¿Manera segura de almacenar la contraseña de openconnect?

1

Estoy ejecutando OpenConnect en mi MacOS (10.11 El Capitan) para acceder a los servidores VPN de mi universidad que ejecutan Cisco AnyConnect. La aplicación Cisco AnyConnect tiene una GUI torpe que no almacena la contraseña y requiere que la ingrese cada vez, y le gusta echarle del sistema con regularidad. Con una contraseña aleatoria de larga duración, introducirla cada vez es obviamente un dolor en el cuello.

Así que ahora mismo, inicio mi sesión de VPN usando la alternativa, OpenConnect, ingresando la contraseña a través de un script de shell:

#!/bin/sh
echo 'mypassword' | sudo openconnect --config ~/.openconnect myuniversity.edu

Pero, obviamente, prefiero que mi contraseña no se almacene en texto simple. Mi disco duro está encriptado y supongo que cualquier BadGuy® que pueda leer un archivo en la carpeta de mi casa es capaz de cosas mucho más maliciosas, pero aún así ...

¿Hay alguna para almacenar la contraseña? Idealmente, me gustaría que la contraseña se almacenara en mi llavero de MacOS y que el llavero la pase a openconnect, pero no estoy seguro de si eso se puede hacer desde el CLI.

p.s. Obviamente, si pudiera convencer a mi universidad de que no use Cisco o que use un método criptográfico más seguro que una contraseña, lo haría.

    
pregunta RoboKaren 07.06.2016 - 18:59
fuente

1 respuesta

1

RoboKaren,

Hay muchas respuestas posibles, pero aquí están las que consideraría las "cuatro principales".

(1) Si es absolutamente necesario usar OpenConnect y CLI, tal vez la mejor solución sea que cree una pequeña imagen de disco cifrada en su carpeta de inicio. Luego, montaría manualmente esa imagen de disco cada vez que necesitara una sesión de VPN y la mencionaría en la CLI (la sintaxis habitual / Volumen / ...). Las claves para las imágenes de disco se pueden almacenar en Keychain (¡aunque eso eliminaría el punto de lo que está tratando de proteger!)

(2) Si OpenConnect tiene una GUI, puede usarla junto con un buen administrador de contraseñas (suponiendo que Openconnect no tenga un mecanismo de almacenamiento)

(3) Cambie a otro software VPN, no quiero hacer ninguna recomendación, pero equniux VPNTracker es muy popular, de lo contrario, NCP es otro nombre bien conocido.

(4) Si su VPN es compatible con la autenticación de dos factores, tal vez mire eso.

    
respondido por el Little Code 07.06.2016 - 20:57
fuente

Lea otras preguntas en las etiquetas