SMB/CIFS Passwort in /etc/pve/priv/storage/Notebook-Backup.pw im KLARTEXT

[cbadba]

Problembeschreibung:

Einrichtung eines SMB/CIFS Mounts für Backupzwecke an ein PVE mit Eintrag in /etc/pve/storage.cfg
cifs: Notebook-Backup
path /mnt/pve/Notebook-Backup
server 192.168.178.101
share ProxmoxBackup
content backup
domain MYDOMAIN
prune-backups keep-all=1
username MYUSERNAME

Die Einrichtung erfordert selbstverständlich das User-Passwort, welches allerdings im KLARTEXT in /etc/pve/priv/storage/Notebook-Backup.pw sichtbar wurde!

Ist das bekannt - gibt es eine Abhilfe?

Danke für PVE (super Produkt !!!) und euren Support,
Christian

 

[dokkenrolf]

Ich versuche mal eine Antwort, weil ich das eigentlich unter Proxmox noch nie benötigt habe und dies nur allgemein unter Linux kenne. Ja, das SMB-Passwort wird im Klartext abgespeichert. Unter Linux gehe ich dann hin und setze für diese *.pw-Datei eine entsprechende Berechtigung:

chmod 600 PASSWORTDATEI

So kann nur der Eigentümer der Datei diese lesen. ABER: Unter Proxmox bist du meist als root angemeldet, deshalb kenne ich die richtige Vorgehensweise dort nicht. Ich selber vermeide dies unter Proxmox (und meist auch unter Linux) grundsätzlich und verwende NFS statt SMB/CIFS, auch z. B. auf eine Synology NAS, was man ja gerne im Homelab oder bei kleinen Firmen verwendet. Meine Devise lautet also: Linux<->Linux (Proxmox) immer NFS verwenden.

 

[Impact]

Die Dateien in diesem Ordner haben bereits 600 Rechte und /etc/pve unterstützt kein chmod: https://pve.proxmox.com/wiki/Proxmox_Cluster_File_System_(pmxcfs)

 

[fabian]

um den export mounten zu koennen braucht PVE diese daten im klartext. um das risiko zu minimieren sind sie nur fuer root lesbar.

 

[cbadba]

Ok - danke Fabian - also works as designed.

Es ist schon richtig, dass ausschließlich root sie sehen darf.
Aber: wenn root halt doch ein anderer Admin ist, als der Eigner dieses Mounts, finde ich das recht "unschön".
Angenommen, ich als User möchte meinem Proxmox Admin ein Share zur Verfügung stellen ... und würde davon ausgehen, dass mein Passwort geheim bleibt, wenn ich (ohne dass er zusieht) in das Feld eingebe ...

Nunja - dieser Annahme bin ich dann nicht mehr ;-)
Und ich bin auch gewarnt, dass ich kein cat auf diese Datei machen sollte, wenn jemand zusieht.

Danke für die schnelle Antwort!
Vielleicht kann man in Zukunft hier noch was verbessern - das würde mich sehr freuen.

 

[dokkenrolf]

Vielleicht kann man in Zukunft hier noch was verbessern - das würde mich sehr freuen.

Das ist ein Linux-Standard. Ich glaube nicht, das Proxmox daran was ändern kann oder will.