Я могу настроить почту, используя postfix в Ubuntu.Я пошел по ссылке ниже, чтобы сделать это. https://documentation.wazuh.com/current/user-manual/manager/manual-email-report/smtp_authentication.html Но я хочу зашифровать пароль в /etc /postfix /sasl_passwd по соображениям безопасности.Как мне этого добиться?
1 ответ
1
Поскольку Postfix действует как SMTP-клиент, аутентифицирующийся на другом сервере, он не может хэшировать пароли - хранилище должно быть обратимым, поскольку большинство почтовых серверов ожидают, что вы предоставите исходный текстовый пароль (для механизма SASL PLAIN).
И поскольку процесс является обратимым, не имеет значения, как Postfix шифрует / дешифрует хранимые пароли, любой пользователь с привилегиями root может просто повторить его вручную. Root также может подключить отладчик и извлечь необработанный пароль из памяти Postfix. На самом деле root может просто заставить Postfix подключиться к поддельному SMTP-серверу и зарегистрировать полученный пароль.
Другие механизмы аутентификации (например, клиентские сертификаты TLS или SASL SCRAM) подвержены большинству тех же проблем: Postfix необходим доступ к учетным данным, поэтому root может обманом Postfix раскрыть их. (Хотя, если это действительно необходимо, возможно, можно использовать клиентские сертификаты, хранящиеся на TPM или USB-токене / смарт-карте, которые не позволяют экспортировать закрытый ключ, а только подписывают.)
Таким образом, хотя вы можете поместить файл в зашифрованное хранилище (например, том LUKS или EncFS), он поможет только против автономных атак (кто-то украл жесткий диск), но ничто не поможет против root в той же системе.
Если это сервер, вы должны обратить внимание на его усиление (например, с помощью AppArmor/SELinux), чтобы вначале было труднее получить неограниченный root-доступ.