사용자 이름과 비밀번호로 일반 텍스트 자격 증명 파일을 어떻게 보호합니까? 증명 파일에 사용자

자동 마운트 네트워크 드라이브를 설정하려고합니다. 네트워크 드라이브에는 사용자 / 패스가 필요합니다. “mount.cifs”매뉴얼 페이지에는 사용자 / 패스를 제공하는 두 가지 방법이 있습니다.

  1. [권장하지 않음] / etc / fstab에 사용자 / 패스를 입력하십시오
  2. 별도의 자격 증명 파일을 만들고 자격 증명 파일에 사용자 / 패스를 넣습니다.

“/ etc / fstab과 같은 공유 파일에 일반 텍스트로 암호를 사용하는 것보다 [옵션 2]를 사용하는 것이 좋습니다. 자격 증명 파일을 올바르게 보호하십시오.

  • 저의 배경은 소프트웨어 개발자, 많은 Linux 소프트웨어 개발 (개발 라이브러리 설치, Eclipse 또는 Java와 같은 응용 프로그램 설치)입니다. 저는 IT 또는 시스템 관리자가 아닙니다.
  • 이것은 내 자신의 개발 시스템에 있습니다

IT / sysadmin 배경이 부족하면 “신임 정보 파일을 올바르게 보호”하기 위해 제안 된 표준 방법은 무엇입니까?

(자격 증명 파일을 보호하는 여러 방법이 있다면 가장 일반적인 순서대로 나열하고 트레이드 오프를 설명하십시오.)



답변

인용 한 맨 페이지 스 니펫은 표준 파일 소유권 및 권한이 제공 하는 기본 보안 수준을 나타내는 것 같습니다 . 구성 파일 /etc/fstab은 시스템의 모든 사용자가 읽을 수 있습니다. 민감한 정보를 저장하기에 안전한 장소는 소유자 만 읽을 수있는 권한이있는 파일입니다. 귀하의 경우 사용자는 root 일 것 입니다.

파일을 /etc/넣고 이름을 지정 한다고 가정 합니다 cifs-cred(루트로 작성 및 편집). 그런 다음 사용합니다

chmod 600 /etc/cifs-cred

그러면 소유자 ( root 여야 함 ) 만 내용에 액세스 할 수 있습니다. 그렇지 않으면 이러한 설정으로 인해 시스템 설정이 올바르게 작동하지 않으면 일부 특수 시스템 사용자가 파일에 액세스 할 수 있어야합니다. 이 경우 시도해야 할 수도 있습니다

chmod 660 /etc/cifs-cred

또는 같은

chown root:wheel /etc/cifs-cred
chmod 660 /etc/cifs-cred

-시스템의 * nix 특징과 시스템 데몬 구성에 따라.


그 외에 시스템이 손상 될 위험이있는 경우 암호화되지 않은 암호를 절대 신뢰해서는 안됩니다. 파일 권한에만 의존하는 것은 순진합니다. 파일 내용은 사소한 보안 침해에 대해서만 보호됩니다.


답변

마운트 사용자에 대한 유닉스 권한 만 rw로 설정하십시오.

cat > ~/cifs.credentials <<EOC
user=UserName
pass=PassWord
EOC
chmod 0600 ~/cifs.credentials

다른 모든 사용자는 chmod 명령 후에이 파일에 액세스 할 수 없습니다


답변