1 |
Moin, |
2 |
|
3 |
On Thu, 14 Jun 2007 12:04:44 +0200 Bertram Scharpf |
4 |
<lists@×××××××××××××××.de> wrote: |
5 |
|
6 |
> Fetchmail verlangt nun wenigstens, daß die Konfiguration Dir |
7 |
> gehört und nicht Welt-lesbar ist. Dies ist insofern |
8 |
> unzureichend, weil ein Angreifer wahrscheinlich gerade mit |
9 |
> Deiner Uid hereinkommt. |
10 |
> |
11 |
> Man könnte die Konfiguration mit einem Sammelpaßwort |
12 |
> verschlüsseln und dieses einen Agenten verwalten lassen. |
13 |
> Dann kannst du Fetchmail aber nicht mehr als Dämon starten. |
14 |
> |
15 |
> [...] |
16 |
> |
17 |
> Mit einer Konstuktion wie "gpg -d ... | fetchmail -f -" und |
18 |
> dem gpg-Agenten müßte sich leicht ein Abruf basteln lassen, |
19 |
> der genau einmal nach einem Paßwort fragt, danach evtl. in |
20 |
> den Hintergrund verzweigt und dafür sorgt, daß er kein |
21 |
> zweites Mal gestartet wird. |
22 |
> |
23 |
> Vielleicht mache ich das in naher Zukunft. Kommentare? |
24 |
|
25 |
Ist das nicht das gleiche in grün, solange der GPG-Agent läuft? Ich |
26 |
meine, wer dann einbricht und deine UID hat, dem wird der GPG-Agent |
27 |
auch brav den Schlüssel geben... Da wäre es ja schon fast eleganter, |
28 |
die fetchmailrc gleich nach dem Aufruf von fetchmail zu löschen ;-) |
29 |
|
30 |
Deine Lösung hat natürlich Berechtigung, falls du ein Szenario hast, in |
31 |
dem Angreifer evtl. direkt an die Maschine kommen und einen Reboot |
32 |
machen können (der ihnen dann Rechte nach Wunsch beschert). |
33 |
|
34 |
-hwh |
35 |
-- |
36 |
gentoo-user-de@g.o mailing list |