Network-Manager - OpenVPN: Passwort für "Key" erfragen statt speichern? › Sicherheit › Fortgeschrittene Themen › Forum › ubuntuusers.de

Network-Manager - OpenVPN: Passwort für "Key" erfragen statt speichern?

« Vorherige1Nächste »

Status: Gelöst | Ubuntu-Version: Kein Ubuntu
Antworten |

ingo2 Anmeldungsdatum: 15. Juni 2007 Beiträge: 2145 Wohnort: wo der gute Riesling wächst	Zitieren 2. August 2013 22:46 (zuletzt bearbeitet: 2. August 2013 22:46) VPN-Einrichtung ist erledigt und geht einwandfrei. VPN-Client ist ein Netbook mit LXDE und natürlich Network.Manager. Dieser stellt aber ein Sicherheitsrisiko dar, weil: Er das Passwort für meinen privaten VPN-Key im GNOME-Keyring speichert unter ~/.gnome2/keyrings/login.keyring und das Passwort (da im login-keyring) das gleiche ist wie bei der Anmeldung und der Keyring automatisch entsperrt wird. Gibt es eine Möglichkeit, dem NM das speichern des VPN-Passworts zu verbieten und ihn beim Aufbau des Tunnels nach dem Passwort für den VPN-Key fragen zu lassen? Best Grüße, Ingo P.S.: sicherheitstechnisch ist der NM sowieso bedenklich, speichert WPA-2 Passwörter im Klartext in /etc/NetworkManager/system-connections/
ingo2 (Themenstarter) Anmeldungsdatum: 15. Juni 2007 Beiträge: 2145 Wohnort: wo der gute Riesling wächst	Zitieren 3. August 2013 13:34 (zuletzt bearbeitet: 3. August 2013 13:34) Zumindes einen "Würgeround" habe ich gefunden: Dem Gnome-login-keyring ein anderes Passwort verpassen, unterschiedlich zum Login-PW. Dann ist es allerdings sinnvoll, den "WLAN-Login" des Network-Manager (mit WPA-2-Passwort) auf "für alle User zugänglich" zu setzen. Ansonsten ist die WLAN-Nutzung zu Hause arg umständlich. Mit dem Nachteil, daß das WPA-2-PW im Klartext in /etc/NetworkManager/system-connections/ steht. So ein Gefrickel wegen des NM kann doch keine ernsthafte Sicherheitsfunktion sein ☹ Viele Grüße, Ingo
Neubie Anmeldungsdatum: 16. Oktober 2012 Beiträge: 136	Zitieren 3. August 2013 16:40 ingo2 schrieb: Gibt es eine Möglichkeit, dem NM das speichern des VPN-Passworts zu verbieten und ihn beim Aufbau des Tunnels nach dem Passwort für den VPN-Key fragen zu lassen? Hallo, Vorneweg, ich benutze weder Gnome noch OpenVPN. Aber wenn ich im Plugin-Wiki richtig sehe, fragt der Network-Manager beim ersten Start der Verbindung nach, ob der Schlüssel im Keyring gespeichert werden soll. Was passiert denn, wenn Du den Schlüssel einfach nochmal aus dem Ring entfernst und den Haken dann beim nächsten Start abwählst? Gruß, Neubie
ingo2 (Themenstarter) Anmeldungsdatum: 15. Juni 2007 Beiträge: 2145 Wohnort: wo der gute Riesling wächst	Zitieren 3. August 2013 17:57 (zuletzt bearbeitet: 3. August 2013 18:40) Neubie schrieb: Was passiert denn, wenn Du den Schlüssel einfach nochmal aus dem Ring entfernst und den Haken dann beim nächsten Start abwählst? Tja, da passt wohl die Wiki-Info bei mir nicht ☹ . Habe auch kein Plugin installiert, ist inzwischen Bestandteil des NM. Habe das PW im Login-Keyring gelöscht und dann das VPN neu aufgebaut. Dann fragt er korrekterweise nach dem Passwort für meinen VPN-Key. Kann ich in der Dialogbox eingeben - und prompt erscheint es ohne Rückfrage! auch wieder im Login-Keyring. Und was noch toller ist: mein manuell geändertes Passwot für den Login-Keyring ist wieder geändert auf das Anmelde-Passwort - das ist ja ein Ding!!! So, mit Gewalt jetzt nochmals das VPN-PW gelöscht und das PW des Login-Keyrings geändert. Dann den Login-Keyring ab-gesperrt und reboot. Jetzt fragt er korrekt nach dem VPN-PW und das Legitimieren klappt. Danach kommt dann wieder ein Pop-up mit Anfrage des PW für den Login-Keyring (er will nämlich das PW dort speichen) - und dort darf man nicht das PW eingeben!!! Denn wenn der Keyring beim Log-out offen ist, setzt er wieder das "Anmeldepasswort" dafür. Das ist doch krank, Ingo EDIT: nach diesem Gefrickel ist auch der Passwort-Eintrag in der VPN-Konfiguration des NM leer. Also das einzig wahre wäre: "dem NM den Zugriff auf den Gnome-Keyring sperren" - aber wie???
Neubie Anmeldungsdatum: 16. Oktober 2012 Beiträge: 136	Zitieren 3. August 2013 19:42 ingo2 schrieb: Das ist doch krank, Ingo Tja, wie gesagt: Kein Gnome, kein OpenVPN, da kann ich nicht helfen. Das scheint dann auch komplexer zu sein, als einfach nur einen Haken abzuwählen. Aber vielleicht hilft die Konfig-Seite des NM Dir ja weiter. Ich hab's nur überflogen, aber "Devices" scheint man als "unmanaged" marken zu können, möglicherweise passt das ja. Viel Erfolg. 😉
ingo2 (Themenstarter) Anmeldungsdatum: 15. Juni 2007 Beiträge: 2145 Wohnort: wo der gute Riesling wächst	Zitieren 3. August 2013 22:13 So, noch einen Schritt bin ich weiter gekommen: /etc/pam.d/lightdm editiert und diese Zeile mit "#" kommentiert: # session optional pam_gnome_keyring.so auto_start damit der keyring-daemon nicht mehr automatisch startet. Das bewirkt auch, daß der Keyring (wenn entsperrt) beim Logout gesperrt wird und das von mir gesetzte Passwort (ungleich Login-PW) beibehält. Jetzt klappt zumindest mein "Würgeround" für den Network-manager und VPN. /Ingo
ingo2 (Themenstarter) Anmeldungsdatum: 15. Juni 2007 Beiträge: 2145 Wohnort: wo der gute Riesling wächst	Zitieren 22. April 2016 16:10 (zuletzt bearbeitet: 22. April 2016 16:13) So, nach fast 3 Jahren habe ich eine Lösung/Antwort zu dem Problem bekommen - Im heise-Forum: http://www.heise.de/forum/Open-Source/News-Kommentare/Linux-NetworkManager-1-2-schuetzt-Privatsphaere-besser/Re-Sicherheit-Speichern-des-VPN-Key-Passworts-im-Gnome-Keyring-abstellbar/posting-28526850/show/ Ganz simpel - man muß es nur wissen (ich zitiere) /etc/NetworkManager/system-connections/VPN-xxxx [vpn] password-flags=2 cert-pass-flags=2 setzen und neu laden mit nmcli connection reload - fertig! Beschrieben ist das in neueren NM-Versionen un der man-page zu 'nm-settings'. Ingo

« Vorherige1Nächste »

Antworten |

« Vorheriges Thema Nächstes Thema »