IRC Client для Bitlbee - сквозное шифрование?

Я новичок в Bitlbee, использую его с libpurple для агрегирования всех моих сообщений. Это очень круто, но у меня есть некоторые проблемы с безопасностью, которые я хотел бы уточнить.

При подключении с IRC-клиента (я использую weechat.el на emacs) к локальному шлюзу Bitlbee кажется, что я не могу сохранить информацию в зашифрованном виде из-за отсутствия поддержки Bitlbee для клиентского SSL?

Это означает, что информация передается в открытом виде:

weechat.el -SSL-> WeeChat(Relay) -PLAIN-> Bitlbee -SSL-> | Брандмауэр | -> Skype/Facebook

Единственный совет, который я могу найти, касается защиты соединения от внешней сети с использованием stunnel. Хотя это хороший совет, он бесполезен локально, так как в конечном итоге stunnel будет по-прежнему общаться с bitlbee по незащищенному соединению, поэтому наличие локального stunnel, безусловно, является пустой тратой времени?

Я понимаю, что наличие небезопасного локального соединения является относительно низким риском, но это означает, что идентификация пользователя на клиенте и любые отправленные сообщения технически могут быть обнаружены через интерфейс lo кем-то, кто имеет root-доступ к серверу?

В идеальном мире эта информация никогда не будет отображаться в любой текстовой форме.

У меня есть несколько вопросов

Можно ли обеспечить сквозное шифрование SSL от клиента к Bitlbee?

Если нет, то какие шаги помимо совместного размещения клиента и сервера на одном сервере (или с использованием stunnel) рекомендуются? Очевидно, я могу заблокировать весь входящий трафик через порт 6667, но есть ли что-нибудь еще?

Кто-нибудь может прояснить фактический риск перехвата пакетов на локальных соединениях?

1 ответ

Решение

Можно ли обеспечить сквозное шифрование SSL от клиента к Bitlbee?

Нет, Bitlbee не поддерживает сервер SSL/TLS.

Хотя это хороший совет, он бесполезен локально, так как в конечном итоге stunnel будет по-прежнему общаться с bitlbee по незащищенному соединению, поэтому наличие локального stunnel, безусловно, является пустой тратой времени?

Идея состоит в том, что stunnel будет работать на том же хосте, что и Bitlbee, а не на том же хосте, что и ваш клиент.

Кто-нибудь может прояснить фактический риск перехвата пакетов на локальных соединениях?

В Linux и большинстве других Unix-подобных операционных систем это доступно только пользователю root, то есть администратору сервера. Если вы не доверяете root, вы не можете доверять серверу.

Другие вопросы по тегам