使用 .smbcredentials 的更安全替代方案

Question 1

目前，不支持加密凭证。从smbclient手册页中可以看到-U，-A后台传递的内容如下：

   -A|--authentication-file=filename
       This option allows you to specify a file from which to read the
       username and password used in the connection.
       ...
       Make certain that the permissions on the file restrict access from
       unwanted users.

   -U|--user=username[%password]
       Sets the SMB username or username and password.

       ...
       A third option is to use a credentials file which contains the
       plaintext of the username and password. This option is mainly
       provided for scripts where the admin does not wish to pass the
       credentials on the command line or via environment variables. If
       this method is used, make certain that the permissions on the file
       restrict access from unwanted users. See the -A for more details.
       ...

目前，即使在 20.04 中也是如此。您必须使用纯文本凭据。

您声明“用户帐户被泄露的风险”是一种风险，并且这些凭据也是管理员凭据：

机构要求所有密码（管理员、邮件、存储）都只有一个。

IT安全规则2是最小特权和特权分离。这里您将管理员帐户和非管理员帐户分开。 所有优秀的组织都会在某个方面发挥作用。这会阻止其他系统的“管理员”访问。存储和电子邮件访问只是审核访问尝试或限制某人访问信息的方式的问题。

但另一个问题是，如果你的系统被黑客入侵，你就会面临一系列其他问题其中最不重要的是某个特定用户的密码泄露（您可以通过在 Active Directory / LDAP 系统中强制更改密码来解决这个问题）。

唯一的其他方法没有密码泄露可能是在挂载周围编写包装器，手动请求凭据，然后直接执行挂载命令而不暴露凭据文件或密码。这里棘手的部分是，这必须由用户手动输入和执行，这意味着您的自动 fstab 挂载将无法工作。它还需要专门的访问权限（或特定条目sudoers才能正常工作），因为您将传递挂载选项，并且root目前只能在所有mount设置中执行此操作。

至于您评论的其余部分：

... 也许我建议他们允许（或者更好的是，要求）对 samba/存储访问使用不同的密码

... 你必须向 Samba 开发人员提出这个问题在 samba.org 上。虽然这可能是一个已经在排队的请求，但 Windows 互操作性很麻烦，所以...

Answer