Wie sicher sind meine Dateien in / home?

8

Dies ist ein Community-Wiki. Ich würde wirklich gerne die Gedanken anderer Leute dazu haben. Ich möchte auch nicht auf die Ethik des Speicherns von Nur-Text-Passwörtern eingehen.

Für Unbekannte ist libpurple die von Pidgin verwendete Bibliothek. Wenn Sie Ihre Passwörter speichern, geschieht dies als einfacher Text unter ~/.purple/accounts.xml.

Der Grund dafür ist, dass Sie, wenn jemand auf Ihr Benutzerkonto zugreifen kann, unter anderem größere Probleme haben, über die Sie sich Sorgen machen müssen .

Meine Hauptsorge ist, dass ich mein Google Mail-Konto in Pidgin verwende und mein Google Mail-Passwort daher im Klartext gespeichert wird. Der Zugriff auf die E-Mail-Adresse einer Person bedeutet den Zugriff auf 90% ihrer anderen Konten über Kennwortwiederherstellungsfunktionen auf den meisten Websites. Eeek .

Berücksichtige das...

  • Mein / Zuhause ist verschlüsselt, wenn jemand physischen Zugriff auf das Laufwerk erhält
  • Ich sperre mein System immer, wenn ich weggehe
  • Ich bin vernünftig bei der Installation inoffizieller Pakete
  • Jede Anwendung, die ich in Userland ausführe, hat Zugriff auf meine Benutzerdateien

Wie sicher ist das wirklich? Gibt es andere Bedrohungen, die möglicherweise auf accounts.xml zugreifen könnten?

Aktualisieren

Danke für die Antworten! Bisher haben:

Ich bin froh, dass meine Daten im Falle eines Diebstahls sicher sind. Ich mache mir mehr Sorgen über einen Prozess, der auf diese ungesicherten Dateien abzielt. Andererseits macht es die Natur von Open Source-Software für bösartige Apps schwierig, da die Überprüfung des öffentlichen Codes den bösartigen Code aufdeckt.

Wenn Sie sich andere Vektoren vorstellen können, über die auf diese Kontodaten zugegriffen werden kann, würde ich sie gerne hören :)

security user-space password invertieren
quelle
3
Nicht, dass du es umkehren könntest, aber ich hätte dieses Community-Wiki nicht erstellt. Diese Frage ist beantwortbar und jetzt geben Sie keinen Anreiz mehr, da wir uns mit unseren Antworten keinen Ruf verdienen können.
Peter Smit
Punkt genommen @Peter, ich war besorgt, dass die Frage zu subjektiv ist und sie auf den SO- und SU-Austauschseiten zu leicht geschlossen werden.
invertieren

Antworten:

2

Zum größten Teil ist die physische Sicherheit ungültig, wenn jemand physischen Zugriff auf die Maschinensicherheit hat. Wenn "andere Benutzer" nicht versuchen, auf die Dateien zuzugreifen, und möglicherweise nur darauf stoßen, legen Sie einfach die Berechtigungen für Ihren Basisordner fest, damit niemand außer Ihnen Zugriff hat.

In Bezug auf die Sicherheit über ein Netzwerk fällt es mir schwer zu glauben, dass jemand in Ihre persönlichen Dateien gelangt, wenn Sie die Ports nicht unachtsam offen lassen. Wenn Sie besorgt sind, verwenden Sie Gufw , um Ihre Firewall zu verwalten. Sie können auch auf dieser Website überprüfen, ob Sicherheitslücken bestehen: https://www.grc.com/x/ne.dll?bh0bkyd2

Sie können diese Sicherheitsübersicht auch in den Ubuntu-Foren lesen: http://ubuntuforums.org/showthread.php?t=510812

Ich hoffe das kann dir helfen!

NightwishFan
quelle
Ich benutze Firestarter, um iptables zu konfigurieren. Danke für die Links, sehr hilfreich!
invertieren
In Bezug auf den physischen Zugriff bedeutet ein verschlüsseltes Laufwerk, dass es viel sicherer als normal ist. Es verhindert, dass die meisten offensichtlichen Angriffe funktionieren.
cmcginty
1

Ihr Anliegen ist also eine Anwendung, die vertrauliche Daten im Klartext speichert. Hier einige Vorschläge:

  • Alternativen : Versuchen Sie, eine andere Anwendung zu finden, in der Ihre Daten nicht im Klartext gespeichert sind. Empathie kann Pidgin ersetzen und Ihre Anmeldeinformationen in Gnome Keyring speichern, einem sicheren und verschlüsselten Speicher.
  • Starkes Passwort : Sie können nicht viel gegen den physischen Zugriff tun, wenn der Angreifer der Meinung ist, dass er höhere Werte finden kann, als ihn Zeit und Ressourcen kosten, die durch brutale Gewalt auf Ihrer verschlüsselten Festplatte geknackt werden. Je stärker Ihr Passwort ist, desto höher ist die Chance, dass der Angreifer aufgibt. Lesen Sie in Mozilla-Artikel + Video nach, wie Sie ein sicheres Passwort erstellen . Wenn Sie sich Sorgen um Ihr Google Mail-Konto machen, finden Sie eine Google-Lösung , mit der Sie den Zugriff auf Ihr Konto schützen können .
  • Immer auf dem neuesten Stand : Es besteht immer das Risiko einer Sicherheitslücke in einer Ihrer Anwendungen, die einem Angreifer Zugriff auf Ihre Festplatte gewähren könnte. Beispielsweise könnte eine Lücke in Flash, die den Festplattenzugriff offen lässt, einem Angreifer freien Zugriff auf Nur-Text-Dateien gewähren.
Huygens
quelle
2
Ich bin damit einverstanden, Empathie anstelle von Pidgin zu verwenden, und ja, Pidgin speichert das Informationskonto in "nur Klartext". Betrachten Sie ein sicheres Passwort, es ist nutzlos, wenn das Passwort im Klartext gespeichert wird, wie stark unser Passwort ist.
Squallbayu
Empathy ist die neue Standard-IM in Ubuntu, aber die Unterstützung des mxit-Protokolls ist fehlerhaft (stellt keine Verbindung her), daher verwende ich Pidgin aus diesem Grund. Eine andere Alternative ist die Verwendung eines separaten Jabber-Kontos nur für IM anstelle meines Google Mail-Kontos. Vielen Dank für Ihre Antwort!
invertieren
@KeyboardMonkey Sie sollten den oben angegebenen Link ausprobieren, um Ihr Google-Konto zu schützen (siehe 2. Link im 2. Aufzählungszeichen). Selbst wenn jemand Ihr Passwort erhält, haben Sie eine zusätzliche Zugriffsebene für Ihr Google-Konto.
Huygens
Das ist ein großartiges, perfektes Timing von Google!
invertieren
1

Im Allgemeinen erstelle ich ein verschlüsseltes privates Verzeichnis und verschiebe die Pidgin-Konfiguration und andere gefährlichere Informationen (.ssh usw.) in ~ / Private. Ich erstelle dann Symlinks für die Verzeichnisse an ihren ursprünglichen Speicherorten. Verwenden Sie zum Erstellen eines verschlüsselten privaten Verzeichnisses

ecryptfs-setup-private

Möglicherweise müssen Sie auch ein Paket installieren: 

sudo apt-get install ecryptfs-utils

Siehe diese für weitere Details

Nerdfest
quelle
Wie verhindert dies, dass eine Anwendung über das Netzwerk auf die Dateien auf einem Live-System zugreift? Sie können einfach den Symlinks folgen.
Mein Home-Ordner ist bereits verschlüsselt. Ist es auch für mich notwendig?
Interessante Knox
0

Wenn Ihr / home verschlüsselt ist, kann das Kennwort nur durch Entschlüsseln wiederhergestellt werden. Die einzige Möglichkeit, dies zu tun (es sei denn, Sie haben eine sehr große Serverfarm und viel Zeit), besteht darin, das Kennwort zu verwenden. Dies kann mit der Zeit brutal erzwungen werden. Stellen Sie daher sicher, dass es sich um ein sehr sicheres Kennwort handelt.

Alles in allem ist das also ziemlich sicher. Ich persönlich würde gerne mein Google Mail-Passwort in einem verschlüsselten / Home-Verzeichnis aufbewahren.

YaManicKill
quelle
1
Ich bin ziemlich glücklich über die Verschlüsselungsseite. Ich mache mir mehr Sorgen über einen Prozess, der im Benutzerland ausgeführt wird, unter meinen Benutzerrechten ausgeführt wird, auf diese Nur-Text-Datei zugreift oder über andere wichtige Details in meinem Konto. Vielen Dank!
Umkehren
Ahhh ok, ich verstehe was du jetzt meinst. In diesem Fall würde ich sicherstellen, dass alle Programme, die Sie haben, aus dem Ubuntu-Repository stammen und bekannt sind. Wenn ja, und Sie keine anderen Apps von Drittanbietern installieren, würde ich mich darüber freuen.
YaManicKill