Hi!
Ich habe einen Debian-Server auf dem ein Prozess von einem System-User (kein Home, kein Login) ausgeführt wird.
Die zugehörige Config-Datei enthält ein Plain-text-Passwort.
Ich habe die Config-Datei jetzt in /etc/ gepackt und als Owner den System-User gesetzt. Lesen und schreiben der Datei kann nur der System-User. (chmod 0600)
Andere User des Systems können somit nicht das Passwort „nachschlagen“.
Gibt es einen besseren Ort für solch eine Konfigdatei?
(Zusätzlich könnte ich die Datei auf read-only setzten, dann kann auch nur root die Datei ändern.)
Danke schon Mal für eure Tips!
Ist denn das System verschlüsselt oder kann jeder das root-Dateisystem an einem anderen Rechner lesen? Und was taugt das root-Passwort?
Das sind gewissermaßen Vorder- (Passwort) und Hintereingang (Dateisystem) Deines Systems.
das Root-Passwort kennt nur mein Passwortmanager und physischer Zugriff ist nicht möglich.
Ich habe mir schon andere Konfig-Dateien angeschaut. z.B. smb.conf:
die Datei gehört root ist aber world-readable. Ein böswilliger User kann somit in /etc/samba/smb.conf nachschauen welcher User welche SmB-Freigaben besitzt, etc. (eigentlich ja aucj nicht optimal?)
der Rechner befindet sich in einem speziellen Tresor?
m.W. steht da u.a nur welche Shares angeboten werden, keine dazu passenden Passwörter. Die einzige Stelle an der ich in der Dokumentation von smb.conf ein Passwort sehe ist https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html#:~:text=ldapsam:editposix. Die hat mit Shares nichts zu tun, ist nach meinem Verständnis nur für Domain Controller (DC) relevant, und auf einen DC sollte man normale Benutzer sowieso nicht lassen, auch nicht remote über Shares (ein DC soll auch keine Shares außer sysvol und netlogon anbieten).
Kannst Du die Stelle/Funktion angeben, bei der Du in smb.conf Passwörter gesehen hast?
Taugt also zum Vergleich nicht wirklich. Oder allenfalls wenn Du sagst, bei mir kann sich auch niemand sonst anmelden.