Tránh mật khẩu văn bản đơn giản trong http_proxy

Tôi đứng sau một bức tường lửa của công ty, nơi mang đến nhiều nỗi đau trong khu vực của các proxy. Có hai cách tiếp cận chính mà tôi đã tìm thấy để làm việc:

1. Sử dụng Cntlm với chi phí không thể kết nối (từ dòng lệnh) với HTTPS và các vị trí SSH bên ngoài. (Cntlm cho phép bạn băm tên người dùng và mật khẩu của mình bằng PassNTLMv2 (do đó tránh văn bản thuần túy) và đặt http://localhost:3128/làm proxy của bạn sau đó chuyển hướng đến proxy "thực" của bạn. Như tôi đã đề cập, tôi không thể kết nối với HTTPS và SSH bên ngoài bằng phương pháp này.)
2. Đặt tên người dùng và mật khẩu của tôi trong văn bản đơn giản trong http_proxybiến với chi phí có tên người dùng và mật khẩu của tôi trong văn bản thuần túy.

Rõ ràng, nếu bảo mật không phải là vấn đề đáng lo ngại, tôi chỉ cần thực hiện với tùy chọn 2.

Tôi đã tìm thấy một phần của một giải pháp, khi thực hiện điều này trong .babrunrc(Tôi sử dụng Babun, về cơ bản đó là Cygwin với một chút phụ, tương tự có thể là trong một .bashrchoặc .zshrcmặc dù)

export http_proxy="http://`echo "Y21hbjpwYXNzd29yZA==" | base64 -d`@20.20.20.20:20/"

Bằng cách này, mật khẩu của tôi ít nhất được mã hóa. Nếu ai đó đến máy tính của tôi và gõ echo $http_proxyhọ sẽ thấy mật khẩu của tôi, nhưng tôi không nghĩ có cách nào khác.

Có cách tiếp cận nào khác không? Hoặc có thể là một cách để mã hóa chuỗi trái ngược với mã hóa nó? Tôi sẽ không gõ một số mật khẩu khi tôi mở một dấu nhắc nếu không có cách nào xung quanh nó.

Sử dụng base64 là vô ích, nó chỉ là một chuyển đổi đơn giản. Sử dụng mã hóa với khóa được lưu trữ cùng với dữ liệu được mã hóa cũng vô dụng vì nó vẫn chỉ là một chuyển đổi đơn giản. Nếu bạn lo lắng về việc ai đó có quyền truy cập vào tệp cấu hình của mình, thì bạn cần mã hóa bằng khóa không có trong tệp cấu hình của mình và điều đó có nghĩa là bạn sẽ phải nhập mật khẩu¹ khi đăng nhập.

Thay vì làm cho riêng bạn, hãy sử dụng một cơ chế mã hóa hiện có.

Trên Linux, nếu bạn đi với mã hóa tập tin, mã hóa thư mục home của bạn với eCryptfs , hoặc mã hóa toàn bộ đĩa với lớp mã hóa đĩa Linux (dm-crypt, cryptsetuplệnh), hoặc tạo một nhỏ mỗi tập tin hệ thống tập tin được mã hóa với EncFS . Trong trường hợp sau, có một tập lệnh gắn kết hệ thống tập tin encfs và sau đó chạy một tập lệnh được lưu trữ ở đó.

Trên Windows, đặt tệp trên TrueCrypt / VeraCrypt .

Ngoài ra, sử dụng trình quản lý mật khẩu (tất nhiên là đặt mật khẩu chính). Trình quản lý mật khẩu của Gnome (gnome-keyring) có thể được truy vấn từ dòng lệnh với secret-tooltiện ích. Seahorse cung cấp một GUI thuận tiện để khám phá và sửa đổi khóa và đặt mật khẩu chính.

secret-tool store --label='Corporate web proxy password' purpose http_proxy location work.example.com

export http_proxy="http://cman:$(secret-tool lookup purpose http_proxy location work.example.com)@192.0.2.3/"

D-Bus yêu cầu này, thường có sẵn theo mặc định trong Linux (hầu hết các môi trường máy tính để bàn hiện đại đều yêu cầu) nhưng cần phải được khởi động thủ công theo Cygwin (tôi không biết chính xác làm thế nào).

¹ _{hoặc cung cấp tài liệu bí mật, ví dụ như lưu trữ trên một thẻ thông minh.}

Tôi đã tìm thấy một giải pháp: thêm openssl enc -aes-128-cbc -a -dvào hỗn hợp. Tuy nhiên, như đã đề cập trong câu trả lời được chấp nhận , tùy chọn này có lẽ không an toàn lắm.

Đầu tiên, đặt kết hợp mật khẩu tên người dùng (hoặc mã hóa tương đương base64) vào đây,

echo "<put it here>" | openssl enc -aes-128-cbc -a

Nó sẽ nhắc mật khẩu hai lần. Mật khẩu này là mật khẩu bạn sẽ phải nhập mỗi lần http_proxyđược đặt.

Sau đó, trong .babunrc(hoặc bất cứ nơi nào bạn đặt nó),

export http_proxy="http://`echo "<output from above command>" | openssl enc -aes-128-cbc -a -d`@20.20.20.20:20/"

Nếu đầu vào được mã hóa base64, thay vào đó bạn sẽ cần điều này:

export http_proxy="http://`echo "<output from above command>" | openssl enc -aes-128-cbc -a -d | base64 -d`@20.20.20.20:20/"

Nếu <output from above command>có một dòng mới, \nsẽ làm việc cho nó.