[confidentialité] Protection d’un fichier avec umask

Pour mettre un secret dans un fichier, on est tenté de faire :

touch /etc/racoon/secret.txt
chmod 600 /etc/racoon/secret.txt
vi/etc/racoon/secret.txt

Sauf qu’il faut absolument rendre atomique l’opération de création et d’ajustement des permissions : l’attaquant peut ouvrir un descripteur de fichier entre la création du fichier et l’ajustement des droits!

Ce qu’il est donc préconisé de faire :

umask 0066
touch /etc/racoon/secret.txt
vi/etc/racoon/secret.txt

Après, on pourra remettre une valeur moins restrictive pour umask :

umask 0022

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *