È sicuro memorizzare una chiave SSH crittografata con passphrase in git?

6

Ho un sacco di server che devono accedere a dati un po 'sensibili (password per ftps, chiavi API, ecc.). Attualmente copio un file di testo in chiaro tra i server tramite ssh e crittografo tutte le chiavi in base alla chiave ssh privata del server, ma sto cercando una soluzione più robusta che a) altre persone possano fare eb) doesn Richiedono tanto lavoro manuale. Cosa sto pensando, e vorrei un feedback su:

  • Crea una chiave privata condivisa, protetta con una passphrase strong
  • Cripta tutte le password necessarie con questa chiave, memorizza quelle chiavi in un file di configurazione
  • Quando viene creato un nuovo server, copia la chiave ssh, rimuovi la passphrase

Qualche problema con questo? La chiave privata crittografata con passphrase sarà accessibile "pubblicamente", cioè a tutti i membri dell'azienda.

    
posta zyklus 14.02.2015 - 06:21
fonte

2 risposte

2

Leggi su Kerberos e sviluppa una strategia per implementare Kerberos nella tua azienda.

ssh ha l'integrazione Kerberos tramite GSSAPI (potrebbe essere necessario ricompilare ssh.)

Kerberos risolverà i tuoi problemi di gestione delle chiavi e le sue API dovrebbero adattarsi alle tue API.

Perché suggerisco di seguire il percorso Keberos?

Poiché molte delle attività che svolgi sono esattamente come problemi che Kerberos ha già risolto (passaggio sicuro, gestione delle chiavi, ecc.)

Kerberos è la soluzione più robusta che cerchi.

    
risposta data 14.02.2015 - 14:46
fonte
1

sembra che cerchi una soluzione come fabric

tl;dr: remote-control for automated set of commands that run via ssh

"Fabric è una libreria Python (2.5-2.7) e uno strumento da riga di comando per semplificare l'uso di SSH per la distribuzione delle applicazioni o le attività di amministrazione dei sistemi.

Fornisce una suite di base di operazioni per l'esecuzione di comandi shell locali o remoti (normalmente o tramite sudo) e caricamento / download di file, oltre a funzionalità ausiliarie come la richiesta di input all'utente in esecuzione o l'interruzione dell'esecuzione. "

    
risposta data 14.02.2015 - 13:13
fonte

Leggi altre domande sui tag