WiFi를 설정하던 중 발견한 것은지도 시간일반 텍스트로 저장되지 않도록 비밀번호를 해시합니다(Wi-Fi 액세스에는 사용자 이름/비밀번호를 사용합니다).
network={
ssid="NETWORKNAME"
priority=1
proto=RSN
key_mgmt=WPA-EAP
pairwise=CCMP
auth_alg=OPEN
eap=PEAP
identity="USERNAME"
password=hash:HASH
phase1="peaplabel=0"
phase2="auth=MSCHAPV2"
}
HASH는 어디에 있나요?
echo -n 'YOUR_REAL_PASSWORD' | iconv -t utf16le | openssl md4
Windows 네트워크 마운트와 비슷한 작업을 수행할 수 있는 방법이 있습니까? 현재 mount -t cifs -o username=USERNAME,password=PASSWD //192.168.1.88/shares /mnt/share네트워크 공유를 마운트하는 데 사용하고 있지만 암호를 일반 텍스트가 아닌 상태로 유지하고 싶습니다. 일반 텍스트를 보호하거나 루트에서만 읽을 수 있게 만드는 방법을 알고 있는데 이는 제가 원하는 것이 아닙니다.
WiFi에서 수행할 수 있었던 것과 유사한 방식으로 cifs 네트워크 공유에 대한 비밀번호를 해시할 수 있습니까?
답변1
아니요, 비밀번호를 가릴 수는 없습니다. 귀하의 컴퓨터는 서버에 비밀번호를 제공할 수 있어야 합니다. 즉, 암호를 모호하게 하기 위해 사용하는 수단이 무엇이든 컴퓨터는 모호한 형식을 취하고 이를 해독할 수 있어야 합니다. 당신의 컴퓨터가 그것을 할 수 있다면, 누구의 컴퓨터도 그것을 할 수 있습니다.
EAP의 경우 클라이언트가 비밀번호의 NTML 해시를 제공해야 하기 때문에 표면적으로는 다릅니다. 그러나 이는 사실상 비밀번호가 사람이 읽을 수 있는 입력이 아닌 해시라는 것을 의미합니다. 따라서 실제로 hash:구성 파일에도 구성 파일에는 일반 텍스트로 된 비밀번호가 포함되어 있습니다.
귀하가 읽은 튜토리얼은 파일에 EAP 비밀번호를 해싱하면 상당한 보안 이점이 있다고 암시하여 매우 오해의 소지가 있습니다. 실제로 위에서 본 것처럼 유효한 비밀번호는 해시이기 때문에 해당 비밀번호를 다른 용도로 사용하지 않으면 전혀 이점이 없습니다. 동일한 비밀번호가 다른 것(서버가 해시가 아닌 비밀번호를 원하는 경우)에도 사용되는 경우 몇 가지 이점이 있지만 MD4는 무차별 대입 공격이 매우 쉽기 때문에 제한됩니다.
매번 비밀번호를 입력하고 싶지 않은 경우 가장 좋은 방법은 비밀번호를 비밀번호 관리자에 저장하고 본인만 비밀번호 관리자에 액세스할 수 있도록 하는 것입니다. 누군가가 귀하의 컴퓨터를 훔칠 경우를 대비하여 디스크에 암호화되어 있는지 확인하십시오(물론 이는 부팅 후 어느 시점에서 비밀번호 컨테이너를 해독해야 함을 의미합니다). 그러나 누군가가 귀하의 컴퓨터에 액세스하게 되면 비밀번호에도 액세스할 수 있게 됩니다. 그것을 막을 방법은 없습니다.
서버 구성에 영향을 미칠 수 있고 보안을 강화하려면 Kerberos 인증 활성화를 고려하십시오. Kerberos 인증을 활성화하면 철저하게 구성되면 로그인 암호를 사용하여 네트워크 공유에 액세스할 수 있습니다.