chm*_*ike 4 linux security ssh passwords ubuntu
我刚刚在我的 Ubuntu 桌面计算机上运行了LaZagne 。它是一个Python程序,可以扫描计算机以查找密码。
\n它发现了 14 个密码,其中一些仍然有效。我改变了其中的大部分。通过使用选项 -v 运行程序,我们可以看到密码在哪里找到。
\n所有密码均可通过 Libsecret 找到。根据 gnome wiki 的libsecret:
\n\n\nlibsecret 是一个用于存储和检索密码和其他机密的库。它使用 D-Bus 与“特勤局”进行通信。gnome-keyring 和 ksecretservice 都是 Secret Service 的实现
\n
libsecret 正在按预期工作 - 这可能与您的用例不一致。
“秘密服务”允许用户以某种方式存储例如密码,使得登录用户可以轻松访问它们,但其他人很难访问它们。
如果您的计算机被物理窃取(当您未登录时)或硬盘被复制,那么攻击者必须破解一些严格的加密才能访问您的密码,因为他无法通过 D-Bus 访问它们。如果您的计算机上运行的网络服务器(在另一个用户下)被黑客攻击,攻击者将无法通过 D-Bus 访问您的密码,因为他们的登录名错误。
但是,如果您在您的帐户下运行的程序请求该密码,则可以轻松访问该密码。这就是拉扎涅能够轻易拿到它们的原因。
这允许在安全性和便利性之间进行折衷,这对于典型用户来说通常是可以接受的 - 但对于您来说可能无法接受。您可以轻松地避免将密码存储在密钥环或朋友中,只需不使用存储密码的功能,或者使用未与 libsecret 集成的软件即可。