Expert GuideIBM Storage Protect Server Version 8.1.20.0 bringt die neue Funktion CREDENTIALSFILE für Admin CLI (dsmadmc)

Sichern Sie Ihre Administrator-ID und Ihr Passwort mit einer Anmeldedatei

Das Kommando dsmadmc wurde um die Option -CREDentialsfile=filename erweitert.

Damit ist man in der Lage, die Anmeldeinformationen UserID und Passwort, die normalerweise durch die Optionen -ID=userid und -PAssword=password dem Kommando mitgegeben werden, über eine Anmeldedatei (Credential File) zu übergeben. In dieser Anmeldedatei werden lediglich der Administrator und das Passwort untereinander geschrieben.

Damit sind UserIDs und Passwörter im Klartext in Shell-Skripts endlich Geschichte.

Der Sicherheitsaspekt

Aus Sicherheitsgründen sollten Sie darauf achten, dass diese TOP SECRET Anmeldedatei gut versteckt und nicht von jedem sofort sichtbar bzw. lesbar ist.

Mögliche Sicherheitsvorkehrungen in einer Linux-Umgebung

In einer Linux-Umgebung könnte man z.B. eine .topsecretpw (versteckte Datei) erstellen, diese ist mit einem normalen „ls“ Kommando nicht sichtbar.

Zudem sollten Sie die Datei nur für den Besitzer lesbar machen. Damit sind nur Sie und root in der Lage, die Datei zu lesen.

Dies ist besonders wichtig, da man bei einem ps -ef | grep dsmadmc auch den Namen und ggf. auch den Pfad der Anmeldedatei sehen kann, wie im folgenden Bild dargestellt.

Damit Dateiname und ggf. Pfad der Anmeldedatei nicht im Klartext angegeben werden muss, könnte man dafür auch eine Umgebungsvariable setzen.

Sicherheitsvorkehrungen in einer Windows-Umgebung

In einer Windows-Umgebung könnte man die Datei über die Dateieigenschaften verstecken.

Zudem wäre es denkbar, eine andere Dateiendung oder keine Dateiendung zu verwenden.

Dies macht die Datei unauffälliger.

Auch hier könnte man Pfad und Dateiname der Anmeldedatei durch eine Variable verstecken.

Sollte sich die Datei in den eigenen Dateien befinden, können nur der eigene Benutzer und der Administrator darauf zugreifen.

Wenn man die Datei außerhalb der eigenen Dateien ablegen muss, könnte man den Zugriff über „Gruppen- und Benutzernamen“ in den „Dateieigenschaften“ im Reiter „Sicherheit“ z.B. wie folgt, einschränken.

Und natürlich sollte im Pfad oder Dateinamen nicht TOPSECRET oder PW vorkommen. 😉

Wichtiger Hinweis:

Die Option -CREDentialsfile kann nicht in Verbindung mit Multifactor Authentification (MFA) verwendet werden.

Fazit

Ich erlaube mir an dieser Stelle ein Fazit und meine persönliche Meinung zu dieser Option abzugeben. Diese Option ist eine nette Möglichkeit, Admins und Passwörter aus den Skripts verschwinden zu lassen. User und Passwort sind zunächst nicht mehr sichtbar. Jedoch wenn ein Eindringling die Anmeldedatei findet, hat dieser wieder Admin und Passwort.

Ich hätte mir erhofft, dass die IBM-Entwickler hier mit einer Verschlüsselungsmethode gearbeitet hätten, ähnlich wie beim Backup/Archive Client und der Option PASSWORDACCESS GENERATE. Man hätte auch mit einer PKI-Lösung arbeiten können.

Aus meiner Sicht ist diese Methode halbfertig und nicht wirklich sicher. Trotzdem nehme ich diese Option dankend an und werde sie auch zukünftig zum Skripten einsetzen.

Quelle

https://www.ibm.com/docs/en/storage-protect/8.1.20?topic=client-administrative-options