Как зашифровать файл настройки proxy

[linnur]

Здравствуйте. На предприятии используется прося на ИСЕ. Соответственно необходима авторизация и ввод логина и пароля. Как можно реализовать так чтобы пароль в файлах был зашифрован. Слышал про утилиту gpg, но не уверен. Подскажите как у вас реализована данная функция.

[Skull]

Как и во всех других Линуксах – openssl или gpg.

[linnur]

Это понятно что как у всех. Но можно какой нибудь пример.
1. Имеется файл настройки прокси apt.conf или environment - где прописаны логин и пароль в явном виде.
2. Необходимо примонтировать шару (от dfs или любого компьютера домена) в файле соответственно логин и пароль в открытом виде.
Любой пользователь имеющий root или аналогичные права может посмотреть пароль.

Как можно реализовать защиту в таких (и не только таких) случаях.
Натыкался как то на gpg, но пока не понимаю как можно реализовать с данными 2 проблемами.

[yaleks]

Т.е. вам надо чтобы юзеры не знали пароль, но интернет через прокси работал?

[Александр Ерещенко]

Если уже есть домен, то более лучшим решением будет настроить связку прокси и авторизации на домене. Т.е. пускать в инет только кого положено в зависимости от того, как авторизовался юзер.

[linnur]

В том то и дело. Есть домен. К примеру возьмем windows (его проксю настроить можно можно в браузере (или панели управления)) и прокси в cmd win7 не нужна.
В linux так же есть настройка прокси в браузере (но часто нужно что бы работало и apt install). После этих манипуляций файл с настройкой хранится в apt.conf (или других все от ОС зависит)
 Любой пользователь имеющий нужные права - имеет возможность посмотреть пароль например служебной учетной записи. А в сети предприятия и особенно на серверах будут такие пользователи (админы с других отделов и т.п.)

Если уже есть домен, то более лучшим решением будет настроить связку прокси и авторизации на домене. Т.е. пускать в инет только кого положено в зависимости от того, как авторизовался юзер.

Не всегда данное решение бывает лучшим. Существует служебные УЗ или иные спец. учетки. Не у всех пользователей домена имеется выход в интернет.

Может быть кто то сталкивался с такими трудностями и имеется пример решения?

[YYY]

но часто нужно что бы работало и apt install). После этих манипуляций файл с настройкой хранится в apt.conf (или других все от ОС зависит)

зеркало и обновления на локальном сервере и не нужен apt файл с настройкой?
или отдельная прокся через которую есть доступ только с серверам обновлений..

[asy]

Может быть кто то сталкивался с такими трудностями и имеется пример решения?

Если нужно автоподключение устройств по паролю, то пароль должен быть записан локально. И тут уже не важно, шифрованный он, или нет: всё, что может быть расшифровано, легко расшифровывается (как пример можно виндовые pwl-файлы вспомнить). Так что единственный способ - не давать права root кому угодно. Либо использовать иные механизмы для определения, кому что можно.

[linnur]

Может быть кто то сталкивался с такими трудностями и имеется пример решения?

Если нужно автоподключение устройств по паролю, то пароль должен быть записан локально. И тут уже не важно, шифрованный он, или нет: всё, что может быть расшифровано, легко расшифровывается (как пример можно виндовые pwl-файлы вспомнить). Так что единственный способ - не давать права root кому угодно. Либо использовать иные механизмы для определения, кому что можно.

Когда в организации it отдел от 150 человек, то тяжело не давать доступ root для настройки или работы на сервере.
Не использовать прокси - не получится. Помимо прокси есть и другие сценарии нахождения пароля пользователя из домена в конфигах.
gpg вроде бы есть, но никогда не пользовался и не понимаю как можно пустить пароль или файл через неё.

[asy]

gpg вроде бы есть, но никогда не пользовался и не понимаю как можно пустить пароль или файл через неё.

Никак. Оно не для этого.

Помимо прокси есть и другие сценарии нахождения пароля пользователя из домена в конфигах.

Ещё раз: как не маскируй, как не шифруй - это бесполезно: всё находится и легко расшифровывется. Шифрование конфигурационных файлов c авторасшифровкой в момент использования - это видимость безопасности, рассчитанная на того, кто поисковиками пользоваться не умеет.