Necesito extraer algunos datos del almacenamiento de red a una computadora portátil disponible públicamente que ejecuta Linux. El almacenamiento de red solía proporcionarse a través de un servidor que podía conectarse a través de ssh, pero ahora se ha cambiado a un servidor que solo proporciona acceso a través de samba. Solía conectarme desde la computadora portátil al servidor con las claves SSH y encajé la clave en el servidor para ejecutar solo rsync para que sea más difícil para la computadora portátil comprometida (está disponible públicamente después de todo) para limitar el daño (o al menos) menos dificulta) dañar / comprometer el servidor. Probablemente hubiera sido mejor pasar del servidor a la computadora portátil, pero la dirección IP cambia dependiendo de dónde se usa y, con frecuencia, no pude atravesar el firewall en el que se encontraba la computadora portátil (se usa en los hogares de las personas). p>
Le pregunté a IS cómo debería implementar la sincronización de datos en el nuevo sistema. La respuesta fue almacenar mi contraseña en texto sin formato en la computadora portátil disponible públicamente y usarla para montar el recurso compartido de samba. Allí el comentario que hice fue:
Le sugeriría que almacenar una contraseña de texto sin formato en su máquina no sea más "peligroso" que almacenar las dos claves SSH públicas / privadas en el mismo disco. Cualquiera que "busque" su máquina puede registrar las pulsaciones de teclas para aprender las contraseñas en cualquier caso.
Estoy bastante seguro de que este consejo está mal. Trabajo en una universidad y usamos un único inicio de sesión en la configuración del directorio activo. Con la clave SSH, alguien puede obtener acceso a un solo servicio en un solo servidor, mientras que mi contraseña les dará acceso a "todo". ¿Hay alguna manera de montar de forma segura un recurso compartido de samba sin tener disponible mi contraseña? Por ejemplo, tal vez configurando un servidor (virtual) que actúe como un intermediario.
Una segunda pregunta, y decididamente más suave, es si los consejos sobre contraseñas de texto sin formato son tan malos que debo informar a la persona de SI, que está en el equipo de almacenamiento de archivos, a alguien del equipo de seguridad de SI.