Я не хочу хранить пароли в незашифрованном файле

Question 1

Я использую Ubuntu 12.04 LTS на своей машине разработчика и только что понял, что psql хранит пароли в ~ / .pgpass. Кроме того, этот файл не зашифрован. Таким образом, любой, кто имеет права суперпользователя (то есть входит в группу sudo), может получить доступ к этому файлу и прочитать сохраненные пароли. Это худший случай.

Вместо этого мне интересно, что psql не запрашивает пароль (просто изменил pg_hba.conf на сервере postgresql) и начал сомневаться в моих навыках администрирования.

Документация просто говорит нам, как создать файл и как он должен выглядеть. Я хочу отключить этот файл как можно скорее. Но как?

НЕТ РЕШЕНИЯ

Проблема в том, что pgadmin создает этот файл, когда я хочу сохранить свои пароли. Это GUI, и для использования GUI я уже вошел в систему, и в основном у оконного менеджера есть что-то вроде набора ключей, который расшифровывается при входе в систему. Было бы замечательно, если бы pgadmin мог использовать это, но как обсуждалось в ответе запрос функции для pgadmin.

Question 2

Удалить. .pgpass это просто файл. Введите пароли в командной строке, если вы не хотите их хранить. psql никогда не будет создавать или изменять .pgpass, поэтому вы, должно быть, настроили его сами.

Нет смысла хранить .pgpass в зашифрованном виде; вам понадобится пароль для его расшифровки, и весь пункт из .pgpass предназначен для автоматизации входа в систему с паролем.

Решение здесь заключается в том, что не используйте файл .pgpass , если вам действительно не нужен логин без пароля и вы не готовы принять компромиссы безопасности, которые он навязывает. Похоже, что ваш .pgpass был создан PgAdmin-III, запретите ему сохранять пароли, и он не будет создан .pgpass. Он дал вам большое предупреждение, когда вы впервые сказали ему сохранить пароль, сообщив, что будет хранить пароль в виде открытого текста , именно по этой причине.

Если вам нужен надежный и безопасный пароль без пароля, используйте Kerberos / GSSAPI.

Тем не менее, любой, кто имеет права суперпользователя, может получить ваши пароли независимо от того, что вы делаете. Они могут захватить ваш набор текста с помощью кейлоггера. Они могут модифицировать libpq, чтобы сохранять пароли в файл по мере их ввода. Много вариантов. Если вы не доверяете суперпользователю (-ам) на своей машине, найдите другое место для работы, потому что вы уже проиграли.

Craig Ringer · Answer 1 · 26 January 2017 в 20:41

Удалить. .pgpass это просто файл. Введите пароли в командной строке, если вы не хотите их хранить. psql никогда не будет создавать или изменять .pgpass, поэтому вы, должно быть, настроили его сами.

Нет смысла хранить .pgpass в зашифрованном виде; вам понадобится пароль для его расшифровки, и весь пункт из .pgpass предназначен для автоматизации входа в систему с паролем.

Решение здесь заключается в том, что не используйте файл .pgpass , если вам действительно не нужен логин без пароля и вы не готовы принять компромиссы безопасности, которые он навязывает. Похоже, что ваш .pgpass был создан PgAdmin-III, запретите ему сохранять пароли, и он не будет создан .pgpass. Он дал вам большое предупреждение, когда вы впервые сказали ему сохранить пароль, сообщив, что будет хранить пароль в виде открытого текста , именно по этой причине.

Если вам нужен надежный и безопасный пароль без пароля, используйте Kerberos / GSSAPI.

Тем не менее, любой, кто имеет права суперпользователя, может получить ваши пароли независимо от того, что вы делаете. Они могут захватить ваш набор текста с помощью кейлоггера. Они могут модифицировать libpq, чтобы сохранять пароли в файл по мере их ввода. Много вариантов. Если вы не доверяете суперпользователю (-ам) на своей машине, найдите другое место для работы, потому что вы уже проиграли.

Я не хочу хранить пароли в незашифрованном файле

1 ответ

Другие вопросы по тегам:

Похожие вопросы: