Passwörter nichtlesbar aufbewahren

Wenn du dir nicht sicher bist, in welchem der anderen Foren du die Frage stellen sollst, dann bist du hier im Forum für allgemeine Fragen sicher richtig.
gummibaerchen
User
Beiträge: 51
Registriert: Samstag 7. Oktober 2006, 15:13

Passwörter nichtlesbar aufbewahren

Beitragvon gummibaerchen » Dienstag 10. Oktober 2006, 21:00

Hallo,

ich schreib mir gerade ein kleines Script, was meine Daten vom Server auf einen externen FTP schiebt.

Wie wuerdet ihr jetzt die Login-Daten in das Script einbauen?

Ich meine wenn jetzt jemand in die Datei gucken könnte und die PWs stehen da im Plain-Text wär das ja nicht vorteilhaft, gibts da irgendeine Möglichkeit?

Gruß,
Timm
murph
User
Beiträge: 622
Registriert: Freitag 14. April 2006, 19:23
Kontaktdaten:

Beitragvon murph » Dienstag 10. Oktober 2006, 21:06

am sichersten: auswendig merken.
jedes file kann man irgendwie auslesen,
kannst aber ein file machen, dass du nur als root lesen kannst.
oder du nimmst eines der tollen crypt-tools, die bei google rumfliegen.
oder du tippst (unter linux) , dass die anderen zu blöd sind, die konsole/mc aufzumachen, dann kannst du einen '.' vor deine datei machen, dann ist sie acuh unsichtbar.
oder....
gummibaerchen
User
Beiträge: 51
Registriert: Samstag 7. Oktober 2006, 15:13

Beitragvon gummibaerchen » Dienstag 10. Oktober 2006, 21:23

HI,

es geht ja darum, dass der File per Cron läuft... (daher muss das PW auf dem Server sein)

Hmm ansonsten muss wohl ein kompiliertes Skript herhalten.

Kann ich mir einfach das .pyc File ziehen und ausführen, wenn ich lustig bin?

Oder muss ich immer das .py Programm starten?

thx
Benutzeravatar
birkenfeld
Python-Forum Veteran
Beiträge: 1603
Registriert: Montag 20. März 2006, 15:29
Wohnort: Die aufstrebende Universitätsstadt bei München

Beitragvon birkenfeld » Dienstag 10. Oktober 2006, 23:22

Die .pyc reicht, um das Programm auszuführen.

Allerdings ist es ein leichtes, diese Datei auszulesen und ihren Inhalt zu analysieren, z.B. auch Stringkonstanten wie das Passwort.
Benutzeravatar
jens
Moderator
Beiträge: 8458
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Beitragvon jens » Mittwoch 11. Oktober 2006, 07:49

Das ist doch irgendwie das selbe Thema, wie Passwort geschützte Samba Shared zu mounten. Dabei geht man doch auch nicht hin und packt irgendwo das Passwort im Klartext hin... oder doch?

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Benutzeravatar
Blattlaus
User
Beiträge: 55
Registriert: Donnerstag 24. August 2006, 08:55

Beitragvon Blattlaus » Mittwoch 11. Oktober 2006, 09:38

Ich weiß gerade nicht ob Samba die anmeldung mit einem verschlüsselten Passwort anbietet, schätze aber schon.
Dann könnte man das ganze einfach als Hash (MD5/SHA) speichern und direkt so übergeben. Wobei das natürlich gegen jemanden mit ausdauer und/oder einer Rainbowtable auch nicht nützt.

Das Problem bietet sich übrigens überall wo man Passwörter speichern muss. Das einzige halbwegs praktikable ist es als Hash zu speichern...aber das ist halt auch nicht die goldene Lösung.
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

Beitragvon Y0Gi » Mittwoch 11. Oktober 2006, 14:14

Reines FTP überträgt übrigens auch die Authentifizierung im Klartext, von daher ist die Passwortablage nicht das einzige schwache Glied in der Kette.
gummibaerchen
User
Beiträge: 51
Registriert: Samstag 7. Oktober 2006, 15:13

Beitragvon gummibaerchen » Mittwoch 11. Oktober 2006, 16:59

Blattlaus hat geschrieben:Ich weiß gerade nicht ob Samba die anmeldung mit einem verschlüsselten Passwort anbietet, schätze aber schon.
Dann könnte man das ganze einfach als Hash (MD5/SHA) speichern und direkt so übergeben. Wobei das natürlich gegen jemanden mit ausdauer und/oder einer Rainbowtable auch nicht nützt.


Aber auch wenn ich nur die SHAsum speicher, kann doch jeder der in das Script guckt, sich den String herraussuchen und das so umbauen, dass zum Beispiel alle Backups auf dem FTP gelöscht werden.

Hmm, also solange man die Möglichkeit in betracht zieht, dass sich jemand auf dem Rechner einhackt, scheint das ja alles unsicher zu sein.
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

Beitragvon Y0Gi » Mittwoch 11. Oktober 2006, 17:51

Dann sieh zu, dass sich da niemand "einhackt"...
Monk
User
Beiträge: 16
Registriert: Montag 28. August 2006, 11:27

Beitragvon Monk » Mittwoch 11. Oktober 2006, 21:18

gummibaerchen hat geschrieben:Aber auch wenn ich nur die SHAsum speicher, kann doch jeder der in das Script guckt, sich den String herraussuchen und das so umbauen, dass zum Beispiel alle Backups auf dem FTP gelöscht werden.

Hmm, also solange man die Möglichkeit in betracht zieht, dass sich jemand auf dem Rechner einhackt, scheint das ja alles unsicher zu sein.


Das ist alles noch viel schlimmer. Wenn Du FTP benutzt, brauche ich mich gar nicht auf Deinen Rechner einhacken. Ich brauche nur einen Netzwerksniffer und nach "PASS" suchen.

-Monk
gummibaerchen
User
Beiträge: 51
Registriert: Samstag 7. Oktober 2006, 15:13

Beitragvon gummibaerchen » Mittwoch 11. Oktober 2006, 21:22

Na, also im c'T Test stand, dass das Hetzner-Netzwerk nicht sniffbar ist :)

Kannst also nicht lauschen.

Aber vllt schreib ich mal den Support an, ob auch SFTP gehen wuerde...

Wer ist online?

Mitglieder in diesem Forum: Google [Bot]