我正在尝试在 debian latest stable 上使用钥匙串,但有些困难。在网上搜索我找不到解决方案,但我认为在这种情况下可能采用不同的方法或不同的工具会更好。
我想实现一些相当直接的事情:
ssh private key(用于从远程git仓库,远程认证等拉码)和gpg private key(用来解密一些配置参数也从GIT中推出)。这样,只有访问 root 帐户或能够转储内存才能提取密码。一旦服务器重新启动,密码就会被清除。我没有 HSM 或更复杂的预算/资源。我想要一些简单而便宜并且足够可靠和安全的东西。
钥匙串似乎是一个不错的候选者,但我无法让它正常工作以满足这两个要求。也就是说,它要求两次密码,并且在尝试用 gpg 解密某些东西时,它第三次要求它......有没有办法用钥匙串或任何其他工具或 shell 脚本安全地实现这一点?
[ps 不确定这是否属于 ServerFault 或这里]
使用单独的加密文件系统(实际上可以存储在常规文件中并通过 dm 挂载)。从安全角度来看,文件系统访问权限将执行与将其保存在正在运行的进程的虚拟内存中相同的技巧 - 两者都可以由 root 访问(除非您采取一些额外的措施来防止这种情况)。实际上,与将密码缓存在代理助手中的情况相比,密码最终出现在交换中的可能性应该更小;但如果安全是您主要关心的问题,您无论如何都应该对交换区进行加密(或完全禁用)。