Pour la gestion des mots de passe pour serveur, il existe un utilitaire cpm très pratique.
CPM (Password Manager Console) est un outil console permeetant la gestion des mots de passe et autres données sensibles et de les stocker dans un fichier de clé publique cryptée.
Il vous permet également de configurer l’ensemble de la hiérarchie vous-même, il est facilement adaptable à des besoins nombreux. Le chiffrement est gérée par GnuPG, et l’intérieur les données sont stockées au format XML.
Installation
Il n’est disponible que pour wheezy et sid. Pour l’installer sur squeeze :
# wget https://github.com/downloads/comotion/cpm/cpm_0.26-1_amd64_squeeze.deb # aptitude install libcdk5 libcrack2 libdotconf1.0 libgpgme11 libxml2-utils # dpkg -i cpm_0.26-1_amd64_squeeze.deb
Pour utiliser cpm, j’ai créer un utilisateur.
# adduser ykki
Pour sécuriser cet utilisateur, je désactive l’accès ssh de cet utilisateur
# vi /etc/ssh/sshd_config AllowUsers user1 user2 (n'autorise que ces utilisateurs) DenyUsers ykki (refuse cet utilisateur)
Paramétrage de CPM
Sécurité
Connaitre les paramètres de sécurité :
# su - ykki ykki $ cpm -s Running without root privileges: yes Memory protection from core dumps: yes Memory protection from swap writings: no Max. memory lock ok: no (64 kB) Memory protection from ptrace spying: yes Validation of environment variables: yes Cracklib dictionary (/var/cache/cracklib/cracklib_dict):yes
Pour sécuriser au maximun, il faut définir le « Max. memory lock »
# su - # vi /etc/security/limits.conf * hard memlock 32000
Et pour qu’il soit pris en compte
# vi /etc/pam.d/common-session session required pam_limits.so
Vérification du niveau de sécurité
# su - ykki ykki $ cpm -s Max. memory lock, curr: 64 kB, max: 32000 kB Attempting to set limit to: 5120 kB success Running without root privileges: yes Memory protection from core dumps: yes Memory protection from swap writings: yes Max. memory lock ok: yes (32000 kB) Memory protection from ptrace spying: yes Validation of environment variables: yes Cracklib dictionary (/var/cache/cracklib/cracklib_dict):yes
Pages: 1 2
Laisser un commentaire