WiFi를 설정하다가 발견한 사실은지도 시간내 비밀번호를 해시하여 일반 텍스트로 저장하지 않습니다(Wi-Fi 액세스에는 사용자 이름/비밀번호를 사용합니다).
network={
ssid="NETWORKNAME"
priority=1
proto=RSN
key_mgmt=WPA-EAP
pairwise=CCMP
auth_alg=OPEN
eap=PEAP
identity="USERNAME"
password=hash:HASH
phase1="peaplabel=0"
phase2="auth=MSCHAPV2"
}
HASH는 어디에 있나요?
echo -n 'YOUR_REAL_PASSWORD' | iconv -t utf16le | openssl md4
Windows 네트워크 설치와 유사한 작업을 수행할 수 있는 방법이 있습니까? 현재 mount -t cifs -o username=USERNAME,password=PASSWD //192.168.1.88/shares /mnt/share마운트된 네트워크 공유를 사용하고 있지만 비밀번호를 일반 텍스트가 아닌 상태로 유지하고 싶습니다. 일반 텍스트를 보호하거나 루트에서만 읽을 수 있도록 설정하는 방법을 알고 있는데 이는 제가 원하는 것이 아닙니다.
WiFi와 유사한 방식으로 cifs 네트워크 공유에 대한 비밀번호를 해시할 수 있습니까?
답변1
아니요, 비밀번호는 숨길 수 없습니다. 귀하의 컴퓨터는 서버에 비밀번호를 제공할 수 있어야 합니다. 즉, 비밀번호를 숨기기 위해 어떤 방법을 사용하든 컴퓨터는 숨겨진 형식을 취하고 이를 해독할 수 있어야 합니다. 당신의 컴퓨터가 그것을 할 수 있다면, 누구의 컴퓨터도 그것을 할 수 있습니다.
EAP의 경우 클라이언트가 비밀번호의 NTML 해시를 제공해야 하기 때문에 표면적으로는 상황이 다릅니다. 그러나 이는 비밀번호가 실제로 사람이 읽을 수 있는 입력이 아닌 해시라는 것을 의미합니다. 따라서 실제로 hash:구성 파일 내에서도 구성 파일에는 일반 텍스트로 된 비밀번호가 포함되어 있습니다.
당신이 읽은 튜토리얼은 매우 오해의 소지가 있습니다. 파일에 EAP 비밀번호를 해싱하면 상당한 보안 이점이 있다는 것을 의미합니다. 실제로 해당 비밀번호를 다른 용도로 사용하지 않으면 전혀 소용이 없습니다. 위에서 본 것처럼 유효한 비밀번호는 해시이기 때문입니다. 동일한 비밀번호가 다른 목적으로도 사용되는 경우(서버에서 해시가 아닌 비밀번호를 요구함) 약간의 이점이 있지만 MD4는 쉽게 무차별 공격을 받을 수 있으므로 제한됩니다.
매번 비밀번호를 입력하고 싶지 않은 경우 가장 좋은 방법은 비밀번호를 비밀번호 관리자에 저장하고 본인만이 비밀번호 관리자에 액세스할 수 있도록 하는 것입니다. 누군가가 귀하의 컴퓨터를 훔칠 경우를 대비하여 디스크에 암호화되어 있는지 확인하십시오(물론 이는 부팅 후 어느 시점에 비밀번호 컨테이너를 해독해야 함을 의미합니다). 그러나 누군가가 귀하의 컴퓨터에 액세스하면 비밀번호를 알게 됩니다. 이를 방지할 방법이 없습니다.
서버 구성에 영향을 미칠 수 있고 보안을 강화하려면 Kerberos 인증 활성화를 고려하십시오. Kerberos 인증을 활성화하면 철저하게 구성할 경우 로그인 암호를 사용하여 네트워크 공유에 액세스할 수 있습니다.