Arch Linux

Sicherheit bei in bash-Scripten gespeicherten Passwörtern

Noeden

Hallo Leute,

habe gerade mal wieder angefangen mit dem Vim. Da ich Webentwickler bin muss ich auch über FTP Dateien bearbeiten, auch von verschiedenen Servern. Meine Wahl (gerne Verbesserungsvorschläge) war jetzt curlftpfs und dann in dem gemounteten Ordner vim benutzen.

Ich hab mir jetzt gedacht, ich lege einen Ordner für jeden Server an (so a la /mnt/ftp/server1 und /mnt/ftp/server2 ...). Jeder Server bekommt dann auch noch ein Bashscript (wären dann meine ersten, jemand ein gutes Tutorial?). Dann führe ich das Script mit dem Parameter -on aus um den Server im entsprechenden Ordner zu mounten. (Muss ja auch auf verschiedenen Servern parallel arbeiten können)

Die Nebenfrage ist, ist das so praktikabel und möglich?

Die Hauptfrage: Ist das nicht ein wenig unsicher, ich müsste den in den Skripten ja die Passwörter plain speichern? Habt ihr Ideen es besser zu lösen?

Danke Nöden

Apollo Costa

Wenn es nur um das mounten geht. Sollte ein Eintrag in /etc/fstab deutlich einfacher sein.

Noeden

Aber würde das nicht bedeuten, dass alle immer automatisch gemountet werden? Wusste gar nicht, dass man in der fstab auch ftp mounten kann, cool danke. Aber würde das Passwort dort nicht auch plain drinstehen?
Wie sieht es da mit Zugriffen von außen aus, dann muss ich mir da auch mal ernsthafte Gedanken zu machen oder?

Danke

PS Ich versuche mal hier die Ingrid zu machen, ich stell das Thema aber erst auf gelöst, wenn das ein "Profi" so bestätigt hat.

Ich kann in der fstab so mounten:
curlftpfs#ftp-server.de /mnt/ftp fuse allow_other,rw,user,noauto 0 0

wenn in der ~/.netrc die Logindaten hinterlegt sind. (chmod 600)

Danke

PPS: Soo ich hab das jetzt so gemacht. Die .netrc liegt in /root und gehört auch root. Jetzt kann ich aber trotz der option "user" in der fstab nur als root mounten (liegt das an den Zugangsdaten die bei root liegen?). Das ist auch der Fall, wenn in der ~/.netrc die Zugangsdaten auch hinterlegt sind. Wenn man das noch ändern könnte wäre das der Oberhammer aber so ist es schon geil. Vielen vielen Dank!

Kinch

Noeden schrieb Die Hauptfrage: Ist das nicht ein wenig unsicher, ich müsste den in den Skripten ja die Passwörter plain speichern? Habt ihr Ideen es besser zu lösen?

FTP ist per se unsicher, wenn man es nicht per SSL oder SSH absichert. DIe Passwörter werden so oder so plain übers Netz getragen.

Im Allgemeinen würde ich nicht sagen, dass eine ~/.netrc ein Sicherheitsrisiko darstellt, sofern die Festplatte verschlüsselt ist.

Die .netrc liegt in /root und gehört auch root. Jetzt kann ich aber trotz der option "user" in der fstab nur als root mounten (liegt das an den Zugangsdaten die bei root liegen?).

Ich nehme mal stark an, curlftp nimmt die netrc die zum User passt und nicht irgendeine.

Das ist auch der Fall, wenn in der ~/.netrc die Zugangsdaten auch hinterlegt sind.

Die fstab-Zeile (ohne Password, Host, etc pp natürlich) und die Fehlermeldung wären schon nützlich.

Noeden

Na klar,

sorry:

Erstmal die Zugriffsmöglichkeiten auf die ~/.netrc

13898107 4,0K -rw------- 1 noeden abs 120 31. Mär 23:37 .netrc

Dann der Inhalt der ~/.netrc

machine ANDERER-FTPSERVER.tld login ANDERER-USER password ANDERES-PASSWORD
machine FTPSERVER.tld login USER password PASSWORD

Und jetzt noch die fstab, ich hoffe ich hab dann alles

#
# /etc/fstab: static file system information
#
# <file system> <dir> <type> <options> <dump> <pass>
tmpfs /tmp tmpfs nodev,nosuid 0 0
/dev/sda4 /home ext3 defaults 0 1
LABEL=boot /boot ext2 defaults 0 1
LABEL=root / ext3 defaults 0 1
LABEL=swap swap swap defaults 0 0
curlftpfs#FTPSERVER.tld /mnt/ftp/myftp fuse allow_other,rw,user,noauto 0 0

Wenn ich ohne sudo mounte, dann passiert einfach nichts und wenn ich mit mounte, dann habe ich danach auch Zugriff auf den Server.

Zu den Sicherheitsfragen: Wie unbedarft manche Leute, also ich, doch sind. Ist es denn schwierig andere Leute "abzuhören"? Sodass man einfach mein Passwort mitlesen kann, weil man da gerade mal Bock drauf hat?
Ist das bei sftp schon nicht mehr so?

Und ich glaube meine Festplatte ist nicht verschlüsselt, ich hab mich zumindest nicht drum gekümmert. Muss ich mir heute mal was zu durchlesen. Wenn jemand n guten Tipp hat immer her damit.

Danke
Noesen