3 votes

bias avatar

Comment puis-je utiliser fetchmail (ou un autre logiciel de récupération de courrier électronique) avec le trousseau d'accès OSX pour l'authentification?

Demandé el 9 de Juin, 2010
Quand la question a-t-elle été
2809 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

De nombreux tutoriels fetchmail que j'ai lus disent que mettre le mot de passe de votre compte email en clair dans un fichier de configuration est sécurisé. Cependant, je préfère la sécurité à travers des couches [***exemple idiot : si mon terminal est ouvert et que quelqu'un soupçonne une telle manipulation d'email, glisse simplement et tape "grep -i pass ~/.*", alors, oops, tous mes biens leur appartiennent! surtout si mon fournisseur de messagerie utilise openid (ou si je suis suffisamment bête pour utiliser le même mot de passe pour ma banque)]**.

Maintenant, avec msmtp (par opposition à sendmail), je peux m'authentifier en utilisant le trousseau d'OSX. Existe-t-il un 'grabber' d'email gratuit/open source qui me permet d'utiliser les trousseaux (ou tout du moins, qui me permet de MD5 le mot de passe)?

Demandé el 9 de Juin, 2010 par bias

Réponses

Trop de publicités?

5voto

medina avatar
medina Points 1950

Depuis un point de vue purement utilitaire, oui, vous pouvez utiliser Keychain. Je vous encourage fortement à lire l'intégralité de la page de manuel security(1) qui contient des avertissements supplémentaires.

Vous pouvez saisir le mot de passe en utilisant le programme Keychain ou via la ligne de commande :

# ATTENTION : expose le mot de passe dans ps(1), history(1), etc.
$ security add-internet-password -a $USER -s pop3.example.com -w 'Mellon!'

Vous pouvez extraire ceci avec :

# Remarque : par défaut, la première utilisation demandera
$ security find-internet-password -s pop3.example.com -a $USER -g

Si vous choisissez Toujours autoriser, security(1) pourra récupérer ces informations d'identification sans demander d'autorisation supplémentaire. Cela peut représenter un risque pour votre système. Vous pourriez choisir de toujours demander votre mot de passe avant de lancer l'application, cependant.

Enfin, grâce à ceci, vous pouvez envelopper votre appel à fetchmail avec un script tremplin qui configure le mot de passe à utiliser.

user=$USER
serveur=pop3.example.com
# ATTENTION : création et utilisation de fichiers temporaires non sécurisées
# Comme le mentionne [DAM][1], voir mkstemp(3)
fichier_temp=/tmp/fetchmailrc.$$ 

mot_de_passe=$(security find-internet-password -s $serveur -a $USER -g 2>&1 \
           | perl -ne '/password: "(\S*)"/ et print $1')

# créer un fetchmailrc temporaire et le passer à fetchmail, etc...
cat < $fichier_temp
poll $serveur avec proto POP3 et options no dns
  utilisateur $user avec mot de passe '$mot_de_passe' est $user ici 
  options keep mda '/usr/bin/procmail -d %T'
EoF

fetchmail -d -f $fichier_temp
rm -f $fichier_temp

Alors que cela atteint votre objectif déclaré de ne pas avoir de fichiers évidents contenant des mots de passe, j'ai noté les risques de sécurité encore présents avec cette configuration, que vous devriez prendre en compte.

Répondu el 12 de Juin, 2010 par medina (1950 Points )

1voto

Jeremy avatar
Jeremy Points 1917

Si le trousseau de clés permet de soulever le mot de passe en clair, alors c'est possible, mais vous ne pouvez pas MD5 mots de passe localement, car le serveur le veut dans son propre format (généralement en clair)

Répondu el 11 de Juin, 2010 par Jeremy (1917 Points )

1voto

WheresAlice avatar
WheresAlice Points 5200

Pour utiliser imap/smtp/pop3 standard, vous avez besoin d'un mot de passe en texte clair. Donc, si vous voulez le stocker localement, il doit être dans un format réversible, ce qui n'est pas une bonne nouvelle pour l'utilisation du trousseau d'accès. Cependant, si le serveur de messagerie le prend en charge, vous pouvez vous authentifier à l'aide d'un certificat X.509 et de SSL. Ce certificat peut être avec ou sans mot de passe et peut être stocké dans le trousseau d'accès de Mac OS X.

ce que je ne peux pas répondre, c'est si un logiciel prend en charge cette configuration, car je ne suis pas un utilisateur de Mac. De plus, votre serveur doit également prendre en charge l'authentification X509.

Répondu el 11 de Juin, 2010 par WheresAlice (5200 Points )

1voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

@medina,

Au lieu de "tmpfile=/tmp/fetchmailrc.$$", je recommanderais d'utiliser mktemp(1) s'il est disponible.

Répondu el 12 de Juin, 2010 par Utilisateur non enregistré (0 Points )

1voto

coobird avatar
coobird Points 70356

Si récupérer des e-mails via POP3 vous suffit, jetez un œil à l'excellent mpop. Il est du même auteur que msmtp et prend en charge le trousseau d'accès OSX pour stocker les informations d'authentification.

Pour IMAP4, vous pourriez utiliser le très agréable OfflineIMAP et le connecter à un trousseau d'accès OSX en utilisant le hook Python de William Snow Orvis.

Personnellement, je préfère ces outils à fetchmail (en raison par exemple de la vitesse de téléchargement, de l'ensemble de fonctionnalités, de la configuration), mais votre expérience peut varier.

Répondu el 13 de Juin, 2010 par coobird (70356 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X