Mot de passe en clair d'un user pour proxy

Bonjour,

Suite à l’installation d’une debian j’ai réfléchi au stockage du mdp d’un utilisateur. En effet, lors de l’installation (via une netinst pour ma part), on nous demande de configurer le serveur mandataire (proxy). Je configure donc comme suit :

user:mdp@adresse_IP:port/

Ok, jusque là pas de soucis. Une fois l’install terminée je vérifie, /etc/apt/apt.conf contient bien la ligne suivante :

Ok, c’est bien beau, mais là le mdp de mon user apparait en clair. Faille de sécu ou alors une sécu m’échappe. Vous me direz, le fichier de conf n’est accessible qu’en root, mais ça me parait tout de même un peu léger.

Même chose pour la conf du proxy dans /etc/wgetrc.

Un expert en sécu Debian saurait-il m’éclairer et éventuellement me donner des pistes pour sécuriser tout ça s’il en existe ?

En vous remerciant d’avance !

up ?

T’es sur qu’il n’est accessible que par root ce fichier ?
Chez moi, il est par défaut en -rw-r–r– donc modifiable que par root certes, mais lisible par tout le monde… C’est encore pire…
Idem pour wgetrc. Un cat en user normal permet de lire le contenu.

Pour le apt.conf, je suppose que tu peux faire un chmod 600 sur ce fichier pour ne le rendre lisible et modifiable que par root, et la il sera en sécurité (puisque tu ne pourras pas non plus le copier sur un média amovible pour espérer aller le lire ailleurs depuis un compte utilisateur normal).

Pour wgetrc, je suppose que tu peux faire la même chose, mais qu’a ce moment la, la commande wget ne fonctionnera plus qu’en root puisque seul root pourra aller lire le fichier de conf.
Pour continuer à le faire fonctionner avec une utilisateur normal, peut être faire appartenir wgetrc à l’utilisateur dont le mot de passe est renseigné à l’intérieur (chown username /etc/wgetrc), et ne lui donner des droits de lecture et modif que pour ce propriétaire (chmod 600 /etc/wgetrc). C’est degueu, mais ça devrait fonctionner pour un ordi utilisé par un seul utilisateur.

Autre solution, meilleure je pense et qui en plus résout le problème d’une machine multi utilisateurs : renseigner le proxy dans le $HOME/.wgetrc, qui sera alors adapté à l’utilisateur en cours, et lisible que par lui.

A tester, je ne suis pas expert en securité.

Où que tu le mettes, ce sera lisible par quelqu’un qui a les droits root. Tu peux éventuellement te contenter d’un hachage (si ton proxy accepte cela) mais le pbm est le même, celui qui a ce hachage s’authentifiera de la même manière et de toute façon, root peut éventuellement écvouter le traffic et intercepter la séquence d’authentification. La faiblesse n’est pas dans le stockage du mot de passe mais dans le principe même de cette authentification. Dans la mesure où il faut fournir le mot de passe, le mettre sous forme chiffrée serait te faire croire à une fausse sécurité, le déchiffrement étant accessible à tous. Si quelqu’un à les droits root sur ta machine (et peut lire ton fichier), ben il n’y a pas grand chose à faire.

Erf, pas très secure tout ça.

Je m’attendais à des possibilités un peu plus propres.

Merci pour vos réponses en tout cas.

Qu’est ce que tu espérais? Un mot de passe crypté avec donc derrière le source pour décrypter le mot de passe et l’envoyer? C’est un leurre. Planquer le mot de passe, mais là encore tu as les sources qui te montrent comment le récupérer (ce sont les 2 options sous windows avec les résultats que l’on sait). Si tu veux particulièrement protégé l’accès à ton proxy, il faut changer de méthode d’authnetification. Songes que si quelqu’un est root, il peut piquer ta clef gpg, tes cles sshh et le certificat de ta machine. Il n’y a pas gd chose à faire…