LINUX.ORG.RU

Писать в открытом виде пароли в скрипты очень-очень плохо, сделай авторизацию по ssh-ключу, это 5 минут делов, секьюрнее и не надо никуда пароли вводить.

Alve ★★★★★
()
Ответ на: комментарий от Alve

Писать в открытом виде пароли в скрипты очень-очень плохо, сделай авторизацию по ssh-ключу, это 5 минут делов, секьюрнее и не надо никуда пароли вводить.

Хранить на локалхосте файлик с секретной строкой символов (пароль) - это якобы несекьюрно. Но в то же время, хранить на локалхосте файлик с другой секретной строкой символов (приватную часть ключа) - это якобы секьюрно. Ага, ага...

geekless ★★
()
Ответ на: комментарий от geekless

Но в то же время, хранить на локалхосте файлик с другой секретной строкой символов (приватную часть ключа) - это якобы секьюрно.

Во-первых, passphrase + ssh-agent еще никто не отменял. Во-вторых, многие пароли можно запомнив, подсмотрев «из-за плеча», в отличие от приватного ключа, для которого нужна честная фотографическая память. Ну и в-третьих, после утечки приватного ключа, не нужно придумывать новый пароль.

anonymous
()
Ответ на: комментарий от staseg

В каких «сотнях скриптов», алё? Чем твоё ~/.ssh/id_rsa более секьюрно с точки зрения кода, выполняющегося с правами пользователя, чем ~/mysecrets/very_important_password?

geekless ★★
()
Ответ на: комментарий от geekless

Куку. Речь шла о записывании пароля в скрипт. Со временем скриптов становится больше, используемых ими ресурсов тоже, и поддерживать весь этот зоопарк стремно. А в плане секурности, стащить и то, и другое просто, да.

staseg ★★★★★
()
Ответ на: комментарий от anonymous

Анон, прежде чем писать, потрудился бы подумать.

Во-первых, passphrase + ssh-agent еще никто не отменял.

Читаем аргумент чувака, которому я отвечал: «и не надо никуда пароли вводить». Думаем. Еще раз думаем. Понимаем, что ключ в его юзкейсе хранится в открытом виде, незапароленным. Чем открытая секретная строка в одном файлике безопаснее открытой секретной строки в другом файлике?

Во-вторых, многие пароли можно запомнив, подсмотрев «из-за плеча», в отличие от приватного ключа, для которого нужна честная фотографическая память.

Исходная задача была - ничего никуда не вводить, а брать из файла. А значит пароль может быть размером хоть с поэму. Чем открытая секретная строка в одном файлике безопаснее открытой секретной строки в другом файлике?

Ну и в-третьих, после утечки приватного ключа, не нужно придумывать новый пароль.

См. п. 1 - ключ лежит без пароля. Чем открытая секретная строка в одном файлике безопаснее открытой секретной строки в другом файлике?

geekless ★★
()
Ответ на: комментарий от staseg

Куку. Речь шла о записывании пароля в скрипт. Со временем скриптов становится больше, используемых ими ресурсов тоже, и поддерживать весь этот зоопарк стремно.

Когда у тебя есть есть script1 со строкой PSWD=blabla и script2 со строкой PSWD=blabla, ты, внезапно, можешь вынести PSWD в отдельный файл.

А в плане секурности, стащить и то, и другое просто, да.

Слава богу, дошло.

geekless ★★
()
Ответ на: комментарий от geekless

Когда у тебя есть есть script1 со строкой PSWD=blabla и script2 со строкой PSWD=blabla, ты, внезапно, можешь вынести PSWD в отдельный файл.

Спрашивается, зачем изобретать велосипед?

Слава богу, дошло.

Я про секурность и не спорил. И тут ИМХО есть еще пара моментов. С одной стороны, найти и украсть ssh-ключи проще, а где вася разбросал свои файлы с паролями еще поискать надо. С другой стороны, вася может с дуру отдать кому-нибудь свой скрипт и сам спалит пароли (если они записаны прямо в скрипте), с ключами этого не произойдет.

staseg ★★★★★
()
Ответ на: комментарий от staseg

если они записаны прямо в скрипте

Кто же так делает? Все разумные люди разделяют скрипты на private (конфиги) и public части.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.