Autenticación automática segura para compartir samba

Navega tus respuestas
1

Necesito extraer algunos datos del almacenamiento de red a una computadora portátil disponible públicamente que ejecuta Linux. El almacenamiento de red solía proporcionarse a través de un servidor que podía conectarse a través de ssh, pero ahora se ha cambiado a un servidor que solo proporciona acceso a través de samba. Solía conectarme desde la computadora portátil al servidor con las claves SSH y encajé la clave en el servidor para ejecutar solo rsync para que sea más difícil para la computadora portátil comprometida (está disponible públicamente después de todo) para limitar el daño (o al menos) menos dificulta) dañar / comprometer el servidor. Probablemente hubiera sido mejor pasar del servidor a la computadora portátil, pero la dirección IP cambia dependiendo de dónde se usa y, con frecuencia, no pude atravesar el firewall en el que se encontraba la computadora portátil (se usa en los hogares de las personas). p>

Le pregunté a IS cómo debería implementar la sincronización de datos en el nuevo sistema. La respuesta fue almacenar mi contraseña en texto sin formato en la computadora portátil disponible públicamente y usarla para montar el recurso compartido de samba. Allí el comentario que hice fue:

  

Le sugeriría que almacenar una contraseña de texto sin formato en su máquina no sea más "peligroso" que almacenar las dos claves SSH públicas / privadas en el mismo disco. Cualquiera que "busque" su máquina puede registrar las pulsaciones de teclas para aprender las contraseñas en cualquier caso.

Estoy bastante seguro de que este consejo está mal. Trabajo en una universidad y usamos un único inicio de sesión en la configuración del directorio activo. Con la clave SSH, alguien puede obtener acceso a un solo servicio en un solo servidor, mientras que mi contraseña les dará acceso a "todo". ¿Hay alguna manera de montar de forma segura un recurso compartido de samba sin tener disponible mi contraseña? Por ejemplo, tal vez configurando un servidor (virtual) que actúe como un intermediario.

Una segunda pregunta, y decididamente más suave, es si los consejos sobre contraseñas de texto sin formato son tan malos que debo informar a la persona de SI, que está en el equipo de almacenamiento de archivos, a alguien del equipo de seguridad de SI.

    
pregunta StrongBad 31.07.2014 - 13:51
fuente

1 respuesta

3

Son bastante correctos. Si almacena las credenciales en la computadora portátil y el malo lo compromete, el malo obtiene esas credenciales, final de la historia.

Por contra-intuitivo que parezca, el texto sin formato es la forma correcta de almacenar las credenciales en esta configuración. Es sin sentido cifrarlos, ya que la computadora portátil tiene que poder descifrarlos, por lo que debe colocar la clave de descifrado en la computadora portátil y volverá a comenzar, excepto que haya agregado Complejidad sin sentido. (Curiosamente, esta es la razón por la que los sistemas DRM se convierten invariablemente en aceite de serpiente. No importa cómo cifre una película, tiene que darle al usuario final la clave para descifrarla antes de poder verla).

Donde tiene un problema con la nueva configuración es que está proponiendo usar sus credenciales personales para acceder al almacenamiento. Debe tener un conjunto separado de credenciales, solo para este propósito, que están bloqueadas para que solo puedan acceder al recurso compartido específico.

    
respondido por el Graham Hill 31.07.2014 - 14:33
fuente

Lea otras preguntas en las etiquetas

¿Puedo confiar en los detalles proporcionados en el Monitor de recursos? seguridad en la aplicación bancaria con código pin de 4 dígitos y número de seguridad social