다음 링크를 클릭했습니다. Mutt: 비밀번호를 안전하게 저장하는 방법은 무엇입니까?
내가 무엇을 놓치고 있는지 잘 모르겠지만 필요한 방식으로 작동하지 않습니다. 내가 주목한 건 바로 이것이다.
쉘 프롬프트로 가서 mutt를 입력하면 비밀번호를 입력하라는 화면이 나타납니다. 비밀번호를 입력하면 메일 클라이언트가 팝업되어 문제 없이 이메일을 보내고 받을 수 있습니다. 닫았다가 다시 실행하면 비밀번호를 묻지 않지만, 완전히 닫고 ssh로 다시 서버에 접속해서 mutt를 입력하면 비밀번호를 묻습니다.
내가 달성하려는 것은 cronjob을 실행할 때 문제가 발생하지 않고 비밀번호를 묻는 메시지가 표시되지 않도록 비밀번호를 암호화하는 것입니다. 누구든지 내가 작동하도록 도와줄 수 있나요?
답변1
보안 수준이 다양한 여러 가지 옵션이 있으므로 최선의 결정을 내릴 수 있도록 몇 가지 옵션을 개략적으로 설명하겠습니다. 자동 암호 해독을 위해서는 비밀번호를 어딘가(디스크, 메모리 또는 다른 시스템)에 저장해야 합니다. 일반적으로 다음 사항을 고려해 볼 가치가 있습니다.
- 누가 기계에 접근할 수 있나요?
- 공개적으로 액세스할 수 있나요? 아니면 공개적으로 액세스할 수 있는 서비스를 호스팅하나요?
옵션 1:암호화되지 않은 이메일 비밀번호를 muttrc 파일에 저장하세요.
muttrc에 대한 읽기 액세스를 cron을 실행하는 사용자로 제한하고 기본 파일 시스템을 암호화합니다. Gmail을 사용하고 계시기 때문에애플리케이션 비밀번호 생성위협을 받으면 회전/취소할 수 있습니다. 이것이 아마도 문제를 해결하는 가장 쉬운 방법일 것입니다.
이 솔루션의 단점은 root사용자 또는 sudo권한이 있는 모든 사람이 이 파일에 액세스할 수 있다는 것입니다. sudo이러한 가능성을 줄이기 위해 비밀번호를 요구하도록 구성할 수 있습니다 .
옵션 2:암호화되지 않은 gpg 비밀번호를 파일에 저장합니다.
이 옵션을 사용하면 gpg를 비대화식으로 실행하도록 mutt를 구성할 수 있습니다. mutt 비밀번호 및 gpg 비밀번호 파일에 대한 읽기 액세스는 제한되어야 합니다. 또한 물리적 액세스를 방지하려면 기본 파일 시스템을 암호화해야 합니다. 이는 암호화되지 않은 비밀번호를 muttrc에 저장하는 데 있어 모호함을 더할 뿐입니다. 동일한 단점이 존재하며 이 솔루션도 마찬가지로 안전한 것으로 간주됩니다.
비대화형 사용자가 gpg를 실행하도록 하려면 다음을 사용하여 gpg 명령을 실행해야 합니다.
--batch대화형 모드 비활성화--passphrase-fileGPG 개인 키에 대한 비밀번호 제공--pinentry-mode loopbackpinentry 쿼리를 호출자에게 다시 리디렉션합니다.
따라서 mutttrc에서:
source "/usr/local/bin/gpg -d --batch --passphrase-file=$HOME/.passFile.txt --pinentry-mode loopback $HOME/.mutt/passwords.gpg |"
옵션 3:비밀관리 서비스를 이용해보세요.
이 분야에는 실제 표준이 없으며 다음이 있습니다.이 공간에는 다양한 옵션이 있습니다. 비밀 관리 서비스는 비밀을 중앙에서 관리하고 대규모로 비밀 액세스에 대한 감사 및 제어를 제공합니다. 장단점은 배포 및 구현에 따라 달라지며, 이 영역에 대해 자세히 알아보려면 주로 의견을 기반으로 합니다.
또한,이건 또 다른 질문이에요이것은 도움이 될 수 있는 문제 영역에 관한 것입니다.