«

»

Led 22

NeoMutt III. – GnuPG a šifrovanie hesiel

V poradí tretí diel je venovaný bezpečnosti… proprípade lenivosti. 😀

Povieme si v ňom ako vytvoriť šifrovaný súbor s heslom (heslami) pre jeden či viacero účtov. Text bude predpokladať existenciu troch účtov.

Na server je nahraný archív so všeobecným konfiguračným súborom, ktorý obsahuje aj popis vybraných (nie všetkých) možností konfigurácie.

 

 

Vytvorenie digitálneho podpisu a šifrovaného súboru:

Najskôr si v stručnosti zopakujeme niekoľko dôležitých informácii, ktorým sme sa venovali v článku Šifrovanie a digitálny podpis pomocou GnuPG.

 

Prvým krokom, ktorý musíme podstúpiť je vytvorenie vlastného digitálneho kľúča. Ak sme tento krok už absolvovali, rovno prejdeme do druhej fázy. My ostatní si otvoríme terminál.

Najskôr musíme spustiť sprievodcu vytáraním kľúča:

gpg2 --full-gen-key

Po zadaní niekoľkých potrebných informácií si skontrolujeme, či novovytvorený kľúč skutočne existuje:

gpg --list-keys identifikátor_užívateľa

 

Druhým krokom je vytvorenie súboru s názvom napríklad .heslo. Ide o skrytý súbor:

touch ~/.mutt/.heslo

Pomocou nejakého textového editoru si ho otvoríme na úpravu:

mousepad ~/.mutt/.heslo

Obsah súboru môže vyzerať následovne:

set my_pw_personal = „moje_heslo“

set my_pw_work = „moje_heslo“

set my_pw_public = „moje_heslo“

set my_pw_personal = „moje_heslo“ nastaví heslo pre personal

set my_pw_work = „moje_heslo“ nastaví heslo pre work

set my_pw_public = „moje_heslo“ nastaví heslo pre public

 

Tretím krokom je zašifrovanie súboru .heslo pomocou vytvoreného digitálneho podpisu. Na výber sú tri možnosti:

gpg --encrypt --recipient 'identifikátor_užívateľa' ~/.mutt/.heslo

gpg --encrypt --recipient my_email@domain.com ~/.mutt/.heslo

gpg --symmetric ~/.mutt/.heslo

Automaticky sa vytvorí súbor s názvom .heslo.gpg.

Teraz už stačí bezpečne súbor s heslami odstrániť:

shred -xu ~/.mutt/.heslo

 

Pridanie hesla zo šifrovaného súboru do konfiguračného súboru:

Tu máme na výber dve možnosti. Ak používame jeden účet, všetko stačí mať zadefinované v hlavnom konfiguračnom súbore. Ak viac, potrebné heslá pre jednotlivé účty v ich separovaných konfiguračných súboroch.

No ako prvé musíme povedať NeoMuttu, že chceme používať heslo zo šifrovaného súboru. Preto si pomocou nejakého textového editoru otvoríme základný konfiguračný súbor:

mousepad ~/.mutt/muttrc

A na začiatok (riadok musí byť prvý!) v prípade, že máme iba jeden účet pridáme:

source „gpg2 -dq $HOME/.mutt/.heslo.gpg | my_pw_personal“

V prípade, že máme viac účtov, riadok vyzerá následovne:

source „gpg2 -dq $HOME/.mutt/.heslo.gpg |“

Potom si potrebujeme upraviť konfiguračné súbory pre jednotlivé účty. Takže pomocou nejakého textového editoru si ich otvoríme pre úpravy:

mousepad ~/.mutt/personal

mousepad ~/.mutt/work

mousepad ~/.mutt/public

Riadky, ktoré nás zaujímajú nastavujú heslo pre prijímanie a odosielanie pošty:

set imap_pass = $my_pw_personal

set smtp_pass = „$my_pw_personal“

 

set imap_pass = $my_pw_work

set smtp_pass = „$my_pw_work“

 

set imap_pass = $my_pw_public

set smtp_pass = „$my_pw_public“

 

„Aktivácia“ GnuPG agenta počas celého sedenia:

Za normálnych okolností platnosť hlavného hesla vyprší. Ak chceme, aby jeho platnosť trvala počas celého sedenia, máme na výber dve možnosti. Prvá je globálna, druhá pracuje iba s mutt (neomutt). Zdroj tu. Viac informácii o GnuPG na Arch wiki.

Pri prvej (používam, teda je odskúšaná) si musíme upraviť konfiguračný súbor prislúchajúci shellu. V prípade použitia bashu, ide o .bashrc.

 

Pomocou nejakého textového editoru si otvoríme súbor:

mousepad ~/.bashrc

Pridáme tieto dva riadky:

export GPG_TTY=$(tty)
export GPG_AGENT_INFO=$HOME/.gnupg/S.gpg-agent

export GPG_AGENT_INFO=$HOME/.gnupg/S.gpg-agent nie je povinný

 

Ako druhé musíme povedať neomuttu (muttu), že máme zuájem používať GnuPG agenta. Preto si musíme otvoriť konfiguračný súbor:

mousepad ~/.mutt/muttrc

A pridať tento riadok:

set crypt_use_gpgme = yes

Ak všetko prebehlo v poriadku, počas nasledujúceho sedenia sa nemusíme obávať vypršania platnosti hesla pre jedno spustenie NeoMutt. Ak program uzatvoríme a po dlhšom čase znvou spustíme, hlavné heslo je potrebné opäť zadať. Ak sa chceme vyhnúť aj tomuto, postačí úprava (alebo vytvorenie) príslušného konfiguračného súboru gpg-agent.conf, ktorý je lokalizovaný v ~/.gnupg/. Parameteru potom udelíme „nezmyselne“ vysokú hodnotu.

Ak potrebný súbor nie je vytvorený, použijeme príkaz:

touch ~/.gnupg/gpg-agent.conf

Následne ho pomocou nejakého textového editoru otvoríme pre úpravu:

mousepad ~/.gnupg/gpg-agent.conf

 

Pomoc a manuál pre gpg-agent:

gpg-agent -h
man gpg-agent

 

Zaujímajú nás predovšetkým tieto dva údaje:

default-cache-ttl nastaví základný čas v sekundách, počas ktorého je hlavné heslo platné. Predvolená hodnota je 600 sekúnd. Tento údaj nie je potrebné meniť.
max-cache-ttl nastaví maximálny čas v sekundách, počas ktorého je hlavné heslo platné. Predvolená hodnota je 7200 sekúnd, čiže 2 hodiny.

 

Máme nastavené ssh, musíme pracovať s tými hodnotami:

default-cache-ttl-ssh nastaví základný čas v sekundách, počas ktorého je hlavné heslo platné. Predvolená hodnota je 600 sekúnd. Tento údaj nie je potrebné meniť.
max-cache-ttl-ssh nastaví maximálny čas v sekundách, počas ktorého je hlavné heslo platné. Predvolená hodnota je 7200 sekúnd, čiže 2 hodiny.

 

Dvojfaktorové overenie pri Gmail:

Spôsob je až banálne jednoduchý a nevyžaduje žiadnu inštaláciu či konfiguračné súbory. Jdnoducho v Nastaveniach konta, si zvolíme Účty a import. Hneď na začiatku je sekcia Zmeniť nastavenia účtu, ktorá obsahuje Ďalšie nastavenia účtu Google. Po klikuntí sa otvorí nové okno Môj účet. Zvolíme si Prihlásenie a zabezpečenie. Zoskrolujeme trochu nižšie, do časti spadajúcej Prihlásenie do Googlu. Hneď v úvode je Heslo a spôsob prihlasovania, kde nájdeme Heslá aplikácií. Po kliknutí na odkaz sa opäť budeme musieť prihlásiť. Po ňom sa zobrazí okno Heslá aplikácií s dostupným možnosťami. Nachádza sa tam rozlikávací výber. V prvom sa Vyberá aplikácia pre Poštu, v druhom si musíme zvoliť Iné, kde len zadáme Názov. Po jeho vyplnení sa aktivuje tlačidlo Generovať. Po klinutí naň sa otvorí nové okno s heslom.

Heslo je potrebné prepísať (bez medzier) alebo skopírovať do konfiguračného súboru. Buď ako nezabezpečené alebo šifrované. V prípade používania šifrovaného hesla, je nutné opätovne vytvoriť šifrovaný súbor pomocou jedného z príkazou:

gpg --encrypt --recipient 'identifikátor_užívateľa' ~/.mutt/.heslo

gpg --encrypt --recipient my_email@domain.com ~/.mutt/.heslo

 

O autorovi

lombardo1981

Ja som proste ja. Baba zamilovaná do Archu, kyberpunku, metalu, spevu a Slovenských čuvačov.

1 comment

  1. lombardo1981
    Pale Moon 27.2.0 GNU/Linux x64

    Článok som doplnila. Pridala som spôsob ako NeoMutt používať pri dvojfaktorovom prihlasovaní pri Gmail. Nič zložité.

Napsat komentář

%d blogerům se to líbí: