Как делает Ость, ЭОС и Cisco IOS шифруют tacacs + encyption ключи?
Документы HAProxy говорят о фильтрации немного в разделе 8.3.1. Это говорит, что журналирование отключения внешних тестов может быть сделано с 'сетевым монитором' описанием. Не уверенный, если это влияет на трафик, хотя - документы, кажется, указывают, это делает, так быть осторожным с ним.
Можно также хотеть создать список ACL для внутренних адресов и затем выключить вход для тех соответствий. Я не гуру HAProxy, хотя, таким образом, я оставлю предложенную конфигурацию чего-то вроде этого другим!
Это кодировка Cisco типа 7 .. Я бы не стал называть это шифрованием, поскольку это невероятно слабый алгоритм. Чтобы продемонстрировать это, поместите любую из этих зашифрованных строк в этот инструмент , и он немедленно выдаст вам секретный ключ.
Различия в зашифрованном выводе действительно происходят из-за своего рода соли - в частности, tfd; kfoA, .iyewrkldJKD . Эта строка является константой, меняется только начальная точка - первые два символа зашифрованной строки указывают, где на соли начать расшифровку.
См. здесь для получения дополнительной информации о специфике реализации алгоритма. .
Эти ключи, как упомянул Шейн, практически не зашифрованы и обычно считаются простой защитой от просмотра ключей и паролей из-за плеча. Фактически, если у вас не включено шифрование пароля службы в Cisco, ключи будут в виде открытого текста.
Обычно рекомендуется, чтобы, если вам нужно поделиться этой конфигурацией с кем-то за пределами вашей организации, вам необходимо удалить ключи из файла конфигурации и любые другие пароли, использующие тип 7.