Passwörter nichtlesbar aufbewahren

[gummibaerchen]

Hallo,

ich schreib mir gerade ein kleines Script, was meine Daten vom Server auf einen externen FTP schiebt.

Wie wuerdet ihr jetzt die Login-Daten in das Script einbauen?

Ich meine wenn jetzt jemand in die Datei gucken könnte und die PWs stehen da im Plain-Text wär das ja nicht vorteilhaft, gibts da irgendeine Möglichkeit?

Gruß,
Timm

[murph]

am sichersten: auswendig merken.
jedes file kann man irgendwie auslesen,
kannst aber ein file machen, dass du nur als root lesen kannst.
oder du nimmst eines der tollen crypt-tools, die bei google rumfliegen.
oder du tippst (unter linux) , dass die anderen zu blöd sind, die konsole/mc aufzumachen, dann kannst du einen '.' vor deine datei machen, dann ist sie acuh unsichtbar.
oder....

[gummibaerchen]

HI,

es geht ja darum, dass der File per Cron läuft... (daher muss das PW auf dem Server sein)

Hmm ansonsten muss wohl ein kompiliertes Skript herhalten.

Kann ich mir einfach das .pyc File ziehen und ausführen, wenn ich lustig bin?

Oder muss ich immer das .py Programm starten?

thx

[birkenfeld]

Die .pyc reicht, um das Programm auszuführen.

Allerdings ist es ein leichtes, diese Datei auszulesen und ihren Inhalt zu analysieren, z.B. auch Stringkonstanten wie das Passwort.

[jens]

Das ist doch irgendwie das selbe Thema, wie Passwort geschützte Samba Shared zu mounten. Dabei geht man doch auch nicht hin und packt irgendwo das Passwort im Klartext hin... oder doch?

[Blattlaus]

Ich weiß gerade nicht ob Samba die anmeldung mit einem verschlüsselten Passwort anbietet, schätze aber schon.
Dann könnte man das ganze einfach als Hash (MD5/SHA) speichern und direkt so übergeben. Wobei das natürlich gegen jemanden mit ausdauer und/oder einer Rainbowtable auch nicht nützt.

Das Problem bietet sich übrigens überall wo man Passwörter speichern muss. Das einzige halbwegs praktikable ist es als Hash zu speichern...aber das ist halt auch nicht die goldene Lösung.

[Y0Gi]

Reines FTP überträgt übrigens auch die Authentifizierung im Klartext, von daher ist die Passwortablage nicht das einzige schwache Glied in der Kette.

[gummibaerchen]

Ich weiß gerade nicht ob Samba die anmeldung mit einem verschlüsselten Passwort anbietet, schätze aber schon.
Dann könnte man das ganze einfach als Hash (MD5/SHA) speichern und direkt so übergeben. Wobei das natürlich gegen jemanden mit ausdauer und/oder einer Rainbowtable auch nicht nützt.

Aber auch wenn ich nur die SHAsum speicher, kann doch jeder der in das Script guckt, sich den String herraussuchen und das so umbauen, dass zum Beispiel alle Backups auf dem FTP gelöscht werden.

Hmm, also solange man die Möglichkeit in betracht zieht, dass sich jemand auf dem Rechner einhackt, scheint das ja alles unsicher zu sein.

[Y0Gi]

Dann sieh zu, dass sich da niemand "einhackt"...

[Monk]

Aber auch wenn ich nur die SHAsum speicher, kann doch jeder der in das Script guckt, sich den String herraussuchen und das so umbauen, dass zum Beispiel alle Backups auf dem FTP gelöscht werden.

Hmm, also solange man die Möglichkeit in betracht zieht, dass sich jemand auf dem Rechner einhackt, scheint das ja alles unsicher zu sein.

Das ist alles noch viel schlimmer. Wenn Du FTP benutzt, brauche ich mich gar nicht auf Deinen Rechner einhacken. Ich brauche nur einen Netzwerksniffer und nach "PASS" suchen.

-Monk

[gummibaerchen]

Na, also im c'T Test stand, dass das Hetzner-Netzwerk nicht sniffbar ist

Kannst also nicht lauschen.

Aber vllt schreib ich mal den Support an, ob auch SFTP gehen wuerde...