Назад | Перейти на главную страницу

Как безопасно хранить пароли прокси в общесистемных файлах конфигурации Linux?

Я работаю над виртуальной машиной в университетской среде, где несколько других пользователей также имеют root-доступ. Возьмите файл конфигурации, например /etc/rhsm/rhsm.conf:

proxy_hostname =
proxy_port =
proxy_user =
proxy_password =

Теперь прокси-сервер университета требует имени пользователя и пароля. Но я действительно не хочу хранить свое личное имя пользователя и пароль в файле, который другие (хотя и заслуживающие доверия) системные администраторы могут и будут читать. Есть решение?

В случае Git мы можем хранить свои пароли в наших локальных каталогах. (Если подумать, это технически небезопасно, поскольку любой может прочитать любой каталог, но, по крайней мере, другие системные администраторы случайно не натолкнутся на пароль, не найдя его.)

Однозначного ответа на это нет. Пользователь root имеет полный доступ к серверу. Есть такие инструменты, как SELinux, которые могут усложнить задачу другим администраторам, но не невозможно.

В основном есть три варианта:

  • немного запутать его, спрятав пароль где-нибудь в вашем каталоге. Т.е. запустите свой собственный прокси-сервер с конфигурацией в ~ / скучно / работа / вещи / полностью / несвязанный / с / proxy / password.cfg, как предложил Стив. Или убедите прокси-сервер попросить программу получить пароль (или файл конфигурации) из некоторого двоичного файла, который попытается проверить, отправляет ли он пароль процессу прокси. Или скомпилируйте двоичный файл прокси с жестко заданным паролем. Есть много возможностей, но все они - безопасность через неизвестность.
  • Сохраните пароль где-нибудь, где вы единственный администратор или единственный владелец (какой-нибудь другой сервер, флэш-накопитель и т. Д.), И попытайтесь убедить прокси-сервер получить пароль как-нибудь из этого места.
  • Попросите другой пароль, который не нужно защищать от других администраторов.

Первый вариант будет хорош, если вы «доверяете» другим администраторам и просто хотите защитить пароль от случайного доступа. Второй - «правильный безопасный» способ. И третий - путь «правильного предприятия».

Но есть еще одна вещь, о которой вам следует подумать. Как только пароль загружен в прокси, злоумышленник может попытаться получить его из прокси. Поскольку это может показаться не такой уж большой проблемой, если в процессе аутентификации родительского прокси-сервера используются пароли в виде открытого текста, это может быть очень просто. И даже это могло произойти случайно, если некоторые другие администраторы проанализировали сетевой трафик по уважительной причине.