Скрыть пароль от proxy в apt.conf

0

1

Добрый день. Коллеги, помогите разобраться с проблемой. Есть сервер с linux (debian), он ходит через proxy где настроена аутентификация через AD. Хотелось бы как-то скрыть(зашифровать или как-то еще) пароль, который в открытом виде лежит в /etc/apt/apt.conf Как мне такое сделать? Не удается загуглить.

Ссылка

←	Wine. Nvidia. Tearing

Postfix как настроить для пересыла писем из внешней сети.

→

помогите разобраться с проблемой.

И как ты предлагаешь с тобой «разобраться»?

anonymous
(06.02.20 23:06:29 MSK)

Ссылка

Поместите пароль в отдельный файл в /etc/apt/apt.conf.d/ и ограничьте к нему доступ.

Rootlexx ★★★★★
(07.02.20 00:41:26 MSK)

Ответ на: комментарий от Rootlexx 07.02.20 00:41:26 MSK

Я так уже поступил с apt.conf, но все же хочется чтобы он а в открытом виде был. Есть возможность к нему применить какую-нибудь функцию хеширования хотя бы?

zews35
(07.02.20 09:18:54 MSK) автор топика

Ответ на: комментарий от zews35 07.02.20 09:18:54 MSK

Я так уже поступил с apt.conf, но все же хочется чтобы он а в открытом виде был

Т.е. вы хотите, чтобы пароль был недоступен - зашифрован - но при этом был в открытом виде? Что-то не улавливаю смысл.

Rootlexx ★★★★★
(07.02.20 10:40:40 MSK)

Ссылка

Никак, т.к. нечем будет авторизовываться в прокси тогда.

Какую задачу вы хотите решить? Скрыть от других пользователей сервера? - установите на файл необходимые права. Другие пользователи имеют root? - ограничте работу учетки АД только с этого сервера.

keir ★★
(07.02.20 12:36:27 MSK)

Ответ на: комментарий от keir 07.02.20 12:36:27 MSK

Задача следующего плана:

имеются 3 пользователя в AD
имеется машина с linux
имеется proxy с авторизацией через учетки AD

Пользователи работают на linux машине под локальными учетками, которые занесены в sudoers. Пользователи для использования apt прописывают свои данные в apt.conf чтобы проходить авторизацию на proxy. Так они имеют привилегии root, то могут видеть пароли друг друга, а этого необходимо избежать.

Возможно как-то это реализовать? Или придется пользователей не заносить в sudoers и тщательно продумывать предоставление прав?

zews35
(07.02.20 13:23:24 MSK) автор топика

Ответ на: комментарий от zews35 07.02.20 13:23:24 MSK

Отобрать рута. Разрешить через sudo только apt и сохранять переменные прокси:

в /etc/sudoers:

Defaults        env_keep += "http_proxy https_proxy"

%users ALL=NOPASSWD:/usr/bin/apt

Каждому пользователю в домашнюю папку в файл .profile добавить строки:

export http_proxy=http://username:password@1.1.1.1:666/
export https_proxy=$http_proxy

И тогда при выполнении sudo apt каждый пользователь будет использовать свои настройки прокси.

Соответсвенно домашние папки друг друга они просмотреть не смогут, пароли не сопрут.

keir ★★
(07.02.20 13:57:52 MSK)

Ссылка

когда решал подобную задачу, но в общем сделал локальный каскадный сквид, который слушает 127.0.0.1, предоставляет прокси локальным клиентам без аутентификации, а у парента аутентифицируется вместо клиента на прокси. ад-пароль хранит у себя в конфигах(можно в инклюд-файлах которые с помощью acl)
P.S. прочитал условия «Так они имеют привилегии root, то могут видеть пароли друг друга, а этого необходимо избежать.» и вот тут стало сложно. даже при успешной маскировке пароля, но при должной злонамеренности пользователь может надампить http-трафик с проксей и увидеть пароль в заголовках.

если «клиентов» такого прокси у вас много, можете сделать выделенный экземпляр, без пароля или не ценным паролем ограничив целевые адреса белыми списками хостов, или рассмотреть проекты apt-proxy, nexus apt proxy.

bl ★★★
(09.02.20 21:59:11 MSK)
Последнее исправление: bl 09.02.20 22:02:16 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Wine. Nvidia. Tearing

General

Postfix как настроить для пересыла писем из внешней сети.

→

Похожие темы