Windowsと比較したプレーンテキストパスワードとアプリケーション認証

Windowsと比較したプレーンテキストパスワードとアプリケーション認証

私はLinuxについて学びたいWindowsユーザーです。これは最近、Raspberry Piプロジェクトの人々をフォローすることを意味します。

一部のアプリケーションでは、そのユーザーとしてコンテンツにアクセスするには、そのプロファイルにユーザー名とパスワードを入力する必要があることを発見しました。 Samba/CiFS/NTFS-3g と Deluge がその例です。

Windowsでは、サービス(デーモンとも呼ばれる)などの項目を次に見つけることができます。地元の システムアカウント(他のリンク)または他のさまざまなアカウント。

プレーンテキストのパスワードをテキストファイルに入れることは、奇妙で本質的に安全ではないようです。しかし、私はいつもLinuxがWindowsよりも安全であると言っています。

Linux / Raspbianで任意のアプリケーションに資格情報を安全に渡す方法は?セキュリティモデルが異なるので、他の方法で軽減できますか?静的パスワードに入力したプログラムをどのように追跡(または更新)しますか?

私は「キーホルダー」を探していますか?何かを説明するここで。

この問題似ていますが、オペレーティングシステムについて尋ねることはアプリケーションを意味します。

答え1

ここに問題があります。これは、アプリケーションの動作または開発方法に基づいています。通常そこで止まります。これらの問題に対してLinux(またはこの場合はUNIXに似たオペレーティングシステム)を非難することはできません。パスワードがプレーンテキストであるか、sha256などでハッシュされる可能性があると言うアプリがいくつかあります。これは一般的に互換性の理由で発生し、後で設定に関するその他の内容を学ぶときに発生します。

あなたは暗号化されたパスワードを持つことができるか、またはパスワードを持つ「ストア」を持つことができると思う状況の良い例であるSambaに言及しました。 Sambaの場合はそうではありません。 Sambaの状況は、クライアントがサーバーまたはワークステーション共有と通信するときにパスワードをプレーンテキストで送信する必要があることです。 CIFSデーモンとSambaサーバーの両方で暗号化されたパスワード交換を実行できます。接続が暗号化されている場合、その点では「OK」です。最新バージョンのSMBプロトコルは暗号化された接続を可能にします。

ただし、資格情報を持つファイル(構成ファイルなど)にはかなり低い権限(600など)が必要です。起動時に常に存在し、/ etc / fstabに配置する必要があるSambaマウントは、「資格情報」ファイルを指すことがあります。プレーンテキストになっていますが、/root に配置できるため、どのユーザーも表示できません。 /root は 700 なので、管理者のみが可能です。

しかし、やはり…インストールしたり設定しているアプリによって異なります。 OpenLDAPを例にしてみましょう。ディレクトリマネージャのパスワードを設定するときは、slappasswdを使用する必要があります。構成に使用する{SSHA}文字列を生成します。権限のないユーザーは構成ファイルを表示できません。 /etc/openldap/slapd.d は 750 で、ツリー内のファイルは 600 です。

キーリングは、現在使用しているデスクトップ環境に応じて非常に具体的です。たとえば、GNOMEにはGNOME Keyringがあり、KDEにはKWalletがあります。

「セキュリティ」は、ファイルシステム権限、SELinux(該当する場合)、ファイアウォール機能、chroot脱獄(特定のアプリケーションの場合はバインドの例)、アプリケーションのセキュリティ、tcpラッパーなど、さまざまな要素に帰結します。

関連情報