Команды IPsec ESXi требуют, чтобы ключи шифрования/целостности вводились открытым текстом из командной строки. Это не рекомендуется для обеспечения безопасности. История командной строки даже записывается в /var/журнал/shell.log.
Так как я могу Спрятать ключи?
$ esxcli network ip ipsec sa add --help
Использование: esxcli network ip ipsec sa add [параметры cmd]
Описание:
add Добавить ассоциацию безопасности.
Параметры команды:
-e|--алгоритм-шифрования=<str>
Алгоритм шифрования для ассоциации безопасности. Должен быть один
в наборе [null, 3des-cbc, aes128-cbc]. (обязательный)
-k|--ключ-шифрования=<str>
Ключ шифрования (ASCII или шестнадцатеричный). Длина шестигранного ключа зависит от
используемый алгоритм. Требуется, когда алгоритм шифрования
указано.
-i|--целостность-алгоритм=<str>
Алгоритм целостности для ассоциации безопасности. Должен быть один в
установить [hmac-sha1, hmac-sha2-256]. (обязательный)
-K|--целостность-ключ=<str>
Ключ целостности (ASCII или шестнадцатеричный). Длина шестигранного ключа зависит от
используемый алгоритм. (обязательный)
-d|--sa-destination=<str>
IPv6-адрес назначения ассоциации безопасности. Может быть указано
[...]
