我想在公司网络中设置 WireGuard 而不是 OpenVPN。如何保护客户端配置免遭盗窃或丢失?如果客户端配置落入坏人之手,攻击者就可以利用它
答案1
该wg set wg0 private-key命令可以从任何地方获取私钥;它不需要是存储在磁盘上的本地文件。例如,如果您将私钥存储为 GPG 加密文件,则可以执行以下操作:
wg set wg0 private-key <(gpg -d private.key.gpg)
这样,私钥始终以加密形式存储在磁盘上;如果客户端设备受到威胁,密钥仍然受到保护。
本文更详细地探讨了该解决方案以及涉及密码存储和 yubikeys 主题的一些变化。
这些解决方案都意味着启动 VPN 需要某种形式的用户交互。