The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Доступ к шифрованному файлу паролей
В моей сети есть много устройств и служб, доступ к которым осуществляется
посредством telnet. Обычно, устройства группируются по типу и зачастую имеют
разные пароли. Запомнить десяток паролей, помимо личных, не всегда легко.
Привычно хранить пароли внутри шифрованного раздела, хранилища TrueCrypt или
шифрованного с помощью GPG файла. А пользователям Windows со своей SecureCRT,
вообще, об этом думать не надо.

Тем не менее использовать SecureCRT можно и в Linux. В моем случае
(используется шифрованный GPG-файл) неудобство появляется в тот момент, когда
нужно скопировать пароль в буфер обмена: приходится переключаться с клавиатуры
на мышь. Это неудобно + если за вашей спиной стоит инженер из другой службы, не
всегда нужно, чтобы он видел ваши пароли. Выход найден в использовании утилиты xclip.

Но до удобного использования xclip нужно сделать дополнительные манипуляции с
файлом .bash_aliases. Я дописал в свой .bash_aliases следующее:

   # TrueCrypt
   secret ()
   {
       local KEY="$1"
       local FILE="<ПУТЬ К ФАЙЛУ С ПАРОЛЯМИ>"
       echo -ne `awk '/^'$KEY'/ {print $2;exit}' $FILE` | xclip
   }

   # GPG
   secret_gpg ()
   {
       local KEY="$1"
       local FILE="<ПУТЬ К ШИФРОВАННОМУ ФАЙЛУ С ПАРОЛЯМИ>"
       echo -ne `gpg -o - $FILE | awk '/^'$KEY'/ {print $2;exit}'` | xclip
   }

   alias @="secret_gpg"

Немного о формате файла с паролями. Файл состоит из строк, содержащих ключ и
текст для копирования в буфер обмена, разделенных пробелами. Например:

   cisco true\nDFDFDGDF\n
   dlinka admin\nEEEEEEE\n
   dlinkt technical\nDDDDDD\n

Я использую GPG, поэтому написал алиас для @ как secret_gpg. Вы можете
использовать secret. Теперь можно делать так:

   true@hamster:~$ @ cisco
   true@hamster:~$ telnet router1


Разумеется, в последнем примере пароль был не введен вручную, а просто вставлен
из буфера обмена (в gnome-terminal с помощью Shift+Ins).
 
26.10.2009 , Автор: Вячеслав , Источник: http://trushkinv.livejournal.com/38...
Ключи: crypt, shell, password
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, mummy (?), 20:25, 26/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошо бы потом клипборд почистить
     
  • 1.2, demimurych (?), 22:38, 26/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В моей сети есть много устройств и служб, доступ к которым осуществляется
    > посредством telnet

    например?

     
     
  • 2.3, Вячеслав (??), 04:54, 27/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Предположите сами
     
     
  • 3.23, dq0s4y71 (??), 11:41, 28/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Предположите сами

    "Догадайся, мол, сама..." ;)

     

  • 1.4, daevy (?), 06:33, 27/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    по моему использование telnet уже сводит на нет все ваши усилия по сохранности паролей
    http://ru.wikipedia.org/wiki/Telnet#.D0.91.D0.B5.D0.B7.D0.BE.D0.BF.D0.B0.D1.8
     
     
  • 2.6, Аноним (-), 08:47, 27/10/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > по моему использование telnet уже сводит на нет все ваши усилия по сохранности паролей

    А по-моему, Вы кроме PC ничего не видели. Не все Cisco имеют IOS, поддерживающий шифрование, а замена не всегда возможна - IOS стОит денег (привычка воровать не всегда остается безнаказанной), может не хватать аппаратных ресурсов (RAM, FLASH), могут не устраивать возможности и ошибки в релизе. А кроме Cisco есть еще масса другого оборудования, о котором Вы, вероятно, не слышали - D-Link, 3COM, Allied Telesis, RAD, Nateks, Juniper, MOXA, LinkSys, и масса другого. Не все устройства (скорее, лишь немногая часть) умеют ssh. И что ВЫ будете в таком случае делать?
    А еще, уверен, Вы и не знаете, что, как правило, оборудование управляется с "приватных", т.е. недоступных снаружи, адресов в отдельном VPN второго (VLAN) или третьего (MPLS/VRF) уровня, куда нет доступа извне - включая физический. И как Вы в таком случае "скомпрометируете" систему?

    Так что учите матчасть, и не делайте безграмотных заявлений.

     
     
  • 3.11, QuAzI (ok), 15:52, 27/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и пофиг. Циска в серверной стойке, рядом пара серверов, на серверах ssh, воткнул шнурочек в COM-порт и оп, продолжаем рулить циской по ssh... в чём проблема?
    А при чём тут VPN? Уж давайте или про зашифрованный канал и нормальных подход, с ключами и прочим, что действительно трудно "прочитать из за плеча" или про простенький telnet, пароли в буфере и толпу китайцев которые за спиной хором напевают пароли вместо караоке.

     
     
  • 4.14, rusty_angel (ok), 00:14, 28/10/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Ну и пофиг. Циска в серверной стойке, рядом пара серверов, на серверах
    >ssh, воткнул шнурочек в COM-порт и оп, продолжаем рулить циской по
    >ssh... в чём проблема?

    Вообще-то не очень красиво.

     
  • 4.19, Аноним (-), 10:26, 28/10/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А при чём тут VPN?

    Притом. Если Вы видели только сети, где все в одной среде - значит, ВЫ не видели нормальные сети. К слову, VPN - это и VLAN (2 уровень), и MPLS/VRF (3 уровень) - серьезное промышленное решение. А не только PPtP/IPSec, что обычно обыватели подразумевают под VPN.

     
     
  • 5.27, Ы (?), 19:25, 29/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    У какой забавный кошковод :) Напомни что там в талмуде про VLAN & security написано? То-то же. Только если VLAN-ские тэги из ящика не выходят, а это значит ... SSL\TLS\SSH и сейчас - ваши лучшие друзья.
     
     
  • 6.28, Аноним (-), 10:06, 30/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >У какой забавный кошковод :) Напомни что там в талмуде про VLAN
    >& security написано? То-то же. Только если VLAN-ские тэги из ящика
    >не выходят, а это значит ... SSL\TLS\SSH и сейчас - ваши
    >лучшие друзья.

    Бред дилетанта.

     
     
  • 7.30, Аноним (-), 09:26, 02/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Бред дилетанта.

    Вам никогда ящик не ломали с оборудованием и не вставляли туда в "разрыв" оборудование взломщика, а ведь оно может слушать и генерировать любой нужный тег VLAN'а ? У меня лет пять назад был такой случай.

     
  • 3.12, User294 (ok), 22:26, 27/10/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >может не хватать аппаратных ресурсов (RAM, FLASH),

    Извините, но ssh (минималистский его вариант ака dropbear) запихивали даже в d-link'овские ADSL модемы лохматого года выпуска, где 4 мега флеша и 16 - оперативы. Даже в те антикварные времена это были всего лишь весьма дешевые представители soho-сегмента.

    >как правило, оборудование управляется с "приватных", т.е.
    >недоступных снаружи, адресов в отдельном VPN

    Ага, конечно, упомянутые вами же линксисы и длинки конечно же вот прямо с такими наворотами конфигуряются, ага :).Вам не кажется что у вас двойные стандарты? SSH вам сложно, а вот этот огород - якобы просто. Как по мне - так ssh смотрится логичнее таких извращений + телнета.

     
     
  • 4.15, rusty_angel (ok), 00:15, 28/10/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Ага, конечно, упомянутые вами же линксисы и длинки конечно же вот прямо
    >с такими наворотами конфигуряются, ага :).Вам не кажется что у вас
    >двойные стандарты? SSH вам сложно, а вот этот огород - якобы
    >просто. Как по мне - так ssh смотрится логичнее таких извращений
    >+ телнета.

    Да не нам сложно, блин, а вендорам. Ну вот нет в некоторых железках ssh, хоть ты тресни

     
  • 4.20, Аноним (-), 10:34, 28/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Извините, но ssh (минималистский его вариант ака dropbear) запихивали даже в d-link'овские
    >ADSL модемы лохматого года выпуска, где 4 мега флеша и 16
    >- оперативы. Даже в те антикварные времена это были всего лишь
    >весьма дешевые представители soho-сегмента.

    Не сравнивайте дешевые отвратительные поделки D-Link (да, да, некоторые их используют, но это - начальный уровень. Плачут, и используют) с оборудованием уровня Cisco, Juniper, порою - стоимостью сотни тысяч $USD.

    >>как правило, оборудование управляется с "приватных", т.е.
    >>недоступных снаружи, адресов в отдельном VPN
    >
    >Ага, конечно, упомянутые вами же линксисы и длинки конечно же вот прямо
    >с такими наворотами конфигуряются, ага :).Вам не кажется что у вас
    >двойные стандарты? SSH вам сложно, а вот этот огород - якобы
    >просто. Как по мне - так ssh смотрится логичнее таких извращений
    >+ телнета.

    Вы просто "далеки" от этого. А я имею опыт более десятка лет, профильное образование, и соотв. должность. Причем тут "линксисы и длинки конечно же вот прямо с такими наворотами конфигуряются"? Это не их задача. Вы что, правда думаете, что задачи на оборудовании ядра сети и переферии - одинаковые?! Это задача ядра сети. По сети MPLS создается отдельная VPN (обычно хочется сказать "отдельнЫЙ", но "сеть" - "она"), на втором уровне до перечисленного оборудования она доходит уже отдельным VLANом управления. И эта сеть ни с чем не пересекается (или пересекается, но с ОЧЕНЬ высоким уровнем обеспечения безопасности - для "удаленного" управления). И тогда все равно - что в ней ходит.

     
  • 2.10, Бу (?), 15:32, 27/10/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы правы "...если только не осуществляется в полностью контролируемой сети или с применением защиты на сетевом уровне (различные реализации виртуальных частных сетей)..."
    Жаль что в дефолтной сборке ssh (современных версий) не влючен cipher none. Иногда очень нужен. Во время переливания с сервака на сервак N Гб внутри ядра сети очень нужно шифрование, и не говорите. :) Попробуйте чтоли поадминить что-нибудь кроме домашнего сервачка...
     
     
  • 3.17, _ (??), 10:02, 28/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    BlowFish
     
  • 2.29, mike_t (?), 15:48, 30/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    не читайте вики, а читайте документацию
    есть вполне нормальные реализации телнет с безопасной аутентификацией, также существует телнет овер ссль
     

  • 1.5, Аноним (-), 08:34, 27/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > А пользователям Windows со своей SecureCRT,

    вообще, об этом думать не надо.
    > Тем не менее использовать SecureCRT можно и в Linux.

    Зачем? Есть KepassX. Ctrl-V в окно (или глобальную "горячую клавишу"), и все. И обеспечено как надежное хранение паролей и их подстановка, так и кроссплатформенность (Linux, Windows, Windows CE).


    Что только не делают, лишь бы поиском не пользоваться...

     
     
  • 2.13, Артемий Васюков (??), 23:28, 27/10/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Огромное спасибо за информацию по KeePassX!
     
     
  • 3.21, Аноним (-), 10:37, 28/10/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Огромное спасибо за информацию по KeePassX!

    Пожалуйста. :) Все от того же анонимуса, которому просто не хочется искать пароль и логиниться. :)

     
  • 2.22, dq0s4y71 (??), 11:34, 28/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А еще есть KeePass (от которой KeePassX форкнулся), он изначально был писан под венду. А еще есть AxCrypt, если шифровать надо отдельные файлы.
     
     
  • 3.24, Аноним (-), 14:26, 28/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > А еще есть KeePass (от которой KeePassX форкнулся),

    Когда я говорил о кроссплатформенности, я, разумеется, подразумевал для
    Windows - KeePass Password Safe
    Linux   - KeePassX
    Windows CE - KeePass for Smart Devices

    А еще есть KeePassJ2ME, KeePass for iPhone, KeePass for PortableApps Suite™, KeePass 1.15 for U3 Devices, KeePass for Android (KeePassDroid). И это еще не все.
    Кроссплатформенно? Более чем!

    Все тут: http://keepass.info/download.html

     
  • 3.25, Аноним (-), 14:34, 28/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > А еще есть AxCrypt, если шифровать надо отдельные файлы.

    Для шифрования отдельных файлов есть кроссплатформенные PGP, GPG, SSL, и т. д.

    А еще есть FreeOTFE (http://www.freeotfe.org/) для _надежного_ кроссплатформенного (Windows, Windows CE) шифрования контейнеров/разделов. Причем, совместимо с LUKS, и dmcrypt / cryptsetup в Linux.

    Про Truectypt, думаю, знают все.


     
     
  • 4.26, dq0s4y71 (??), 19:00, 28/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо. Жаль, что шифровать мне ничего не надо :)
     

  • 1.31, Аноним (-), 19:45, 04/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ох чет пугает меня через буфер пароли кидать.
    Не лучше ли сделать передачу логина и пароля через expect? Или через empty?
    https://www.opennet.ru/base/dev/interactive_tools.txt.html
    http://www.sourceforge.net/projects/empty
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру