Security
puppet master 上的無密碼 ssh 密鑰?
我們的 puppet 程式碼位於 github 上,因此我們拉取 puppet master。
但是我們的 github 儲存庫是私有的。將 puppet master ssh 密鑰提供給 github 而不使用密碼(github 稱之為部署密鑰)是標準(最佳)實踐嗎?我可以/應該做得更好嗎?
通過與同事的交談,似乎答案有兩點:
- Github 部署密鑰通常是要走的路。此外,如果需要,它們可以提供只讀訪問。它們還限制對單個儲存庫的訪問。
- 是的,私鑰必須在我的主機上,因為 github 必須有公鑰。在某種程度上,我們必須信任我們自己主機的安全性(儘管信任應該被計算、控制、持續審查並在入侵的情況下進行限制)。