Mehrere Login-Sessions auf einem Rechner: einen gemeinsamen gpg-agent oder pro Session einen eigenen?
Michael Kesper
mkesper at fsfe.org
Di Jan 6 14:22:27 CET 2015
Hallo zusammen,
Am 03.01.2015 um 13:14 schrieb Mathias Bauer:
> * Helmut Waitzmann schrieb am Di, 23. Dez 2014, um 19:47 (+0100):
>> Wie garantierst du, dass diese Datei dem Benutzer gehört, der
>> gerade ein gpg-agent starten will?
>
> Das folgende Setting ist beim Start des gpg-agent sinnvoll. Die
> Quellen von gpg-agent habe ich mir jetzt nicht angesehen.
>
> 1. Das Verzeichnis von $FILE ist sicher.
> 2. $FILE braucht evtl. gar nicht zu existieren.
>
> Für Punkt 1 hast Du drei Möglichkeiten:
>
> 1. Installiere libpam-tmpdir. Das sichert Dir ein Verzeichnis
> /tmp/user/<UID> mit sicherem Eigentümer und Berechtigungen.
> 2. Überprüfung selbst basteln mit den üblichen Verdächtigen aus
> den coreutils: also z. B. mit stat -c ...
> 3. Kombination aus 1. und 2.
>
> Dann wäre FILE=/tmp/user/<UID>/gpg-agent-info sicher.
Eine weitere Möglichkeit wäre noch die Verwendung von systemd und
PrivateTmp=yes
http://0pointer.de/blog/projects/security.html
Viele Grüße
Michael
Mehr Informationen über die Mailingliste Gnupg-de