使ってみようキーホルダーDebian の最新の安定版にはいくつかの困難があります。オンラインで検索しても解決策が見つかりませんでしたが、この場合、他のアプローチや他のツールがより良い可能性があると思いました。
私は非常に簡単な目標を達成したいと思います。
- 再起動後にサーバーにrootとしてログインすると、ユーザーに次のように入力するように求められます。マスターパスワード 一度。
- パスワードはメモリにロードされ、ロックを解除するために使用されます。両方(
ssh private key
リモートGitリポジトリ、リモート認証などからコードを取得するために使用されます)およびgpg private key
(gitでも一部の設定パラメータを復号化するために使用されます)
これにより、rootアカウントにアクセスできる場合、またはメモリをダンプできる場合にのみパスワードを抽出できます。サーバーが再起動すると、パスワードは消去されます。 HSMやより複雑なもののための予算/リソースはありません。私はシンプルで安価で安定して動作し、安全なものが欲しかった。
キーチェーンは良いオプションのようですが、これら2つの要件を満たすために正しく機能させることはできません。つまり、パスワードを2回要求し、gpgを使用して何かを復号化しようとすると、3番目にパスワードが必要になります。
[これがServerFaultに属するのかここに属しているのかわかりません。]
答え1
別々の暗号化されたファイルシステムを使用してください(実際には通常のファイルに保存され、dmを介してマウントできます)。セキュリティの観点から、ファイルシステムへのアクセスは、実行中のプロセスの仮想メモリに保存するのと同じトリックを実行します。どちらもrootとしてアクセスできます(これを防ぐために追加の措置を講じない限り)。実際、パスワードはプロキシヘルパーにキャッシュされている場合よりも交換される可能性が低いはずです。ただし、セキュリティが主な関心事である場合は、交換領域をとにかく暗号化する必要があります(または完全に無効にする必要があります)。