Criptografar arquivos de credenciais (creds)

Navegue suas respostas
3

Comecei a brincar com o PowerCLI e, portanto, criei um arquivo de credenciais para usar quando me conecto ao vCenter. O objetivo para isso será executar tarefas agendadas, como executar o script diário vCheck . Eu provavelmente configurarei uma conta de serviço para isso, que será um administrador local do vCenter sever, por isso estou preocupado com a senha estar neste arquivo.

Se você acabou de ver o arquivo, a senha parece criptografada:

AQAAANCMnd8BFdERjHoAwE / Cl + sBAAAAF6urzz6JcEKjSIAFn / FxnQAAAAACAAAAAAADZgAAwAAAABAAAACtzPSK0kUeCGX71HGYFXhBAAAAAASAAACgAAAAEAAAAECR1XvUy3U2YgSMrr1bQ tQIAAAAzWWCyBUxfA0UAAAAAsM9vPr / nr + VP1MAekPXKp / wNgw =

Depois de associar as credenciais a uma variável ($ creds), basta ver a variável e ver a senha:

$ creds | fl *

Host : teste Utilizador : teste Senha : mostrando sua senha aqui Arquivo : seu arquivo de credenciais

Existe uma maneira de criptografar todo esse arquivo e / ou impedir que essa senha seja visualizada?

    
por Chadddada 19.05.2011 / 20:02

2 respostas

1

Não, não há maneira (fácil) de impedir que a senha seja visualizada, mas isso não é tão ruim quanto parece. A decodificação só funciona nas seguintes circunstâncias:

  1. O arquivo criptografado deve ser aberto pelo mesmo usuário que o criou.

  2. O arquivo criptografado deve ser aberto no mesmo computador em que foi criado.

Contanto que você esteja usando uma senha strong para a conta de usuário que precisa ler as credenciais, salve-a para usar o arquivo de credencial.

Estou usando os arquivos de credenciais para muitas tarefas agendadas (shell não-interativo). O shell é fechado automaticamente depois que as tarefas agendadas são concluídas e a variável $ cred é excluída.

Em shells interativos, não uso os arquivos de credenciais, pois sou capaz de especificar o nome de usuário e a senha manualmente.

Espero que isso ajude. Tenha um bom dia.

Saudações

grub

    
por 20.05.2011 / 12:49
1

O Grub deu uma ótima resposta. Gostaria de acrescentar que, em vez de criar uma conta de administrador local, crie uma conta de domínio normal e, em seguida, conceda a esse usuário apenas as permissões específicas, somente leitura, necessárias no vCenter. Dessa forma, se a conta for comprometida, apenas um dano mínimo poderá ser feito.

    
por 20.05.2011 / 14:12

Tags

suprimir avisos do windows live mail não confiável cerficate ssl libvirt + ESX (código de resposta HTTP 400 para chamada para 'Login')