1. casa
  2. Domanda e risposta
  3. msmtp e password dell'account smtp - come offuscare

msmtp e password dell'account smtp - come offuscare

2013-10-08 11 views
7

Ho configurato msmtp con il mio account Gmail. Ovviamente voglio evitare di scrivere la mia password in formato testo normale nel file di configurazione. Fortunatamente msmtp offre l'opzione passwordeval che può essere utilizzata per ottenere la password dall'output di un file eseguibile.msmtp e password dell'account smtp - come offuscare

La domanda è: come dovrei usarlo?

ho trovato here la seguente proposta: passwordeval gpg -d /some/path/to/.msmtp.password.gpg

che non ha molto senso per me: se qualcuno è in grado di accedere al mio file di configurazione egli certamente riesce ad eseguire un tale comando e ottenere la password, gpg.

Quindi credo di essere rimasto con l'unica possibilità di offuscare la password all'interno dell'eseguibile binario anche se ho letto quasi dappertutto che questo è male!

La mia implementazione impossibile da incidere è la seguente: se il processo sendmail è in esecuzione, emettere il pass corretto, altrimenti fornire un passaggio falso.

I vostri suggerimenti? Altri (più sicuri) trucchi diversi dalla memorizzazione del pass nel file binario?

fonte

2013-10-08 Pie86

+1

Il motivo per cui gpg -d funziona è perché richiede la chiave privata della persona a cui è crittografato il file.Quindi, basta mettere quel file crittografato in pubblico è ancora crittografato, una sola persona (quella con la chiave segreta) può decrittografarlo. Si presume che la chiave segreta sia bloccata sulla macchina dell'utente e non trapelata. Presuppone inoltre che non abbiano configurato alcun agente che memorizza nella cache la password di sblocco mentre un hacker ha accesso diretto alla stessa macchina. Tutto ciò è altamente improbabile nel 99% di tutti gli attacchi. – Sukima

+0

Il commento sopra avrebbe dovuto essere una risposta. – asymmetric

risposta

0

Non esiste una soluzione standard su come salvare le credenziali con il vincolo di

  • dover utilizzare le credenziali in testo normale dopo
  • e in maniera non presidiata
  • su un sistema che è non completamente controllato da te (se hai impostato solo i diritti appropriati sui file contenenti i segreti)

Hai diverse soluzioni, nessuna risolve perfettamente il tuo problema :

  • crittografare le credenziali in modo simmetrico: è necessario inserire la chiave per decifrarli
  • crittografare in maniera asimmetrica: è necessario fornire la propria chiave privata, che deve essere memorizzato da qualche parte (approccio non custodito) o digitato
  • Oscurazione: come si parla, questo protegge solo da qualche popolazione
  • get it from somewhere else - è necessario identificare un modo o in un altro sistema

è necessario prendere in considerazione del rischio che è accettabile e andare da lì.

fonte

2015-04-12 18:47:27 WoJ

0

La ragione per cui gpg -d funziona è perché richiede la chiave privata della persona a cui è crittografato il file. Quindi, basta mettere quel file crittografato in pubblico è ancora crittografato, una sola persona (quella con la chiave segreta) può decrittografarlo. Si presume che la chiave segreta sia bloccata sulla macchina dell'utente e non trapelata. Presuppone inoltre che non abbiano configurato alcun agente che memorizza nella cache la password di sblocco mentre un hacker ha accesso diretto alla stessa macchina. Tutto ciò è altamente improbabile nel 99% di tutti gli attacchi. - Sukima Feb 12 '14 alle 5:13

fonte

2017-01-06 23:25:14

Problemi correlati

 Problemi correlati