Seite 1 von 1
Passwörter nichtlesbar aufbewahren
Verfasst: Dienstag 10. Oktober 2006, 21:00
von gummibaerchen
Hallo,
ich schreib mir gerade ein kleines Script, was meine Daten vom Server auf einen externen FTP schiebt.
Wie wuerdet ihr jetzt die Login-Daten in das Script einbauen?
Ich meine wenn jetzt jemand in die Datei gucken könnte und die PWs stehen da im Plain-Text wär das ja nicht vorteilhaft, gibts da irgendeine Möglichkeit?
Gruß,
Timm
Verfasst: Dienstag 10. Oktober 2006, 21:06
von murph
am sichersten: auswendig merken.
jedes file kann man irgendwie auslesen,
kannst aber ein file machen, dass du nur als root lesen kannst.
oder du nimmst eines der tollen crypt-tools, die bei google rumfliegen.
oder du tippst (unter linux) , dass die anderen zu blöd sind, die konsole/mc aufzumachen, dann kannst du einen '.' vor deine datei machen, dann ist sie acuh unsichtbar.
oder....
Verfasst: Dienstag 10. Oktober 2006, 21:23
von gummibaerchen
HI,
es geht ja darum, dass der File per Cron läuft... (daher muss das PW auf dem Server sein)
Hmm ansonsten muss wohl ein kompiliertes Skript herhalten.
Kann ich mir einfach das .pyc File ziehen und ausführen, wenn ich lustig bin?
Oder muss ich immer das .py Programm starten?
thx
Verfasst: Dienstag 10. Oktober 2006, 23:22
von birkenfeld
Die .pyc reicht, um das Programm auszuführen.
Allerdings ist es ein leichtes, diese Datei auszulesen und ihren Inhalt zu analysieren, z.B. auch Stringkonstanten wie das Passwort.
Verfasst: Mittwoch 11. Oktober 2006, 07:49
von jens
Das ist doch irgendwie das selbe Thema, wie Passwort geschützte Samba Shared zu mounten. Dabei geht man doch auch nicht hin und packt irgendwo das Passwort im Klartext hin... oder doch?
Verfasst: Mittwoch 11. Oktober 2006, 09:38
von Blattlaus
Ich weiß gerade nicht ob Samba die anmeldung mit einem verschlüsselten Passwort anbietet, schätze aber schon.
Dann könnte man das ganze einfach als Hash (MD5/SHA) speichern und direkt so übergeben. Wobei das natürlich gegen jemanden mit ausdauer und/oder einer Rainbowtable auch nicht nützt.
Das Problem bietet sich übrigens überall wo man Passwörter speichern muss. Das einzige halbwegs praktikable ist es als Hash zu speichern...aber das ist halt auch nicht die goldene Lösung.
Verfasst: Mittwoch 11. Oktober 2006, 14:14
von Y0Gi
Reines FTP überträgt übrigens auch die Authentifizierung im Klartext, von daher ist die Passwortablage nicht das einzige schwache Glied in der Kette.
Verfasst: Mittwoch 11. Oktober 2006, 16:59
von gummibaerchen
Blattlaus hat geschrieben:Ich weiß gerade nicht ob Samba die anmeldung mit einem verschlüsselten Passwort anbietet, schätze aber schon.
Dann könnte man das ganze einfach als Hash (MD5/SHA) speichern und direkt so übergeben. Wobei das natürlich gegen jemanden mit ausdauer und/oder einer Rainbowtable auch nicht nützt.
Aber auch wenn ich nur die SHAsum speicher, kann doch jeder der in das Script guckt, sich den String herraussuchen und das so umbauen, dass zum Beispiel alle Backups auf dem FTP gelöscht werden.
Hmm, also solange man die Möglichkeit in betracht zieht, dass sich jemand auf dem Rechner einhackt, scheint das ja alles unsicher zu sein.
Verfasst: Mittwoch 11. Oktober 2006, 17:51
von Y0Gi
Dann sieh zu, dass sich da niemand "einhackt"...
Verfasst: Mittwoch 11. Oktober 2006, 21:18
von Monk
gummibaerchen hat geschrieben:
Aber auch wenn ich nur die SHAsum speicher, kann doch jeder der in das Script guckt, sich den String herraussuchen und das so umbauen, dass zum Beispiel alle Backups auf dem FTP gelöscht werden.
Hmm, also solange man die Möglichkeit in betracht zieht, dass sich jemand auf dem Rechner einhackt, scheint das ja alles unsicher zu sein.
Das ist alles noch viel schlimmer. Wenn Du FTP benutzt, brauche ich mich gar nicht auf Deinen Rechner einhacken. Ich brauche nur einen Netzwerksniffer und nach "PASS" suchen.
-Monk
Verfasst: Mittwoch 11. Oktober 2006, 21:22
von gummibaerchen
Na, also im c'T Test stand, dass das Hetzner-Netzwerk nicht sniffbar ist
Kannst also nicht lauschen.
Aber vllt schreib ich mal den Support an, ob auch SFTP gehen wuerde...