4
Strongswan und Passwörter
Hallo,
gibt es in Strongswan die Möglichkeit, zumindest Passwörter nicht im Klartext speichern zu müssen? Den Zugriff auf ipsec.secrets auf root zu begrenzen reicht aus meiner Sicht nicht aus, schon gar nicht bei XAUTH. Eventuell mit swanctl möglich? Ich finde es merkwürdig, bei einer kritischen Anwendung wie Strongswan alles im Klartext speichern zu müssen. Oder muss ich dafür ein Bash-Script basteln?
Merci
gibt es in Strongswan die Möglichkeit, zumindest Passwörter nicht im Klartext speichern zu müssen? Den Zugriff auf ipsec.secrets auf root zu begrenzen reicht aus meiner Sicht nicht aus, schon gar nicht bei XAUTH. Eventuell mit swanctl möglich? Ich finde es merkwürdig, bei einer kritischen Anwendung wie Strongswan alles im Klartext speichern zu müssen. Oder muss ich dafür ein Bash-Script basteln?
Merci
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 744474495
Url: https://administrator.de/contentid/744474495
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
wenn du dir darum Gedanken machst, würde ich die Authentifizierung auf Zert oder Zert + User-Auth umstellen.
Speichern des Passworts ist ja eigentlich nur bei einer automatischen Anmeldung nötig. Da hat auch OVPN im Vergleich das selbe Problem.
Gruß
Spirit
wenn du dir darum Gedanken machst, würde ich die Authentifizierung auf Zert oder Zert + User-Auth umstellen.
Speichern des Passworts ist ja eigentlich nur bei einer automatischen Anmeldung nötig. Da hat auch OVPN im Vergleich das selbe Problem.
Gruß
Spirit
Zusätzlich zur vorzuziehenden zertifikatsbasierenden Authentifizierung lassen sich Secrets auch Zentral auf einem Radius Backend mit Strongswan anbinden
https://wiki.strongswan.org/projects/strongswan/wiki/EAPRADIUS
Da man meist sowieso irgendwo einen Radius stehen hat mach ich mir ja nicht nochmal extra die Mühe eine zweite cred. DB aufzubauen wenn man doch noch Passwörter nutzt.
Grüße Uwe
https://wiki.strongswan.org/projects/strongswan/wiki/EAPRADIUS
Da man meist sowieso irgendwo einen Radius stehen hat mach ich mir ja nicht nochmal extra die Mühe eine zweite cred. DB aufzubauen wenn man doch noch Passwörter nutzt.
Grüße Uwe
Hi,
mir geht es explizit um ikev1 mit PSK und XAUTH (main mode) auf einem HO-Laptop.
Was ist mit automatischer Anmeldung gemeint?
Die Verbindung starte ich manuell mit sudo ipsec up myvpn
Kann ich irgendwo sagen, dass er nach dem Passwort fragen soll? Nehme ich das Passwort aus ipsec.secrets raus, fragt er nicht. Gibt es einen Parameter dafür?
mir geht es explizit um ikev1 mit PSK und XAUTH (main mode) auf einem HO-Laptop.
Was ist mit automatischer Anmeldung gemeint?
Die Verbindung starte ich manuell mit sudo ipsec up myvpn
Kann ich irgendwo sagen, dass er nach dem Passwort fragen soll? Nehme ich das Passwort aus ipsec.secrets raus, fragt er nicht. Gibt es einen Parameter dafür?
Zitat von @Inf1d3l:
Kann ich irgendwo sagen, dass er nach dem Passwort fragen soll? Nehme ich das Passwort aus ipsec.secrets raus, fragt er nicht. Gibt es einen Parameter dafür?
Hier kannst du Creds auf der Konsole mitgebenKann ich irgendwo sagen, dass er nach dem Passwort fragen soll? Nehme ich das Passwort aus ipsec.secrets raus, fragt er nicht. Gibt es einen Parameter dafür?
https://wiki.strongswan.org/projects/strongswan/wiki/Charon-cmd
Ist aber genau so unsicher wie wenn du es abspeicherst. Du kannst es ja per Keychain verschlüsselt an
ablegen und mittels Agent entschlüsseln lassen
