আমি কীভাবে জিপিজি ডিক্রিপশন স্বয়ংক্রিয় করতে পারি যা গোপন রাখার সময় একটি পাসফ্রেজ ব্যবহার করে?

ক্রোন (অথবা যে কোনও উবুন্টু সার্ভারের সামঞ্জস্যপূর্ণ জব শিড্যুলিং সরঞ্জাম) ব্যবহার করে আমাকে জিপিজি ডিক্রিপশন স্বয়ংক্রিয় করার দায়িত্ব দেওয়া হয়েছে। যেহেতু এটি স্বয়ংক্রিয় করতে হবে আমি ব্যবহার করেছি --passphraseতবে এটি শেলের ইতিহাসে শেষ হয় তাই এটি প্রক্রিয়া তালিকায় দৃশ্যমান।

সুরক্ষার ভাল মানের (অগ্রাধিকারযোগ্য) বজায় রেখে কীভাবে আমি স্বয়ংক্রিয় ডিক্রিপশন সম্পর্কে যেতে পারি?

একটি উদাহরণ খুব প্রশংসা করা হবে।

ubuntu security gpg

— জাক্ক কোয়েজি
সূত্র

ভালো আর্গুমেন্ট দৃশ্যমান psইত্যাদি যদি না আপনি hidepidউপর /proc, কিন্তু একটি শেল স্ক্রিপ্ট (ক্রন থেকে বা অন্যভাবে) চলমান নন-ইন্টারেক্টিভ এবং লিখতে ইতিহাস যদি না ত্রুটিপূর্ণভাবে করা উচিত নয়।

— dave_thompson_085

উত্তর:

পাসফ্রেজটি কোনও ফাইলে সংরক্ষণ করুন যা ক্রোন জবের ব্যবহারকারীদের দ্বারা কেবল পঠনযোগ্য এবং সেখানে পাসফ্রেজটি পড়তে --passphrase-fileবলার gpgজন্য বিকল্পটি ব্যবহার করুন ।

এটি নিশ্চিত করবে যে মেমরিতে প্রক্রিয়া সম্পর্কিত তথ্যে পাসফ্রেজ দৃশ্যমান নয়। সুরক্ষার স্তরটি পাসফ্রেজ সংরক্ষণ করে ফাইলের অ্যাক্সেসের স্তরের (পাশাপাশি কীটি থাকা ফাইলটিতে অ্যাক্সেসের স্তর) দ্বারা নির্ধারিত হবে, এর লিখিত সামগ্রীর যে কোনও জায়গায় অনুলিপি করা হয়েছে (তাই ব্যাকআপ সহ যত্ন নিন), এবং অফ-লাইন অ্যাক্সেসিবিলিটি (সার্ভার থেকে ডিস্কটি টেনে তোলা)। এই স্তরের সুরক্ষা পর্যাপ্ত কিনা তা শারীরিকভাবে এবং সফ্টওয়্যারটিতে থাকা ফাইলটি সার্ভারের আপনার অ্যাক্সেস নিয়ন্ত্রণের উপর এবং আপনি যে পরিস্থিতিগুলি প্রশমিত করার চেষ্টা করছেন তার উপর নির্ভর করবে।

আপনি যদি দুর্দান্ত সুরক্ষা মান চান তবে আপনার কী (এবং পাসফ্রেজ) স্থানীয়ভাবে সংরক্ষণ করার পরিবর্তে আপনাকে একটি হার্ডওয়্যার সুরক্ষা মডিউল ব্যবহার করতে হবে । এটি চাবিটি সিটোতে ব্যবহার হতে বাধা দেবে না , তবে এটি অনুলিপি করে এবং অন্য কোথাও ব্যবহার করা থেকে বিরত রাখবে।

— স্টিফেন কিট
সূত্র

হার্ডওয়্যার সুরক্ষা মডিউল উল্লেখ করার জন্য +1, একমাত্র সমাধান, সত্যই, এই বিপরীতে।

— মারিউস ম্যাটুটিয়া

হার্ডওয়্যার সুরক্ষা মডিউল উল্লেখ করার জন্য স্টিফেন ধন্যবাদ, আমি কিছু গবেষণা করব। আমাকে সঠিক দিকে নির্দেশ করার জন্য ধন্যবাদ।

— জাক্ক কোয়েজি

@ স্টেফেনকিট হার্ডওয়্যার কীগুলি কাজ করার সময় দুর্দান্ত। যখন তারা ভাল না ...

— Satō Katsura

@ স্যাটাক্যাটসুর সত্য, যদিও আমি এটি উল্লেখ করব যে ইউবিকি কোনও এইচএসএম নয়। (যার অর্থ এইচএসএমগুলি অবশ্যই দুর্বল নয় ))

— স্টিফেন কিট

"আপনি যদি দুর্দান্ত সুরক্ষা মান চান," তবে আপনার একটি স্বয়ংক্রিয় চাকরী ডিক্রিপ্ট বা কোনও কিছুতে স্বাক্ষর করতে পারবেন না।

— জিমিবি

স্বয়ংক্রিয় ডিক্রিপশন মানে আপনার পাসফ্রেজটি কোথাও সংরক্ষণ করতে হবে, বা একটি পাসফ্রেজ ব্যবহার করবেন না (যদি আপনি আমার টাইপ করার সময় স্টিফেনের জমা দেওয়া অন্য উত্তরে নির্দেশিত অতিরিক্ত বিকল্পগুলি ব্যবহার না করেন)! সুরক্ষিত বা দুর্দান্ত সুরক্ষার জন্য আপনার প্রয়োজনগুলির সাথে মেলে না।

যেমন আপনার প্রয়োজনীয়তা এটি সুরক্ষিত হওয়ার সাথে সামঞ্জস্য নয়।

আপনি যেমন জিনিসগুলির উপর নির্ভর করতে পারেন - আপনাকে মূল হতে হবে, আমি আমার পাসফ্রেজটি একটি সত্যই বিভ্রান্তিকর নাম সংরক্ষণ করেছিলাম এমন ফাইল দিয়েছি, আমি অন্তর্নিহিত ফাইল সিস্টেমগুলি, ইত্যাদি ইত্যাদি এনক্রিপ্ট করেছি তবে সেগুলি সমস্ত স্তর রয়েছে they আপনি প্রথম স্থানে শিকড় পরে একবার যা অবনতি তুচ্ছ।

প্রক্রিয়া তালিকায় পাসফ্রেজ প্রদর্শিত হওয়া বিকল্পটি হ'ল --passphrase-file <file-name>।

তবে এটি প্রথম স্থানে পাসফ্রেজ অপসারণ করা ছাড়া আর নিরাপদ নয়।

— EightBitTony
সূত্র

টনিকে ব্যাখ্যা করার জন্য আপনাকে ধন্যবাদ, আপনি বিষয়টি সম্পর্কে আরও ভাল মতামত দিয়েছেন। স্টিফেন দ্বারা উল্লিখিত একটি হার্ডওয়্যার সুরক্ষা মডিউল মূল লক্ষ্য হবে।

— জাক্ক কোয়েজি

@ জাককোয়েটজি: অন্য উত্তরে আমি যেমন বলেছি, আক্রমণকারী যদি মূল হয় তবে কীভাবে এইচএসএম ব্যবহার করা বন্ধ করে দেয়?

— মার্টিন বোনার

@ মার্টিনবোনার যেমন উপরে বলেছিলেন স্টিফেন কিট তাদের চাবি পাওয়ার থেকে বিরত রাখে যা চাবি পাওয়ার চেয়ে স্পষ্টতই ভাল is

— জাক্ক কোয়েজি

এটি, তবে খুব বেশি ভাল নয়। দিগিনোটারকে জিজ্ঞাসা করুন (যার এইচএসএম-তে কী ছিল, তবে এইচএসএম সংযুক্ত করে এবং স্লটে প্রাসঙ্গিক স্মার্ট কার্ড দিয়ে রেখেছিল - যাতে কোনও আক্রমণকারী আক্রমণকারীর বেশ কয়েকটি শংসাপত্রে স্বাক্ষর করতে পারে))

— মার্টিন বোনার