나는 다음 링크를 따랐습니다. Mutt: 비밀번호를 안전하게 저장하는 방법은 무엇인가요?
내가 무엇을 놓치고 있는지 잘 모르겠지만 필요한 방식으로 작동하지 않습니다. 내가 주목한 것은 다음과 같다
쉘 프롬프트에 도착하여 mutt를 입력하면 암호를 입력하는 화면이 팝업으로 나타나며 일단 암호를 입력하면 메일 클라이언트가 팝업되어 문제 없이 이메일을 보내고 받을 수 있습니다. 닫았다가 다시 수행하면 암호를 묻지 않습니다. 그러나 완전히 닫고 ssh를 통해 서버에 다시 접속한 다음 mutt를 입력하면 암호를 묻습니다.
내가 달성하려는 것은 cronjob을 실행할 때 문제가 발생하지 않고 암호 문구를 묻는 것을 우회하도록 암호를 암호화하는 것입니다. 누군가가 이 작업을 수행하도록 도와줄 수 있습니까?
답변1
보안 수준이 서로 다른 여러 가지 옵션이 있으므로 최선의 결정을 내릴 수 있도록 몇 가지 옵션을 간략하게 설명하겠습니다. 암호 해독을 자동화하려면 암호를 어딘가(디스크, 메모리 또는 다른 시스템)에 저장해야 합니다. 일반적으로 다음을 고려해 볼 가치가 있습니다.
- 누가 기계에 접근할 수 있나요?
- 공개적으로 액세스할 수 있나요? 아니면 공개적으로 액세스할 수 있는 서비스를 호스팅하나요?
옵션 1:muttrc 파일에 이메일 비밀번호를 암호화되지 않은 상태로 저장하세요.
cron을 실행하는 사용자에게 muttrc의 읽기 액세스를 제한하고 기본 파일 시스템을 암호화합니다. Gmail을 사용하고 계시기 때문에앱 비밀번호 생성손상된 경우 회전/취소될 수 있습니다. 이것이 아마도 문제를 해결하는 가장 쉬운 방법일 것입니다.
이 솔루션의 단점은 root사용자 또는 sudo권한이 있는 모든 사람이 이 파일에 액세스할 수 있다는 것입니다. sudo이러한 가능성을 줄이기 위해 비밀번호를 요구하도록 구성할 수 있습니다 .
옵션 2:GPG 암호를 암호화되지 않은 상태로 파일에 저장합니다.
이 옵션의 경우 gpg를 비대화식으로 실행하도록 mutt를 구성합니다. mutt 비밀번호 및 gpg 비밀번호 문구 파일에 대한 읽기 액세스는 제한되어야 합니다. 또한 물리적 액세스로부터 보호하기 위해 기본 파일 시스템을 암호화해야 합니다. 이는 단지 muttrc에 암호화되지 않은 비밀번호를 저장하는 것에만 모호함을 더할 뿐입니다. 동일한 단점이 적용되며 이 솔루션은 동등하게 안전한 것으로 간주됩니다.
비대화형 사용자가 gpg를 실행하려면 다음을 사용하여 gpg 명령을 실행해야 합니다.
--batch대화형 모드를 비활성화하려면--passphrase-filegpg 개인 키에 대한 비밀번호를 제공하려면--pinentry-mode loopbackpinentry 쿼리를 호출자에게 다시 리디렉션합니다.
따라서 mutttrc에서:
source "/usr/local/bin/gpg -d --batch --passphrase-file=$HOME/.passFile.txt --pinentry-mode loopback $HOME/.mutt/passwords.gpg |"
옵션 3:비밀 관리 서비스를 이용하세요.
이 공간에는 실제 표준이 존재하지 않습니다.이 공간에는 많은 옵션이 있습니다. 비밀 관리 서비스는 비밀 관리를 중앙 집중화하여 대규모로 비밀에 대한 액세스를 감사하고 제어합니다. 장점과 단점은 배포 및 구현에 따라 달라지며, 이 영역에 더 깊이 들어가는 것은 대체로 의견에 따라 달라질 수 있습니다.
추가적으로,여기 또 다른 질문이 있습니다이는 도움이 될 수 있는 질문 영역을 주로 다룹니다.