estou tentando usarchaveirono último estável do debian com alguma dificuldade. Pesquisando on-line, não consegui encontrar uma solução, mas pensei que talvez uma abordagem diferente ou uma ferramenta diferente pudesse ser melhor neste caso.
Quero alcançar algo razoavelmente simples:
- Ao efetuar login no servidor como root após a reinicialização, o usuário será solicitado a fornecer umsenha mestra uma vez.
- Esta senha é carregada na memória e usada para desbloquearambosthe
ssh private key
(usado para extrair código de um repositório git remoto, autenticação remota, etc.) e agpg private key
(usado para descriptografar alguns parâmetros de configuração também provenientes do git).
Dessa forma, apenas ter acesso à conta root ou poder despejar memória permitiria extrair a senha. Assim que o servidor for reinicializado, a senha será apagada. Não tenho orçamento/recursos para um HSM ou algo mais elaborado. Quero algo simples e barato e que funcione de maneira confiável e segura.
O Keychain parece ser um bom candidato, mas não consigo fazê-lo funcionar corretamente para atender a ambos os requisitos. Ou seja, ele pede a frase secreta duas vezes, e também ao tentar descriptografar algo com gpg ele pede uma terceira vez... Existe uma maneira de conseguir isso de forma segura com chaveiro ou qualquer outra ferramenta ou script de shell?
[ps, não tenho certeza se isso pertence ao ServerFault ou aqui]
Responder1
Use um sistema de arquivos criptografado separado (que pode ser armazenado em um arquivo normal e montado através de dm). Em termos de segurança, as permissões de acesso ao sistema de arquivos farão o mesmo que mantê-lo na memória virtual de um processo em execução - ambos podem ser acessados pelo root (a menos que você tome algumas medidas extras para evitar isso). Na verdade, deveria ser menos provável que a senha acabe na troca, do que no caso de armazená-la em cache em um agente auxiliar; mas você deve manter seu swap criptografado de qualquer maneira (ou completamente desabilitado), se a segurança for sua principal preocupação.