Prática recomendada para obscurecer o caminho para o par de chaves no bash_profile?

1

Eu tenho dotfiles salvos em um repositório público do github, que inclui o caminho para as minhas chaves aws, o que parece uma coisa terrível esperando para acontecer.

Então é assim:

function superssh { ssh user@something -i /file/path/to/keys;}

Qual é a melhor maneira de fazer isso que melhora minha segurança?

    
por John 05.12.2015 / 04:33

3 respostas

7

Esconder sua chave em um lugar incomum não é torná-la mais segura. Se você realizar boas práticas básicas para gerenciamento de chaves, não há necessidade de fazer nada extra.

Sua chave privada precisa ser mantida "secreta", isso é conseguido principalmente criptografando-a. Você deve usar uma senha strong para criptografar sua chave. Em seu (s) sistema (s), o openssh impõe restrições adicionais, pois não usará uma chave privada que seja acessível por outra pessoa que não seja seu proprietário.

Sua chave pública é apenas isso, público, você pode dar a alguém.

    
por 05.12.2015 / 10:15
3

Se alguém tiver acesso suficiente à sua caixa para colher suas chaves, o jogo acaba de qualquer forma. Não se preocupe com isso.

    
por 05.12.2015 / 04:39
1

Se você quiser fazer desta forma, você pode usar variáveis de ambiente:

export KEY_FOO=/path/to/key/foo.pem
export KEY_BAR=/path/to/key/bar.pem

Coloque essas exportações no seu .bash_profile ou .bashrc ou qualquer outra configuração inicial do bash que você tenha. Então você pode fazer algo assim em outros arquivos de pontos.

function superssh { ssh user@something -i $KEY_FOO; }
    
por 05.12.2015 / 05:16

Tags