奨] user/passを/ etc/fstabに入れます
  2. 別の資格情報ファイルを作成し、ユーザー/パスを資格情報ファイルに入れます

「[オプション2]は、/ etc/fstabなどの共有ファイルにパスワードをプレーンテキストで入力するよりも優先されます。資格情報ファイルを適切に保護してください。 "

  • 私のバックグラウンドは、ソフトウェア開発者、多くのLinuxソフトウェア開発(開発ライブラリのインストール、EclipseやJavaなどのアプリケーションのインストール)です。私はITやシステム管理者ではありません。
  • これは自分の開発マシン上にあります

IT/sysadminのバックグラウンドがないため、「資格情報ファイルを適切に保護する」ための標準の推奨方法は何ですか?

(資格情報ファイルを保護する方法が複数ある場合は、最も一般的なものから最も少ないものの順にリストし、トレードオフについて説明してください。)

12

引用したmanページのスニペットは、標準のファイルの所有権と権限が提供する基本的なセキュリティレベルを参照しているようです。構成ファイル/etc/fstabは、システム上のすべてのユーザーが読み取ることができます。機密情報を保存するより安全な場所は、所有者のみが読み取ることを許可する権限を持つファイルです。あなたの場合、ユーザーはrootであると理解しています。

ファイルを/etc/に置き、cifs-credという名前を付けたとします(ルートとして作成して編集します)。次に、使用します

chmod 600 /etc/cifs-cred

これにより、所有者(rootである必要がある)のみがコンテンツにアクセスできることが保証されます。それ以外の場合、そのようなセットアップでシステムセットアップが適切に機能しなかった場合は、特別なシステムユーザーがファイルにアクセスできることを意味します。その場合、あなたは試す必要があるかもしれません

chmod 660 /etc/cifs-cred

または何かのような

chown root:wheel /etc/cifs-cred
chmod 660 /etc/cifs-cred

-システムの* nixフレーバーとシステムデーモンの構成によって異なります。


それ以外に、システムが危険にさらされる可能性がある場合は、暗号化されていないパスワードを信頼しないでください。ファイルのアクセス許可のみに依存するのはかなり単純です。ファイルの内容は、軽度のセキュリティ侵害からのみ保護されます。

11
rozcietrzewiacz

マウントするユーザーのUNIX権限をrwに設定するだけです。

cat > ~/cifs.credentials <<EOC
user=UserName
pass=PassWord
EOC
chmod 0600 ~/cifs.credentials

他のすべてのユーザーは、chmodコマンドの後でこのファイルにアクセスできません。

3
f4m8