Я могу настроить почту, используя postfix в Ubuntu.Я пошел по ссылке ниже, чтобы сделать это. https://documentation.wazuh.com/current/user-manual/manager/manual-email-report/smtp_authentication.html Но я хочу зашифровать пароль в /etc /postfix /sasl_passwd по соображениям безопасности.Как мне этого добиться?

1 ответ1

1

Поскольку Postfix действует как SMTP-клиент, аутентифицирующийся на другом сервере, он не может хэшировать пароли - хранилище должно быть обратимым, поскольку большинство почтовых серверов ожидают, что вы предоставите исходный текстовый пароль (для механизма SASL PLAIN).

И поскольку процесс является обратимым, не имеет значения, как Postfix шифрует / дешифрует хранимые пароли, любой пользователь с привилегиями root может просто повторить его вручную. Root также может подключить отладчик и извлечь необработанный пароль из памяти Postfix. На самом деле root может просто заставить Postfix подключиться к поддельному SMTP-серверу и зарегистрировать полученный пароль.

Другие механизмы аутентификации (например, клиентские сертификаты TLS или SASL SCRAM) подвержены большинству тех же проблем: Postfix необходим доступ к учетным данным, поэтому root может обманом Postfix раскрыть их. (Хотя, если это действительно необходимо, возможно, можно использовать клиентские сертификаты, хранящиеся на TPM или USB-токене / смарт-карте, которые не позволяют экспортировать закрытый ключ, а только подписывают.)

Таким образом, хотя вы можете поместить файл в зашифрованное хранилище (например, том LUKS или EncFS), он поможет только против автономных атак (кто-то украл жесткий диск), но ничто не поможет против root в той же системе.

Если это сервер, вы должны обратить внимание на его усиление (например, с помощью AppArmor/SELinux), чтобы вначале было труднее получить неограниченный root-доступ.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .