คุณจะป้องกันไฟล์ข้อมูลรับรองข้อความธรรมดาด้วยชื่อผู้ใช้และรหัสผ่านได้อย่างไร

12

ฉันกำลังพยายามตั้งค่าไดรฟ์เครือข่ายที่ติดตั้งอัตโนมัติ ไดรฟ์เครือข่ายต้องมีผู้ใช้ / ผ่าน ใน man page สำหรับ "mount.cifs" มีสองวิธีในการจัดเตรียมผู้ใช้ / รหัสผ่าน

  1. [ไม่แนะนำ] ใส่ผู้ใช้ / ผ่านใน / etc / fstab
  2. สร้างไฟล์ข้อมูลรับรองแยกต่างหากและวางผู้ใช้ / รหัสผ่านในไฟล์ข้อมูลรับรอง

"ต้องการตัวเลือก [ตัวเลือก 2] โดยมีรหัสผ่านเป็นข้อความธรรมดาในไฟล์ที่ใช้ร่วมกันเช่น / etc / fstab ตรวจสอบให้แน่ใจว่าได้ป้องกันไฟล์ข้อมูลรับรองอย่างถูกต้อง "

  • พื้นหลังของฉันคือ: นักพัฒนาซอฟต์แวร์, การพัฒนาซอฟต์แวร์ linux จำนวนมาก (การติดตั้งไลบรารีการพัฒนา, การติดตั้งแอปพลิเคชันเช่น Eclipse หรือ java) ฉันไม่ใช่คนดูแลระบบไอที
  • นี่เป็นเครื่องพัฒนาของฉันเอง

เนื่องจากฉันไม่มีพื้นหลัง IT / sysadmin วิธีการมาตรฐานที่แนะนำสำหรับ "การปกป้องไฟล์ข้อมูลประจำตัวใด ๆ อย่างถูกต้อง" คืออะไร?

(ฉันขอขอบคุณหากมีหลายวิธีในการปกป้องไฟล์ข้อมูลประจำตัวเพื่อโปรดแสดงรายการตามลำดับที่พบได้บ่อยที่สุดถึงน้อยที่สุดและอธิบายการแลกเปลี่ยน)

security  mount  automounting 
เทรเวอร์บอยด์สมิ ธ
แหล่งที่มา

คำตอบ:

11

ดูเหมือนว่าหน้าตัวอย่างข้อมูลที่คุณอ้างอิงอ้างถึงระดับความปลอดภัยขั้นพื้นฐานที่ความเป็นเจ้าของไฟล์มาตรฐานและการอนุญาตให้ไว้ ไฟล์การกำหนดค่า/etc/fstabสามารถอ่านได้โดยผู้ใช้ในระบบ สถานที่ปลอดภัยในการจัดเก็บข้อมูลที่ละเอียดอ่อนจะเป็นไฟล์ที่มีสิทธิ์อนุญาตให้เจ้าของอ่านได้เท่านั้น ฉันเข้าใจว่าในกรณีของคุณผู้ใช้จะเป็นรู

สมมติว่าคุณใส่ไฟล์/etc/และตั้งชื่อcifs-cred(สร้างและแก้ไขเป็น root) จากนั้นคุณจะใช้

chmod 600 /etc/cifs-cred

ซึ่งจะรับประกันเฉพาะเจ้าของ (ซึ่งควรเป็นรูท ) เท่านั้นที่สามารถเข้าถึงเนื้อหา มิฉะนั้นหากการตั้งค่าดังกล่าวไม่อนุญาตให้ทำงานอย่างถูกต้องในการตั้งค่าระบบของคุณอาจหมายถึงไฟล์ที่ผู้ใช้ระบบบางรายสามารถเข้าถึงได้ ในกรณีนี้คุณอาจต้องลอง

chmod 660 /etc/cifs-cred

หรือสิ่งที่ชอบ

chown root:wheel /etc/cifs-cred
chmod 660 /etc/cifs-cred

- ขึ้นอยู่กับว่า * nix แต่งกลิ่นระบบของคุณและการกำหนดค่าของระบบ daemons อย่างไร

นอกเหนือจากนั้นหากระบบมีความเสี่ยงที่จะถูกบุกรุกคุณไม่ควรเชื่อถือรหัสผ่านที่ไม่ได้เข้ารหัส ขึ้นอยู่กับการอนุญาตของไฟล์ แต่เพียงผู้เดียวค่อนข้างไร้สาระเนื้อหาของไฟล์จะได้รับการคุ้มครองจากการละเมิดความปลอดภัยเล็กน้อย

rozcietrzewiacz
แหล่งที่มา
1
มีคำถามหรือเว็บไซต์ unix.stackexchange.com ใด ๆ ที่พูดถึงการได้รับผลลัพธ์ที่เหมือนกัน ... แต่ไม่ 'ขึ้นอยู่กับการอนุญาตของไฟล์' แต่เพียงผู้เดียว?
เทรเวอร์บอยด์สมิ ธ
น่าเสียดายที่ส่วนนี้ขึ้นอยู่กับแอปพลิเคชัน โปรแกรมและแอปพลิเคชั่นบางตัวมีการสนับสนุนรหัสผ่านที่แฮช ฉันไม่ทราบว่าเกิดอะไรขึ้นกับ CIFS / SMB แต่โดยสุจริตฉันสงสัยว่ามีทางเลือกที่ปลอดภัยจริง ๆ ในกรณีนี้หรือไม่ คุณอาจดูIT Securityสำหรับข้อมูลเพิ่มเติม
rozcietrzewiacz
3

เพียงตั้งค่าสิทธิ์ unix เป็น rw สำหรับผู้ใช้เมานท์:

cat > ~/cifs.credentials <<EOC
user=UserName
pass=PassWord
EOC
chmod 0600 ~/cifs.credentials

ผู้ใช้รายอื่นไม่มีสิทธิ์เข้าถึงไฟล์นี้หลังจากคำสั่ง chmod

f4m8
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.