我正在研究Perl脚本,它使用Expect通过telnet登录到远程机器(不要问,必须使用telnet)。我还根据需要执行P4登录操作,并使用Expect-to管道输入正确的密码。目前,我只是从明文环境变量(即export PASSWORD=password)中读取密码,我知道这是不明智的安全措施。
对于需要多个系统的大量密码的脚本,存储密码的最佳方法是什么?以某种方式在文本文件中加密?或者别的什么?
请记住,我不能轻易地更改现有系统,例如,我不能真正安装ssh或类似的东西。
您试图防御哪些类型的威胁?在你工作的盒子上,你信任(或不信任)其他用户多少?
我只是开始这个脚本的工作,为了测试的目的,我把它作为纯文本。所以有共享的用户,很多用户共享这个盒子。所以主要是我希望其他用户至少不能随意地读取所有密码。
也许你最好的方法是把密码放在一个单独的文件中,并锁定该文件的安全性,这样只有你有读取权限。不幸的是,如果您在脚本中存储加密的密码,您还必须存储解密方法,这样攻击者就可以运行解密并恢复您的密码。
+1它是唯一合乎逻辑的解决方案,除非您想采用"通过模糊的安全"路径。
@lacqui-您可以在xs中编写(en de)加密代码并编译它,并通过perl与之接口,(为了安全起见)不使用标准的模块分发来分发xs源代码。但即使这样也不完美。
前面有一个非常相似的问题,看我的答案。
简而言之,人类必须摆脱信任链。其他的一切都令人困惑。
如果使用telnet,为什么要担心脚本中的密码?一个假定的攻击者会发现,从网络上捕获数据比从远程机器上捕获更容易,也更容易,而且在任何情况下您都无法对其做任何处理。
这听起来像是一个试图把栅栏放在窗户里,让门摇摆不定的例子。
这是一个很好的观点,我意识到使用telnet是一个坏主意,当然不是我的主意,但并没有在这些方面考虑。你真的是认真的吗?我不在乎?我想我必须关心,因为代码审查等,但有趣的想法,尽管如此。
将原因记录在代码中,推动流程中的更改,并将其记录在代码中。加密密码,然后通过telnet从脚本发送明文,就像用代码写下你的密码,然后在一个满是你不认识的人的房间里大喊大叫。
虽然我同意telnet,但仅仅因为前门的锁坏了并不意味着你就把所有窗户的锁都拆了。当你最后把前门锁修好时会发生什么?
当然有一个平衡。在我看来,这就像是一个有着系统性坏习惯的商店,试图在问题上撒上一点小精灵的灰尘,并称之为"完成"。这就是为什么我提倡记录这些问题,并明确它们之间的相互关系。只有这样你才能修好它们。
为了评估范围,在分段交换网络中读取嗅探密码的问题。这并不简单,所以我认为加密脚本中使用的密码仍然有帮助。我对你的回答投了赞成票,这当然让我想起来了。删除所有的telnet可能是非常昂贵的工作(数百万)。
不过,我应该补充一点,移动到ssh是在这里发生的,并非所有机器都是一夜之间发生的。
我加入了关于telnet是这里最大的问题的讨论。但我认为,当系统不能100%安全时,这种"为什么麻烦"的态度在信息安全领域太普遍了。噩梦般不安全的遗留系统无处不在,它们必须一个问题一个问题地处理。关于窗户/门的比喻,让门敞开并不是不在窗户上加横条的原因。你应该两者兼而有之,但是即使组织或预算的限制使"关门"成为不可能,也没有任何好的理由不关心系统的安全。
另外,对于telnet,如果在某些系统上安装ssh是不可能的,请不要放弃。您至少可以看看明文telnet数据包在网络中的位置。如果你有幸拥有现代交换机和管理它们的人,如果你有幸在一个或两个系统上都有一个额外的以太网卡,那么就把它们放进自己的VLAN中。如果您幸运地拥有一个防火墙或路由器ACL可用,那么就加入第3层和第4层规则限制telnet的来源和去向。
当你使用MacOSX的时候,我发现了从你的钥匙链中获取用户名和密码的好方法。
更新:截至2013年7月22日,链接似乎已断开。下面的bash代码片段显示了我如何使用该技术(下载iTunes销售数据):
domain="itunesconnect.apple.com"
user="user@example.com"
pass=$(security find-internet-password -ws $domain -a $user)
这里的链接断了…
@迪恩看到更新的答案。
既然您已经在使用expect,那么您应该考虑在包含密码的加密文件上重定向gpg-d。在系统环境变量中存储密码显然是错误的。用于解密GPG文件的密码将在开始时输入,然后从文件中加载所有密码并运行您的资料。然后就完成了,所以密码只在应用程序运行时以明文形式存在。
编辑就像旁注一样,在脚本中输入任何密码都是不好的;请记住,脚本只是一个纯文本文件,这使得查看密码变得非常容易。同样地,即使您编译的应用程序也可以使用"字符串"进行反转,该字符串可以查找代码中包含的字符串(通常是密码)。
所以我假设您的意思是"GNU隐私保护",它看起来并不存在于我们的盒子中,就您所知,GPG在hpux和solaris上编译没有问题吗?
我不确定gpg是否有solaris和hpux,但是如果它们是基于*nix的框,那么我确定有一个源。
我喜欢前面提到的将密码放在单独文件中的解决方案。此外,您还可以散列实际密码,就像/etc/passwd中所做的那样。尽管根据应用程序的方式,您可能会对所有的哈希键使用相同的哈希键。显然,这种方法的缺点是,必须有人输入hashkey才能运行脚本,而这在批处理环境中是行不通的。
从这个stackoverflow问题开始学习散列技术
569
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
