[SP-pm] Ocultar senhas dentro de Scripts Perl

thiagoglauco at ticursos.net thiagoglauco at ticursos.net
Fri Aug 27 13:17:39 PDT 2010 

Posso sugerir algumas coisas básicas como:

1 -  Configurar o servidor para impedir que o login seja feito como  
root. Assim os usuários terão que logar no servidor com um usuário  
identificável antes de acessar como root. Por exemplo, eu teria que  
acessar como Thiago e depois efetuar um su ou um sudo..

2 -  Enviar os logs para um banco de dados remoto. Ambientes mais  
neuróticos enviam direto para uma impressora.

   Assim, você não evitará que outro usuário com acesso de root  
corrompa seu sistema, mas terá como auditar se algum usuário efetuou  
alguma ação ilícita.

   Tendo como auditar outros usuarios com direitos administrativos já  
é um passo. Em sistemas sérios é natural buscar soluções que auditem  
os administradores, pois se o root pode tudo ele deve ao menos ser  
auditado.

   Ai se alguém modificar as ACLs do seu arquivo com a senha de root  
ou executar seu script você vai ter isso registrado em log.

   Quanto ao uso do wireshark ou algum sniffer... não dá para fazer  
muito. É o custo do FTP. Menos mau se for entre servidores de uma DMZ.

Quoting "Flávio R. Lopes" <flavio.lopes em links.inf.br>:

> Ok Bruno. Vou olhar esta sugestão.
> Mais uma vez obrigado.
>
> Em 27-08-2010 16:59, Bruno Buss escreveu:
>> Flávio,
>>
>> O que você não esta entendendo é que nenhuma dessas medidas de fato  
>>  protege sua senha.
>> Isso é segurança pela "obscuridade", você pode até achar que está   
>> protegido, mas não está. Simples assim.
>>
>> Mesmo com o tal do SHC, ele tem que "descriptografar" o seu shell   
>> script, então a sua senha estará lá na memória para qualquer um que  
>>  queira ver.
>> Usando o protocolo FTP, como o Breno disso, sua senha é transmitida  
>>  em texto puro via rede.
>>
>> Se a pessoa quiser de fato pegar sua senha, ela vai pegar. (E o   
>> pior, você vai achar que estava seguro.)
>>
>> Novamente... tente por um momento esquecer FTP, shell script, SHC, etc...
>> Bole uma solução correta, que de fato não exponha nenhum dado que   
>> você não quer...
>> E aqui fica minha sugestão pelo rsync+ssh, utilizando   
>> chave/certificado público/privado ;)
>>
>> 2010/8/27 "Flávio R. Lopes" <flavio.lopes em links.inf.br   
>> <mailto:flavio.lopes em links.inf.br>>
>>
>>    Então...a melhor saída que pensei até agora foi colocar num shell
>>    script e compilá-lo com o SHC. Então posso usar o Rsync+ssh e
>>    abandonar a transferência via FTP.
>>
>>    Em 27-08-2010 16:34, thiagoglauco em ticursos.net
>>    <mailto:thiagoglauco em ticursos.net> escreveu:
>>
>>        Parece que é uma "senha de root compartilhada"... Pelo
>>        problema que ele está colocando acho que vários usuários
>>        permissão de root, o que implica em poderem facilmente alterar
>>        ACL de outros arquivos... isso seria um problema de segurança
>>        já do servidor e não do Perl...
>>
>>        Se o servidor não é seguro, nenhuma aplicação nele será... O
>>        máximo é um arquivo de criptografia e logs para ver se alguém
>>        tentou corromper seu sistema... mas se o servidor está mau
>>        configurado, usuários com permissão de root sempre podem
>>        esconder rastros de ações ilícitas...
>>
>>        Por outro lado um usuário root e um wireshark podem roubar
>>        qualquer senha ftp!!!
>>
>>        Quoting Flavio Bei <flaviobei em gmail.com
>>        <mailto:flaviobei em gmail.com>>:
>>
>>            ué, tá no linux, não consegue dar permissão pra um só
>>            usuário? dá só leitura
>>            somente pro usuário que vai precisar acessar o arquivo pra
>>            executar o
>>            script...
>>
>>            Em 27 de agosto de 2010 16:23, breno <breno em rio.pm.org
>>            <mailto:breno em rio.pm.org>> escreveu:
>>
>>                2010/8/27 "Flávio R. Lopes" <flavio.lopes em links.inf.br
>>                <mailto:flavio.lopes em links.inf.br>>:
>>                > Olá Wesley.
>>                > Pensei algo parecido, mas descartei também!...pois
>>                se eu posso usar,
>>                outro
>>                > usuário também poderia.
>>
>>                Experimentou deixar a senha no próprio arquivo, e dar
>>                leitura/execução
>>                somente para usuários confiáveis?
>>                _______________________________________________
>>                SaoPaulo-pm mailing list
>>                SaoPaulo-pm em pm.org <mailto:SaoPaulo-pm em pm.org>
>>                http://mail.pm.org/mailman/listinfo/saopaulo-pm
>>
>>
>>
>>
>>            --             *Flávio Bei*
>>            Web Developer
>>            11 9260 9762
>>            11 3932 4934
>>
>>
>>
>>
>>        _______________________________________________
>>        SaoPaulo-pm mailing list
>>        SaoPaulo-pm em pm.org <mailto:SaoPaulo-pm em pm.org>
>>        http://mail.pm.org/mailman/listinfo/saopaulo-pm
>>
>>
>>    _______________________________________________
>>    SaoPaulo-pm mailing list
>>    SaoPaulo-pm em pm.org <mailto:SaoPaulo-pm em pm.org>
>>    http://mail.pm.org/mailman/listinfo/saopaulo-pm
>>
>>
>>
>>
>> -- 
>> Bruno C. Buss
>> http://brunobuss.wordpress.com/
>> http://www.dcc.ufrj.br/~brunobuss/ <http://www.dcc.ufrj.br/%7Ebrunobuss/>
>>
>>
>> _______________________________________________
>> SaoPaulo-pm mailing list
>> SaoPaulo-pm em pm.org
>> http://mail.pm.org/mailman/listinfo/saopaulo-pm

More information about the SaoPaulo-pm mailing list