Svn düz metin parola depolamasını tüm kullanıcılar için devre dışı bırak


9

Varsayılan olarak Subversion, kullanıcıların parolalarını düz metin olarak kaydetmesine olanak tanır ~/.subversion/auth/svn.simple. Svn şifreli şifreleri saklamak için seçenekleri araştırıyorum , ama en azından ve en kısa sürede, tüm kullanıcılarımız için şifreleri saklamak yeteneğini tamamen devre dışı bırakmak istiyorum. Subversion 1.6.17 kullanıyoruz.

Bunu yapılandırma dosyası aracılığıyla bir kullanıcının ana dizininde devre dışı bırakabilirim.

~ / .subversion / sunucular :

[global]
# Password / passphrase caching parameters:
store-passwords = no
store-plaintext-passwords = no

Ancak kullanıcı isterse yapılandırma dosyasını değiştirebilir. Sistem genelinde bir svn yapılandırma dosyası yok mu? Gördüğüm birkaç seçenek:

seçenek 1

1.8-dev'de Subversion'un configure betiği, düz metin parolaları ve istemci sertifikası parolalarını depolayan mantığı atlamak için --disable-plaintext-password-storage seçeneğini kabul eder.

Geliştirme sürümüne güncelleme yapmamayı tercih ediyorum.

seçenek 2

/etc/subversion/config

AFAIK, bu yapılandırma dosyası yalnızca bir kullanıcının zaten kendi ana dizininde bir yapılandırma dosyası olmadığında kullanılır.

Seçenek 3

Kullanıcının kimlik doğrulama önbelleğini silmek için bir cron işi ekleyin ~/.subversion/auth/svn.simple. Yani, svn yapılandırma dosyalarını değiştirseler bile, o zaman cron işimiz saklanan şifreleri öldürür. Bununla birlikte, her dakika çalıştırılması bile yedekleme sistemimizin düz metin parolalar içeren dosyaları yakalayamayacağını garanti etmez.

Fikirler?


Sunucuyu kontrol ediyor musunuz? Parola doğrulaması yerine neden SSH artı anahtarını veya Kerberos'u kullanmıyorsunuz?
Mikel

evet ben yöneticiyim.
Banjer

Yanıtlar:


6

Yapamazsın.

Ne yaparsanız yapın, kullanıcılarınız yine de atlayabilir ve şifrelerini düz bir metin dosyasında saklayabilir. İstemci ikili dosyasında bu özelliği devre dışı bırakırsanız, farklı bir istemci indirir veya derler. Kural olarak, iğrenç güvenlik önlemleri ayarlarsanız (her svn işlemi için bir parola yazmak zorunda kalmak gibi), kullanıcılarınız güvenliği daha da kötüleştirecek şekilde bunları atlar. (Örneğin, parolalarını içeren bir sarıcı komut dosyası yazmak. Bu dosyalar dünya tarafından okunabilir halde bırakılır.) Bunu yapma.

Tekrarlamak için: yalnızca teknik önlemlerle, kullanıcıların şifrelerini bir dosyada saklamasını engelleyemezsiniz. Yasaklayabilirsiniz, ama eğer hayatlarını zorlaştırırsa, yine de yapacaklardır.

Dizüstü bilgisayar veya yedekleme hırsızlığı konusunda endişeleriniz varsa, kullanıcıların giriş dizinini şifreleyin. Bu, şifrelerin yanı sıra verileri de koruyacaktır. Giriş dizininin tamamı şifrelenmişse, şifreleme şifresi kullanılabilirlik nedeniyle genellikle giriş şifresi ile aynıdır. Bir şifreleme parolasını kaybetmek geri alınamaz olduğundan, bir parola yedekleme ilkesi kullandığınızdan emin olun (örn. Kapalı zarf).

Parolanın yeniden kullanılmasından endişe ediyorsanız, istemcilerine bir kez ve herkes için yazacakları rastgele (dolayısıyla benzersiz) bir parola uygulayın. Elbette güvenliği ihlal edilmiş şifreleri değiştirmek için basit bir işlem yapın.


Her yerde büyük puan. Kullanıcıların hayatlarını kolaylaştırmak için uyguladığımız protokolleri atlattıklarını kesinlikle gördüm. Anahtar tabanlı gibi kullanıcıları rahatsız etmeyen kimlik doğrulama yolunda svn'nin başka neler sunduğunu görmem gerekecek.
Banjer

0

BTW bir şeyi şifrelemeden önce bile, dosya izinleriyle ilgilenirim: sadece kendi kurulumumu meraktan kontrol ettim ve bunun dünya tarafından okunabilir olduğunu öğrendim. Açık bir parola içeren bir dosya için bana güvenlik açığı gibi geliyor.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.