Ich versuche, Schlüsselbund auf Debian neuesten Stall mit einigen Schwierigkeiten zu verwenden. Bei der Online-Suche konnte ich keine Lösung finden, dachte aber, dass in diesem Fall ein anderer Ansatz oder ein anderes Tool besser sein könnte.
Ich möchte etwas ziemlich Unkompliziertes erreichen:
- Wenn Sie sich nach dem Neustart als Root beim Server anmelden, wird der Benutzer einmal zur Eingabe einer Master-Passphrase aufgefordert .
- Diese Passphrase wird in den Speicher geladen und zum Entsperren sowohl des
ssh private key
(zum Abrufen von Code aus einem Remote-Git-Repository, der Remote-Authentifizierung usw.) als auch desgpg private key
(zum Entschlüsseln einiger Konfigurationsparameter, die auch von Git stammen) verwendet.
Auf diese Weise kann nur die Passphrase extrahiert werden, wenn Sie nur Zugriff auf das Root-Konto haben oder Speicher sichern können. Sobald der Server neu gestartet wird, wird die Passphrase gelöscht. Ich habe nicht das Budget / die Ressourcen für einen HSM oder etwas Aufwändigeres. Ich möchte etwas Einfaches und Billiges und das funktioniert zuverlässig und sicher genug.
Schlüsselbund scheint ein guter Kandidat zu sein, aber ich kann ihn nicht richtig zum Laufen bringen, um beide Anforderungen zu erfüllen. Es wird nämlich zweimal nach der Pasphrase gefragt, und auch beim Versuch, etwas mit gpg zu entschlüsseln, wird ein drittes Mal danach gefragt ... Gibt es eine Möglichkeit, dies sicher mit einem Schlüsselbund oder einem anderen Tool oder Shell-Skript zu erreichen?
[ps nicht sicher, ob dies auf ServerFault oder hier gehört]
gnome-keyring-daemon
selbst erfordert kein X, aber ich weiß nicht, ob es eine Möglichkeit gibt, Schlüssel ohne X einzugeben. Es entspricht jedoch nicht Ihren Sicherheitsanforderungen, da die Schlüssel in einer Schlüsselbunddatei gespeichert werden. Auf der anderen Seite sehe ich keinen Unterschied in Bezug auf die Sicherheit zwischen der Speicherung mehrerer Dateien auf derselben Festplatte und dem Schutz durch dasselbe Kennwort (SSH-Schlüssel und GPG-Schlüssel) und einer Datei, die durch dieses Kennwort geschützt ist (Gnome-Schlüsselbund oder kennwortlose Schlüssel) auf einem encfs- oder truecrypt-Dateisystem).
gnome-keyring-daemon
) speichern und diesen einmal pro Sitzung entsperren. Aber Sie müssten eine Version bekommen, die GPG unterstützt (die in Debian nicht, AFAIK), und sie ist ohne X unhandlich.