| 1 |
Moin, |
| 2 |
|
| 3 |
On Thu, 14 Jun 2007 12:04:44 +0200 Bertram Scharpf |
| 4 |
<lists@×××××××××××××××.de> wrote: |
| 5 |
|
| 6 |
> Fetchmail verlangt nun wenigstens, daß die Konfiguration Dir |
| 7 |
> gehört und nicht Welt-lesbar ist. Dies ist insofern |
| 8 |
> unzureichend, weil ein Angreifer wahrscheinlich gerade mit |
| 9 |
> Deiner Uid hereinkommt. |
| 10 |
> |
| 11 |
> Man könnte die Konfiguration mit einem Sammelpaßwort |
| 12 |
> verschlüsseln und dieses einen Agenten verwalten lassen. |
| 13 |
> Dann kannst du Fetchmail aber nicht mehr als Dämon starten. |
| 14 |
> |
| 15 |
> [...] |
| 16 |
> |
| 17 |
> Mit einer Konstuktion wie "gpg -d ... | fetchmail -f -" und |
| 18 |
> dem gpg-Agenten müßte sich leicht ein Abruf basteln lassen, |
| 19 |
> der genau einmal nach einem Paßwort fragt, danach evtl. in |
| 20 |
> den Hintergrund verzweigt und dafür sorgt, daß er kein |
| 21 |
> zweites Mal gestartet wird. |
| 22 |
> |
| 23 |
> Vielleicht mache ich das in naher Zukunft. Kommentare? |
| 24 |
|
| 25 |
Ist das nicht das gleiche in grün, solange der GPG-Agent läuft? Ich |
| 26 |
meine, wer dann einbricht und deine UID hat, dem wird der GPG-Agent |
| 27 |
auch brav den Schlüssel geben... Da wäre es ja schon fast eleganter, |
| 28 |
die fetchmailrc gleich nach dem Aufruf von fetchmail zu löschen ;-) |
| 29 |
|
| 30 |
Deine Lösung hat natürlich Berechtigung, falls du ein Szenario hast, in |
| 31 |
dem Angreifer evtl. direkt an die Maschine kommen und einen Reboot |
| 32 |
machen können (der ihnen dann Rechte nach Wunsch beschert). |
| 33 |
|
| 34 |
-hwh |
| 35 |
-- |
| 36 |
gentoo-user-de@g.o mailing list |
Archives