[Linuxcantabria] Autenticación en Courier-IMAP y passwords en plano en .fetchmailrc

Miguel Telleria de Esteban miguel en mtelleria.com
Lun Dic 3 09:28:34 CET 2007 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hola Jaime,

Sólo puedo responder a tu segunda pregunta y para confirmarte lo que
dices :).

Jaime Gómez Obregón escribió:
> Buenos días a todos,
> 
> Hace poco me falló un disco duro y al final he tenido que reinstalar mi 
> sistema en un servidor que tengo para usar en casa. Estoy usando 
> Fetchmail para bajar mi correo desde los buzones externos hasta el 
> Maildir de mi usuario en ese servidor, y Courier como servidor IMAP, al 
> que me conecto desde otros equipos para leer mi Maildir y tener así todo 
> mi correo centralizado en un solo lugar.
> 
> Me estoy autenticando usando el password de mi usuario local (authpwd 
> [1]), pero no me gusta mucho la idea. Aunque uso SSL, igual un día me 
> olvido de ponerlo y mando el password de mi usuario en plano por ahí...
> 
> ¿Conocéis alguna manera más segura? ¿authshadow quizás?
> 
> [1] http://www.courier-mta.org/FAQ.html#authlib
> 
> Por otra parte... y con esto no sé si soy un poco paranoico, pero en 
> ~/.fetchmailrc están los passwords de los buzones externos en plano. No 
> me gusta nada la idea de hacer un cat y verlos, así que me pregunto si 
> se puede evitar de alguna manera que los passwords de Fetchmail se 
> guarden en plano. Creo que no la hay, o por lo menos eso deduje hace un 
> tiempo.

Pues sí así es.  La razón segun su autor "sir :)" Eric S. Raymond es que
 dado que es necesario guardar el nombre en claro en algún lugar o de
alguna forma, el ofuscarlo sin ninguna clave añadiría "sensación de
falsa seguridad".

Quizás algo de razón tenga pero no costaría nada dar la opción de
encriptarlo con tu clave GPG por ejemplo.

Lo que sí hace fetchmail (creo) es comprobar que el fichero sólo tiene
permisos de lectura para el usuario y de no ser así se para y te avisa
del problema.

Por lo tanto mientras no des acceso a tu cuenta a nadie y confíes en la
seguridad de tu equipo ante intrusiones deberías estar tranquilo
respecto a fetchmail.

	Miguel

> 
> Un saludo,
> 
> 

- --
|     (O-O)
- ---oOO-(_)-OOo-----------------------------------------------------
 Miguel TELLERIA DE ESTEBAN               Personal Homepage:
 Email: Miguel at mtelleria.com           http://www.mtelleria.com

 Miembro de http://www.linuca.org         Tel home: +34 942 277429
 Membre de  http://www.bxlug.be           GSM:      +34 650 801098
- -------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHU74yFZSFLxwXZdIRAuc+AJ0ZzjC8USD3kUtcpJA5ioUYYoY9uQCfbk1c
HJW7t+NEUbAlyuv75ulK8Kw=
=L/fF
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución Linuxcantabria