8

Gmail アカウントでmsmtpを構成しました。明らかに、構成ファイルにパスワードをプレーンテキスト形式で書き込むことは避けたいと考えています。幸いなことに、msmtp はpasswordeval、実行可能ファイルの出力からパスワードを取得するために使用できるオプションを提供します。

問題は、どのように使用すればよいですか?

ここで次の提案 を見つけました。passwordeval gpg -d /some/path/to/.msmtp.password.gpg

それは私にはあまり意味がありません.誰かが私の設定ファイルにアクセスできれば、そのようなコマンドを実行してgpgからパスワードを取得することができます.

したがって、バイナリ実行可能ファイル内のパスワードを難読化する唯一のオプションが残っていると思いますが、これは悪いことだとほとんどどこでも読んだとしても!

私のハッキング不可能な実装は次のとおりです。 sendmail プロセスが実行されている場合は正しいパスを出力し、そうでない場合は偽のパスを出力します。

あなたの提案は?パスをバイナリ ファイルに保存する以外の (より安全な) トリックはありますか?

4

2 に答える 2

2

スキマさんのコメントより

gpg -d が機能する理由は、ファイルの暗号化先の個人の秘密鍵が必要だからです。したがって、その暗号化されたファイルを公開するだけで、暗号化されたままの状態で、1 人 (秘密鍵を持っている人) だけがそれを復号化できます。秘密鍵はユーザーのマシンにロックされており、漏洩していないと想定されています。また、ハッカーが同じマシンに直接アクセスしている間、ロック解除パスワードをキャッシュするエージェントをセットアップしていないことも前提としています。すべての攻撃の 99% で、これらすべてが発生する可能性は非常に低いです。

于 2017-01-06T23:25:14.347 に答える
0

の制約で資格情報を保存する方法に関する標準的な解決策はありません

  • 後でプレーンテキストで資格情報を使用する必要がある
  • そして無人で
  • あなたによって完全に制御されていないシステム上 (秘密を保持しているファイルに適切な権限を設定しただけの場合)

いくつかの解決策がありますが、問題を完全に解決するものはありません:

  • 対称的な方法で資格情報を暗号化します。暗号化を解除するにはキーを入力する必要があります
  • 非対称的な方法で暗号化する: 秘密鍵を提供する必要があります。秘密鍵はどこかに保存するか (無人アプローチ)、キーを入力する必要があります。
  • 難読化:あなたが言及したように、これは一部の人口からのみ保護します
  • 他の場所から取得します-システムの方法を特定する必要があります

どのリスクが許容できるかを考慮し、そこから進む必要があります。

于 2015-04-12T18:47:27.223 に答える