ฉันได้รับมอบหมายให้ถอดรหัส gpg โดยอัตโนมัติโดยใช้ cron (หรือเครื่องมือการจัดตารางงานที่เข้ากันได้กับเซิร์ฟเวอร์ Ubuntu) เนื่องจากมันต้องเป็นแบบอัตโนมัติฉันใช้--passphraseแต่มันจะจบลงในประวัติเชลล์ดังนั้นมันจึงมองเห็นได้ในรายการกระบวนการ
ฉันจะไปเกี่ยวกับการถอดรหัสอัตโนมัติในขณะที่รักษามาตรฐานความปลอดภัยที่ดี (ดีกว่า) ได้อย่างไร
ตัวอย่างจะได้รับการชื่นชมอย่างมาก
คำตอบ:
เก็บข้อความรหัสผ่านในไฟล์ที่ผู้ใช้งาน cron อ่านได้เท่านั้นและใช้--passphrase-fileตัวเลือกเพื่อบอกgpgให้อ่านข้อความรหัสผ่านที่นั่น
สิ่งนี้จะช่วยให้มั่นใจได้ว่าข้อความรหัสผ่านจะไม่ปรากฏในข้อมูลกระบวนการในหน่วยความจำ ระดับความปลอดภัยจะพิจารณาจากระดับการเข้าถึงไฟล์ที่จัดเก็บวลีรหัสผ่าน (รวมถึงระดับการเข้าถึงไฟล์ที่มีรหัส) รวมถึงเนื้อหาที่ถูกคัดลอกไปยัง (เพื่อดูแลการสำรองข้อมูล) และการเข้าถึงแบบออฟไลน์ (ดึงดิสก์ออกจากเซิร์ฟเวอร์) การรักษาความปลอดภัยระดับนี้จะเพียงพอหรือไม่นั้นขึ้นอยู่กับการควบคุมการเข้าถึงของคุณไปยังเซิร์ฟเวอร์ที่เก็บไฟล์ทั้งทางร่างกายและในซอฟต์แวร์และในสถานการณ์ที่คุณพยายามจะบรรเทา
หากคุณต้องการมาตรฐานความปลอดภัยที่ยอดเยี่ยมคุณต้องใช้โมดูลความปลอดภัยฮาร์ดแวร์แทนการเก็บคีย์ของคุณ (และวลีรหัสผ่าน) ในเครื่อง สิ่งนี้จะไม่ป้องกันคีย์จากการใช้ในแหล่งกำเนิดแต่จะป้องกันไม่ให้คัดลอกและนำไปใช้ที่อื่น
การถอดรหัสอัตโนมัติหมายความว่าคุณต้องเก็บข้อความรหัสผ่านไว้ที่ใดที่หนึ่งหรือไม่ใช้ข้อความรหัสผ่าน (เว้นแต่คุณจะใช้ตัวเลือกเพิ่มเติมตามที่ระบุไว้ในคำตอบอื่น ๆ ที่สตีเฟ่นส่งมาในขณะที่ฉันพิมพ์ของฉัน)! ไม่ตรงกับความต้องการของคุณสำหรับมาตรฐานความปลอดภัยที่ดีหรือดี
เช่นความต้องการของคุณเข้ากันไม่ได้กับความปลอดภัย
คุณสามารถพึ่งพาสิ่งต่าง ๆ เช่น - คุณต้องเป็นรูทฉันได้รับไฟล์ที่ข้อความรหัสผ่านของฉันถูกเก็บไว้ในชื่อที่สับสนจริงๆฉันได้เข้ารหัสระบบไฟล์เป็นต้นเป็นต้น แต่พวกมันก็เป็นเลเยอร์ทั้งหมด ซึ่งไม่สำคัญที่จะหลีกเลี่ยงเมื่อคุณเป็นคนแรก
--passphrase-file <file-name>ตัวเลือกที่จะป้องกันไม่ให้รหัสผ่านสำหรับการแสดงในรายการกระบวนการคือ
อย่างไรก็ตามนั่นไม่ปลอดภัยกว่าเพียงแค่ลบข้อความรหัสผ่านในตอนแรก
psฯลฯ ถ้าคุณมีhidepidใน/procแต่เปลือกทำงานสคริปต์ (จาก cron หรืออื่น ๆ ) คือไม่โต้ตอบและไม่ได้เขียนประวัติศาสตร์ควรเว้นแต่ misconfigured