ปิดใช้งานการจัดเก็บรหัสผ่าน svn แบบธรรมดาสำหรับผู้ใช้ทั้งหมด

9

ตามค่าเริ่มต้นการโค่นล้มช่วยให้ผู้ใช้สามารถบันทึกรหัสผ่านเป็นข้อความธรรมดา~/.subversion/auth/svn.simpleได้ ฉันกำลังตรวจสอบตัวเลือกสำหรับการจัดเก็บรหัสผ่านที่เข้ารหัสใน svnแต่อย่างน้อยที่สุดและเร็วที่สุดฉันต้องการปิดการใช้งานความสามารถในการจัดเก็บรหัสผ่านสำหรับผู้ใช้ทั้งหมดของเราอย่างสมบูรณ์ เรากำลังเรียกใช้การโค่นล้ม 1.6.17

ฉันสามารถปิดการใช้งานสิ่งนี้ภายในโฮมไดเรกทอรีของผู้ใช้ผ่านไฟล์ปรับแต่ง

~ / .svversion / เซิร์ฟเวอร์ :

[global]
# Password / passphrase caching parameters:
store-passwords = no
store-plaintext-passwords = no

อย่างไรก็ตามผู้ใช้สามารถเปลี่ยนไฟล์ปรับแต่งได้หากต้องการ ไม่มีไฟล์กำหนดค่า svn ทั่วทั้งระบบหรือไม่ ตัวเลือกบางอย่างที่ฉันเคยเห็น:

ตัวเลือกที่ 1

ใน 1.8-dev สคริปต์กำหนดค่าของการโค่นล้มยอมรับตัวเลือก --disable-plaintext-password-storage เพื่อหลีกเลี่ยงตรรกะที่เก็บรหัสผ่านธรรมดาและข้อความรหัสผ่านใบรับรองไคลเอ็นต์

ฉันไม่ต้องการอัปเดตเป็นรุ่นพัฒนา

ตัวเลือก 2

/etc/subversion/config

AFAIK ไฟล์กำหนดค่านี้จะใช้เฉพาะเมื่อผู้ใช้ไม่มีไฟล์กำหนดค่าในไดเรกทอรีหลัก

ตัวเลือก 3

เพิ่มงาน cron ~/.subversion/auth/svn.simpleลบแคชรับรองความถูกต้องของผู้ใช้ใน ดังนั้นแม้ว่าพวกเขาจะแก้ไขไฟล์ svn config ของพวกเขาแล้วงาน cron ของเราจะฆ่ารหัสผ่านที่เก็บไว้ใด ๆ อย่างไรก็ตามแม้จะรันทุกนาทีก็ไม่รับประกันว่าระบบสำรองของเราจะไม่คว้าไฟล์ที่มีรหัสผ่านธรรมดา

ไอเดีย?

password  subversion 
Banjer
แหล่งที่มา
คุณควบคุมเซิร์ฟเวอร์หรือไม่ ทำไมไม่ใช้คีย์ SSH plus หรือ Kerberos แทนการตรวจสอบรหัสผ่าน
Mikel
ใช่ฉันเป็นผู้ดูแล
Banjer

คำตอบ:

6

คุณทำไม่ได้

ไม่ว่าคุณจะทำอะไรผู้ใช้ของคุณสามารถข้ามและเก็บรหัสผ่านไว้ในไฟล์ข้อความธรรมดาได้ หากคุณปิดการใช้งานคุณลักษณะในไคลเอนต์ไบนารีพวกเขาจะดาวน์โหลดหรือรวบรวมลูกค้าที่แตกต่างกัน ตามกฎแล้วหากคุณตั้งค่ามาตรการรักษาความปลอดภัยที่น่ารังเกียจ (เช่นต้องพิมพ์รหัสผ่านสำหรับการดำเนินการ svn ทุกครั้ง) ผู้ใช้ของคุณจะข้ามรหัสผ่านในลักษณะที่ทำให้การรักษาความปลอดภัยแย่ลง (ตัวอย่างเช่นการเขียนสคริปต์ตัวตัดคำที่มีรหัสผ่านซึ่งจะปล่อยให้โลกอ่านได้) ดังนั้นอย่าทำอย่างนั้น

หากต้องการย้ำ: คุณไม่สามารถป้องกันผู้ใช้จากการจัดเก็บรหัสผ่านในไฟล์ คุณสามารถห้ามมันได้ แต่ถ้ามันทำให้ชีวิตของพวกเขาลำบากพวกเขาจะทำมันต่อไป

หากคุณกังวลเกี่ยวกับแล็ปท็อปหรือการขโมยข้อมูลสำรองให้เข้ารหัสไดเรกทอรีหลักของผู้ใช้ สิ่งนี้จะปกป้องรหัสผ่านและข้อมูล หากไดเรกทอรีหลักทั้งหมดถูกเข้ารหัสรหัสผ่านการเข้ารหัสมักจะเหมือนกับรหัสผ่านการเข้าสู่ระบบด้วยเหตุผลการใช้งาน ตรวจสอบให้แน่ใจว่ามีนโยบายการสำรองรหัสผ่าน (เช่นซองจดหมายปิดผนึก) เนื่องจากการสูญเสียรหัสผ่านการเข้ารหัสนั้นไม่สามารถกู้คืนได้

หากคุณกังวลเกี่ยวกับการใช้รหัสผ่านซ้ำให้กำหนดรหัสผ่านแบบสุ่ม (ดังนั้นจึงไม่ซ้ำกัน) ซึ่งพวกเขาจะพิมพ์ครั้งเดียวและให้ทุกคนในไคลเอนต์ของพวกเขา มีขั้นตอนง่าย ๆ สำหรับการเปลี่ยนรหัสผ่านที่ถูกบุกรุกแน่นอน

Gilles 'หยุดความชั่วร้าย'
แหล่งที่มา
จุดที่ดีรอบ ๆ ฉันเห็นผู้ใช้หลีกเลี่ยงโปรโตคอลที่เรามีเพื่อทำให้ชีวิตง่ายขึ้น ฉันจะต้องเห็นสิ่งที่ svn เสนอในทางของการรับรองความถูกต้องที่ไม่รบกวนผู้ใช้เช่นการใช้คีย์
Banjer
0

BTW ก่อนที่จะเข้ารหัสอะไรฉันจะดูแลการอนุญาตไฟล์: เพียงตรวจสอบการตั้งค่าของฉันเองจากความอยากรู้และพบว่านี่เป็นโลกที่อ่านง่าย สำหรับไฟล์ที่มีรหัสผ่านที่ชัดเจนดูเหมือนว่าฉันจะเป็นช่องโหว่ความปลอดภัย

user32379
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.