mutt使用時に暗号化されたパスワードを保存する

mutt使用時に暗号化されたパスワードを保存する

次のリンクをクリックしました。 Mutt:パスワードを安全に保存する方法は?

私は何を見逃しているのか分かりませんが、必要な方法で動作しません。私が注目したのはこれです。

シェルプロンプトに行ってmuttと入力すると、パスワードを入力するように求められます。パスワードを入力すると、メールクライアントがポップアップし、問題なく電子メールを送受信できます。閉じて再度実行するとパスワードを要求されませんが、完全に閉じてsshでサーバーに再度接続してmuttと入力するとパスワードを要求します。

私が達成したいのは、cronjobを実行するときに問題が発生せず、パスワードを求めるメッセージが表示されないようにパスワードを暗号化することです。誰でも私が動作するのを助けることができますか?

答え1

セキュリティレベルの異なるオプションがいくつかあるので、最善の決定を下すためにいくつかのオプションを概説します。自動復号化のためには、パスワードをどこか(ディスク、メモリ、または他のシステム)に保存する必要があります。一般的に、次の点を考慮する価値があります。

  • 誰がマシンにアクセスできますか?
  • 公的にアクセスできますか?それとも公的にアクセスできるサービスをホストしていますか?

オプション1:暗号化されていない電子メールパスワードをmuttrcファイルに保存します。

muttrcへの読み取りアクセスをcronを実行しているユーザーに制限し、デフォルトのファイルシステムを暗号化します。 Gmailを使用しているのでアプリケーションパスワードの生成脅威を受けると回転/キャンセルできます。これはおそらく問題を解決する最も簡単な方法です。

このソリューションの欠点は、rootユーザーまたはsudo権限を持つすべての人がこのファイルにアクセスできることです。sudoこの可能性を減らすためにパスワードを要求するように設定できます。

オプション2:暗号化されていないgpgパスワードをファイルに保存します。

このオプションを使用すると、gpgを非対話式に実行するようにmuttを設定できます。 muttパスワードとgpgパスワードファイルへの読み取りアクセスは制限する必要があります。また、物理アクセスを防ぐために、基本ファイルシステムを暗号化する必要があります。これは、暗号化されていないパスワードをmuttrcに保存するためのあいまいさを追加するだけです。同じ欠点があり、この解決策も同様に安全であると見なされます。

非対話型ユーザーにgpgを実行させるには、次のようにgpgコマンドを実行する必要があります。

  • --batch対話型モードの無効化
  • --passphrase-fileGPG秘密鍵のパスワードを提供
  • --pinentry-mode loopbackpinentryクエリを呼び出し元にリダイレクトします。

したがって、mutttrcでは:

source "/usr/local/bin/gpg -d --batch --passphrase-file=$HOME/.passFile.txt --pinentry-mode loopback $HOME/.mutt/passwords.gpg |"

オプション3:秘密管理サービスをご利用ください。

この分野には実際の基準はなく、次のものがあります。このスペースにはさまざまなオプションがあります。秘密管理サービスは、秘密を一元管理し、大規模な秘密アクセスの監査と制御を提供します。長所と短所は、展開と実装によって異なります。この分野について詳しくは、主にコメントに基づいています。

また、これはもう一つの質問です。これは役に立つ可能性のある問題の分野です。

関連情報