Ho bisogno di trasferire alcuni dati dallo storage di rete a un laptop disponibile pubblicamente su cui è in esecuzione Linux. L'archivio di rete veniva fornito tramite un server che poteva essere collegato a ssh, ma ora è stato passato a un server che fornisce solo l'accesso tramite samba. Ero solito collegarmi dal computer al server con chiavi SSH e ho inserito la chiave nel server per eseguire solo rsync per renderlo più difficile per il laptop compromesso (è disponibile pubblicamente dopo tutto) per limitare il danno (o almeno rendere più difficile) danneggiare / compromettere il server. Probabilmente sarebbe stato meglio spingere dal server al laptop, ma l'indirizzo IP cambia a seconda di dove è stato utilizzato e spesso non riuscivo a passare attraverso il firewall il portatile era dietro (è usato nelle case delle persone).
Ho chiesto a IS come implementare la sincronizzazione dei dati sul nuovo sistema. La risposta è stata quella di memorizzare la mia password in formato testo sul portatile disponibile pubblicamente e utilizzarla per montare la condivisione samba. Ci sono commenti per me:
I would suggest that storing a plain text password on your machine is no more "dangerous" than storing both of your public/private SSH keys on the same disk. Anyone who "roots" your machine can log keystrokes to learn passwords in either case.
Sono abbastanza sicuro che questo consiglio sia semplicemente sbagliato. Lavoro in un'università e utilizziamo un singolo registro per l'impostazione della directory attiva. Con la chiave SSH qualcuno può accedere a un singolo servizio su un singolo server, mentre la mia password darà loro accesso a "tutto". C'è un modo per montare in modo sicuro una condivisione di samba senza rendere disponibile la mia password? Ad esempio, forse impostando un server (virtuale) che funge da passaggio tra.
Una seconda domanda, decisamente più delicata, è che il consiglio sulle password di testo normale sia così grave che dovrei segnalare la persona IS, che si trova nel team di archiviazione file, a qualcuno del team di sicurezza IS?