Proteger script que integra contraseñas

shilen79 · #1 (**permalink**) 26/10/2012, 04:22

Lo primero se que para nada es recomendable guardar contraseñas en el ordenador jeje.

Partiendo de eso, será por desconocimiento de realizarlo de otro modo, o habrá alguna forma segura de hacerlo, espero puedan orientarme.

Tengo un script, oculto con permisos de root, alojado en la raiz del home que se conecta a diferentes FTP's para realizar copias de seguridad a local.
Para ello utilizo el comando lftp donde necesito ponerle usuario y contraseña del FTP al que quiero conectar.
Uso este comando especificamente:

Código:

lftp -c "open -u usuario,contraseña ftp://sitioweb.com; mirror -ne /destino-de-la-copia

No sé si con las medidas tomadas ya (oculto, root y en el raiz del home) es suficiente ( de seguridad ando algo pez) es suficiente, o no lo es para nada.

¿hay alguna forma de esas contraseñas almacenarlas en otro lado y pedirlas en el script... ?
¿hay forma de reforzar la seguridad de ese script?
¿Hay otra forma de realizar mi script para que sea mas seguro?

Un saludo y gracias!

#2 (**permalink**) 26/10/2012, 07:11

Que esté oculto o no, creo que no hace diferencia.
Si solamente root puede leer el archivo, ningún otro usuario podrá ver tu contraseña. Si te preocupa que un intruso pueda ganar privilegios de root y verla, la realidad es que cualquier método que uses tendrá el mismo problema.

Dicho esto, yo buscaría utilizar autenticación de clave pública, correr el script con un usuario que solamente pueda ejecutar ese script, y que en la máquina destino también se esté conectando a un usuario restringido que pueda hacer lo mínimo indispensable.
Si necesitas privilegios de root para recopilar la información del respaldo, quizás puedas separar el proceso en una etapa de creación del archivo de respaldo y otra de transferencia.

shilen79 · #3 (**permalink**) 26/10/2012, 09:30

Muchas gracias por responder!

Como bien supones, es mas la preocupación de que alguien se 'apoderara' de mi root, más que porque otro usuario pudiera acceder a la información.

La solución que me propones ya se me queda largo de mis conocimientos no lo he entendido muy la verdad el cómo realizarlo, porque en este caso la máquina origen de las copias es un servidor de un proveedor de hosting y ya ....

Pero bueno ... yo era para ver si podía encriptar las contraseñas de algún modo que mediante el script sh las llamara, pero sin tener que tener escrito el contenido de ellas, eso es posible?

Un saludo.

#4 (**permalink**) 26/10/2012, 09:49

Para ir al punto principal: se puede mitigar el daño que un intruso puede llegar a causar utilizando usuarios con privilegios restringidos (y creo que este es el camino a seguir), pero siempre que quieras decirle a la máquina que se conecte con una contraseña, o con cualquier método, tendrás que darle los medios necesarios y almacenarlos en algún lugar.

Supongamos que usas un sistema gestor de contraseñas que tu script pueda usar para obtener la contraseña de forma segura. ¿Cómo funcionan estos sistemas? Pues con una clave maestra, tendrías que tener la clave maestra almacenada en algún lugar.

Saludos.