IPsec trên ESXi - Làm cách nào để tránh nhập khóa mật mã văn bản gốc trong dòng lệnh?

Các lệnh IPsec của ESXi yêu cầu các khóa mã hóa/toàn vẹn được nhập ở dạng văn bản gốc từ dòng lệnh. Đây không phải là thực hành bảo mật được khuyến nghị. Lịch sử dòng lệnh thậm chí còn được ghi vào /var/log/shell.log.

Vậy làm thế nào tôi có thể ẩn giấu những chiếc chìa khóa?

$ esxcli mạng ip ipsec sa add --help
Cách sử dụng: ip mạng esxcli ipsec sa thêm [tùy chọn cmd]

Sự miêu tả:
  thêm Thêm một hiệp hội bảo mật.

Tùy chọn cmd:
  -e|--encryption-algorithm=<str>
                        Thuật toán mã hóa cho Hiệp hội bảo mật. nên là một
                        trong bộ [null, 3des-cbc, aes128-cbc]. (cần thiết)
  -k|--encryption-key=<str>
                        Khóa mã hóa (ASCII hoặc hex). Độ dài của khóa hex phụ thuộc vào
                        thuật toán được sử dụng. Cần thiết khi một thuật toán mã hóa đã được
                        quy định.
  -i|--thuật toán toàn vẹn=<str>
                        Thuật toán toàn vẹn cho Hiệp hội bảo mật. Nên là một trong
                        đặt [hmac-sha1, hmac-sha2-256]. (cần thiết)
  -K|-- khóa toàn vẹn=<str>
                        Khóa toàn vẹn (ASCII hoặc hex). Độ dài của khóa hex phụ thuộc vào
                        thuật toán được sử dụng. (cần thiết)
  -d|--sa-destination=<str>
                        Địa chỉ IPv6 của điểm đến Hiệp hội bảo mật. có thể được chỉ định
  […]