PPTP chap-secrets: Passwort im Klartext vermeiden?

[Theophil T.]

Hallo,

ich baue mit pptp eine VPN-Verbindung zum Windows-Netzwerk am Arbeitsplatz auf.

Läßt sich das Sicherheitsrisiko, dass das Passwort in /etc/ppp/chap-secrets im Klartext gespeichert wird, mit vertretbarem Aufwand reduzieren?

Also dass ein Angreifer, der z.B. Zugriff auf den Rechner zuhause erlangt, das Passwort nicht so einfach auslesen kann.

Viele Grüße
Theophil

[Theophil T.]

Eine Ergänzung:
Ich könnte das Passwort jedes mal zum Aufbau der Verbindung eingeben und chap-sekrets leer lassen, z.B.:

Code: Alles auswählen

echo -n "VPN-Passwort:  "
read pw
clear
/usr/sbin/pppd pty "/usr/sbin/pptp <IP des Servers>  --nolaunchpppd" password $pw <weitere Optionen>
pw=

In der pppd-Man-Seite steht allerdings:

• password password-string
  Specifies the password to use for authenticating to the peer. Use of this option is discouraged, as the password is likely to be visible to other users on the system (for example, by using ps(1)).

Unter welchen Bedingungen und wie wäre das Passwort für andere sichtbar?

Danke für Eure Antworten,
Theophil

[rendegast]

Unter welchen Bedingungen und wie wäre das Passwort für andere sichtbar?

Mit 'ps -ef' siehst Du alle Kommandozeilenoptionen der laufenden Programme.


Du könntest die chap-secrets selbst verschlüsseln oder auf ein verschlüsseltes Image/device legen.

Paßwort in der Kommandozeile, Zum Basteln:
- Den Kernel patchen, sodaß Benutzer nur ihre eigenen Prozesse sehen.
- Den pptpd so vorbereiten, daß er daß er ohne Root-Rechte laufen kann: libcap2
http://www.linux-magazin.de/heft_abo/au ... fuer_pcaps
Nur root bzw. root-Prozesse könnten dann das Paßwort "sehen".

Solange der Angreifer jedoch nicht root ist, sollte ein '-rw-------' für chap-secrets ausreichen.

[Theophil T.]

Hallo rendegast,
ich habe gerade "ps -ef" getestet: In einem gnome-terminal "pw=xxx" eingegeben, ein 2. gnome-terminal aufgerufen und "ps -ef" eingegeben. Dort sehe ich dann beim letzten Eintrag "ps -ef", aber nirgends "pw=xxx"

Danke für die anderen Infos, schaue ich mir näher an!

Theophil

[rendegast]

Code: Alles auswählen

/usr/sbin/pppd pty "/usr/sbin/pptp <IP des Servers>  --nolaunchpppd" password $pw <weitere Optionen>

aber hier wird es dann sichtbar.
/proc/$PID/cmdline

[Theophil T.]

habe es so probiert und sehe mein Passwort ganz deutlich - danke für die lehrreiche Info!
"pw=xxx" lief ja nicht mehr als Prozess, als ich im anderen Terminal "ps -ef" aufgerufen habe.Deswegen konnte ich wohl nichts mehr sehen.

Theophil

[Theophil T.]

Ich habe zusätzlich noch etwas anderes getestet.
Mein Ziel ist es ja, zu vermeiden, dass ein Angreifer, der mein Notebook klaut (darauf ist auch VPN konfiguriert) oder Zugang zum PC zuhause bekommt, das Passwort lesen kann. Das wäre unverschlüsselt ja kein großes Problem: booten von einem Live-System (evtl. BIOS-Reset?), etc.

Mit dem folgenden Skript wäre das Passwort nicht mit "ps -ef" lesbar (nur für die kurze Zeit der "read" und "echo" - Befehle? evtl. durch geeignetes Programm auslesbar?) und chap-secrets ist nach Aufbau der Verbindung wieder leer.

Code: Alles auswählen

echo -n "VPN-Passwort:  "
# Bildschirmausgabe abschalten, Passwort einlesen, Ausgabe wieder einschalten, Zeilenvorschub
stty -echo
read pw
stty echo
echo ""
echo "<Benutzername> * $pw" > /etc/ppp/chap-secrets
# Passwort-Variable loeschen
pw=
/usr/sbin/pppd call <Skript in /etc/ppp/peers/>
# Warteschleife, bis Verbindung aufgebaut
ifconfig | grep -q ppp0
while [ $? = 1 ]; do
	ifconfig | grep -q ppp0
done
# chap-secrets wieder "leeren"
sed -i -e '/<Benutzername>/d' /etc/ppp/chap-secrets

Code: Alles auswählen

Skript in /etc/ppp/peers/
pty "pptp <IP-Adresse> --nolaunchpppd"
name "<Benutzername>"

require-mschap-v2
require-mppe-128
file /etc/ppp/options.<Name>
usepeerdns

Theophil