Ubuntu-fr

ldcn

Sécuriser les credentials de CIFS

Bonjour à tous !

Dans le cadre de mon travail, j'utilise un portable linux dans un environnement réseau full windows. Je n'ai pas de soucis majeurs, tout fonctionne très bien, je me fonds très bien dans la masse. Comme nombreux ici, pour un partage samba, j'utilise cifs en montant les répertoires partagés via fstab.

Mon fstab pointe vers un fichier credentials placé dans le répertoire /root.

Je dois avouer que je n'aime pas trop cette solution. J'aurai voulu protéger un peu plus ce fichier en n'ayant pas un mot de passe en clair dans un fichier texte. Pour moi, la solution ultime serait que Gnome Keyring soit appelé pour stocker le mot de passe. Et je dois avouer que je ne vois pas beaucoup d'alternatives :

• créer un repertoire chiffé via truecrypt dans mon home perso

• utiliser pam en ayant un compte utilisateur ayant le même duo login/password

Pour la seconde solution, je ne suis pas fan même si elle est très intégrée. Le problème, c'est que je suis souvent en mobilité. J'ai besoin de pouvoir monter/démonter les répertoires réseaux. J'ai également besoin de pouvoir les monter via un VPN. Et j'ai l'impression que ce n'est pas possible ainsi.

Pour la première solution, ça marche très bien. J'ai rien à redire si ce n'est que l'on doit saisir un mot de passe supplémentaire.

J'aurai voulu savoir si vous voyez d'autres solutions ? Comment avez-vous fait ?

Merci à tous !

Coeur Noir

Re : Sécuriser les credentials de CIFS

M'intéresse aussi, mais n'ai pas les compétences pour aider.

en n'ayant pas un mot de passe en clair dans un fichier texte

Fichier auquel seul root peut accèder… Ça n'est certes pas infaillible mais c'est déjà une barrière, non ?

---

Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >

ldcn

Re : Sécuriser les credentials de CIFS

Certes. Mais bon, ça reste un mot de passe en clair.

ldcn

Re : Sécuriser les credentials de CIFS

Hum ... pas de solutions à mon problème ? Je trouve que c'est quand même un comble à notre époque d'utiliser encore des fichiers de mots de passe en clair ... Il est juste protégé par un accès root. C'est léger quand même.

HPIR40

Re : Sécuriser les credentials de CIFS

je repond avec du retard certes, mais pam_mount est la pour ce type de connexion.

Je l'utilise tous les jours au boulot pour le montage des disques reseaux de mes users ubuntu, et pas de fichiers credentials

Coeur Noir

Re : Sécuriser les credentials de CIFS

pam_mount…

…exemple svp ?

---

Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >

Zakhar

Re : Sécuriser les credentials de CIFS

http://manpages.ubuntu.com/manpages/har … unt.8.html

C'est astucieux ! En fait si le mdp du montage est différent du mdp de session, il "suffit" de chiffrer le premier par le dernier et voila !
pam_mount va alors utiliser le mdp de session pour déchiffrer le mdp de montage et le tour est joué.

Si on vous vole le matériel, les "credentials" sont dans un fichier chiffré.

Pas de mot de passe en plus à taper, puisque c'est celui de session que pam_mount utilise.

---

"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

HPIR40

Re : Sécuriser les credentials de CIFS

Exemple déjà cité via common-session.

Perso je demande à mes utilisateurs d'utiliser le même mot de passe pour la session et pour le montage des disques réseaux. Je n'ai pas essayé de le faire avec des mdp différents.

le montage CIFS automatique des disques réseaux se fait dans la session de l'utilisateur concerné via /etc/security/pam_mount.xml.conf et roule ma poule

le disque réseau se monte automatiquement à l'ouverture de session et se démonte à la fermeture.

Dernière modification par HPIR40 (Le 06/12/2015, à 19:11)

ldcn

Re : Sécuriser les credentials de CIFS

Merci pour vos réponses.

J'avais vu cette solution. Malheureusement, il me semble qu'elle ne peut pas me convenir. Mon ordinateur de travail est un portable. J'ai donc deux scénarios qui m'empêchent d'utiliser cette méthode :
- Accès à mes répertoires réseau via VPN quand je suis en déplacement
- Accès à mes répertoires réseau depuis mon bureau, puis je change de bureau pour une réunion, puis je repasse à mon bureau, etc

Bref, vous l'aurez compris, j'ai besoin de mobilité. Si j'utilise pam_mount, à ma connaissance, il va essayer de connecter les répertoires réseaux au démarrage. Notamment pour mon 1er cas, après avoir lancé mon VPN, je n'aurai jamais la possibilité de lui dire de retenter la connexion aux répertoires réseaux. Est-ce bien le cas ?

Dernière modification par ldcn (Le 07/12/2015, à 12:55)

HPIR40

Re : Sécuriser les credentials de CIFS

Alors

tu es en connexion via vpn, alors la oui j'utilise simplement un petit script avec dedans du montage temporaire des disques reseaux

mount.cifs //ipduserveur/repertoire /home/$login/Reseau -o username=$login,domain=mondomaine

Je n'ai pas trouvé d'alternative a cela, d'ailleurs c'est pareil pour mes utilisateurs windows qui se connectent en VPN, ils utilisent un script VBS pour monter le réseau une fois connecté au vpn.

Avec Pam_mount, justement, contrairement a une ecriture en dur dans le fstab avec du credential, il ne va monter le disque reseau que à l'ouverture de la session.
L'enorme avantage de ce systeme c'est que par exemple

user1 a le droit d'accéder a dossier1 et dossier2 qui sera monté dans /home/user1/Reseau
user2 a le droit d'accéder à dossier3 et dossier4 quis era monté dans /home/user2/Reseau

user1 ouvre sa session sur un pc X, dans son /home/user1/Reseau il y aura dossier1 et dossier2, mais /home/user2/Reseau sera vide
user2 ouvre sa session sur ce même pc X, dans son /home/user2/Reseau il y aura dossier3 et dossier4, mais /home/user1/Reseau sera vide si user1 a fermé sa session.

Donc la c'est l'ouverture de la session qui monte le reseau, ce n'est pas le boot du PC.

J'ai également besoin de mobilité, et franchement depuis que j'ai mis en place ce systeme, dés que j'ouvre ma session sur des serveurs debian ou des pc Ubuntu, j'ai tous mes disques réseaux dispo à volonté sans être obligé de stocker un credential quelque part ou faire un montage en dur dans le fstab.

J'en ai bavé pour ne pas a avoir à utiliser le fstab et credential et trouver cette solution, surtout que c'est plus compliqué à gérer pour des PC avec multi-user, mais maintenant que j'ai gouté à sa souplesse d'utilisation et facilité d'installation (un apt-get install a faire et deux fichiers conf à injecter) , je ne reviendrai pas en arrière.

Dernière modification par HPIR40 (Le 07/12/2015, à 13:00)

ldcn

Re : Sécuriser les credentials de CIFS

Oui, j'ai bien compris l'intérêt. Mais comme tu dis, pam_mount se contente de monter les répertoires à l'ouverture de session. Pour un portable qui bouge sans cesse, ce n'est pas pratique. J'ai l'impression que je vais devoir rester avec mon fstab.

HPIR40

Re : Sécuriser les credentials de CIFS

la seule contrainte c'est que cela ne fonctionne pas pour une connexion via vpn, la je n'ai pas de solution hélas.