|
| password klartekst i script Fra : Rick |
Dato : 09-11-05 15:27 |
|
Hej i gruppen,
Jeg er ved at lave et lille bash script, som skal logge sig på en ftp-server
og uploade en fil og lukke igen.
Det virker også fint nok!
Mit problem er bare at passwordet til ftp står i klartekst i selve filen,
hvilket jeg ikke er så vild med.
Hvad gør man?
Kan man ikke på en eller anden måde kryptere passwordet i en fil og derefter
læse det ind i en variabel?
Jeg har fundet noget, som hedder cruft, som gør dette, men er på jagt efter,
hvad man egentlig normalt gør i sådant et tilfælde. Der er vel mange, som
har brug for sådan noget?
Mvh.
Rick
| |
Max Andersen (09-11-2005)
| Kommentar Fra : Max Andersen |
Dato : 09-11-05 15:31 |
|
Rick wrote:
> Hej i gruppen,
>
> Jeg er ved at lave et lille bash script, som skal logge sig på en ftp-server
> og uploade en fil og lukke igen.
> Det virker også fint nok!
>
> Mit problem er bare at passwordet til ftp står i klartekst i selve filen,
> hvilket jeg ikke er så vild med.
> Hvad gør man?
>
> Kan man ikke på en eller anden måde kryptere passwordet i en fil og derefter
> læse det ind i en variabel?
> Jeg har fundet noget, som hedder cruft, som gør dette, men er på jagt efter,
> hvad man egentlig normalt gør i sådant et tilfælde. Der er vel mange, som
> har brug for sådan noget?
>
Oftest er porblemet at kodeordet bliver sendt over nettet i klartekst
med almindelig ftp. Det med at det ligger i en fil er næsten
uinteressant, da du kan begrænse rettigheder til din fil.
Hvis man har behov for at kryptere kodeord over netværk i ftp, så kan
man bruge sftp.
Med venlig hilsen
Max
| |
Martin Jørgensen (09-11-2005)
| Kommentar Fra : Martin Jørgensen |
Dato : 09-11-05 18:56 |
|
Rick wrote:
> Hej i gruppen,
>
> Jeg er ved at lave et lille bash script, som skal logge sig på en ftp-server
> og uploade en fil og lukke igen.
> Det virker også fint nok!
Kan man ikke lave det med ssh?
Med venlig hilsen / Best regards
Martin Jørgensen
--
---------------------------------------------------------------------------
Home of Martin Jørgensen - http://www.martinjoergensen.dk
| |
Leif Neland (09-11-2005)
| Kommentar Fra : Leif Neland |
Dato : 09-11-05 23:13 |
|
Rick wrote:
> Hej i gruppen,
>
> Jeg er ved at lave et lille bash script, som skal logge sig på en
> ftp-server og uploade en fil og lukke igen.
> Det virker også fint nok!
>
> Mit problem er bare at passwordet til ftp står i klartekst i selve
> filen, hvilket jeg ikke er så vild med.
> Hvad gør man?
>
> Kan man ikke på en eller anden måde kryptere passwordet i en fil og
> derefter læse det ind i en variabel?
> Jeg har fundet noget, som hedder cruft, som gør dette, men er på jagt
> efter, hvad man egentlig normalt gør i sådant et tilfælde. Der er vel
> mange, som har brug for sådan noget?
Den ultimative løsning er at gøre det via ssh/scp, der kan det gøres med
nøgler (public key/private key), og modtagermaskinen kan sættes op til at
det eneste afsendermaskinen med den nøgle kan er at lægge en fil i et
bestemt directory.
Med ftp kan du lægge login/password i en .netrc i brugerens hjemmekatalog.
Denne fil skal så kun være læsbar for ejeren, ellers nægter ftp at bruge
den.
Men så længe dit script kun er læsbart af dig selv og root, så kan du ikke
gøre så meget mere.
Mod root kæmper selv guderne forgæves...
Du kunne selvfølgelig tage sourcen til et ftp-program, og hardcode source,
destination og brugernavn/password, og kryptere teksterne. Og så tage
source-filen med dig, når du har kompileret den.
Så kalder du bare den binære fil "flyt_min_fil_til_webserveren", og der skal
en hacker til at dekompilere eller sniffe.
Leif
| |
Kasper Dupont (11-11-2005)
| Kommentar Fra : Kasper Dupont |
Dato : 11-11-05 18:29 |
|
Rick wrote:
>
> Hej i gruppen,
>
> Jeg er ved at lave et lille bash script, som skal logge sig på en ftp-server
> og uploade en fil og lukke igen.
> Det virker også fint nok!
>
> Mit problem er bare at passwordet til ftp står i klartekst i selve filen,
> hvilket jeg ikke er så vild med.
> Hvad gør man?
Der er mindst tre steder, du skal være bekymret for at passwordet
dukker op. For det første er der netværkskommunikationen. Hvis
forbindelsen går over et netværk, du ikke kan stole 100% på, så
er ftp et forkert valg.
Udover netværket skal man også bekymre sig om kommandolinien. Er
der andre legitime brugere på maskinen kan de se alle de kommandoer,
der udføres af dit script inkl. parametre. Og det gælder altså
uanset om parametrne kommer fra script filen eller en variabel.
Endeligt er der spørgsmålet om hvorvidt du ønsker andre skal have
læseadgang til scriptet. I så fald kunne passwordet jo ligge i en
anden fil, hvor der ikke er læseadgang til.
Hvis dit netværk er pålideligt nok til ftp protokolen, så kan du
lægge dit password i en .netrc fil. Den læser de normale ftp
klienter vist.
Har du brug for noget mere sikkert er der ssh. Vælger du ssh vil
jeg anbefale, at du laver et nøglepar. Har man brug for noget
automatisk afvikling er det nødvendigt, at den hemmelige nøgle
ikke er beskyttet med en passphrase. På serversiden kan du så
lægge begrænsninger på, hvad nøglen må bruges til.
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
|
|