Ssh
加密密鑰儲存和恢復——最佳實踐?
我們有一堆 SSH、GPG、SSL 和其他私鑰,顯然:
- 必須只提供給盡可能少的人
- 如果硬碟驅動器當機或建築物被燒毀,則不會“失去”(因為否則很多數據將無法破譯)
- 即使負責人生病或被公共汽車撞到或堅持要加薪一百萬美元,也必須是可恢復的
這裡有哪些最佳實踐?您是否將它們儲存在保險箱中的一堆快閃記憶體 U 盤上?你複印嗎?有多少副本,以及如何確保它們保持同步(密鑰過期、被替換、添加新密鑰等)你加密它們嗎?(用什麼,你如何引導?)
我沒有找到任何有用的實用資訊,所以我對我們可以從中學習的所有經驗(好的、壞的等)感興趣。
另外,是否有任何開源軟體可以幫助解決這個問題?
在這裡,對於日常工作,我們有 Kerberos 身份驗證,例如,如果您想使用 /root 中的 .k5login 文件以 root 身份登錄,這非常有用。
當然,如果出現 keytab 或其他問題,我們在 SVN 儲存庫中有一個 GPG 加密文件。但是,如果您的 root 密碼定期自動更改,則 GPG 文件可能還不夠。
前幾天我遇到了SFLVault;我還沒有測試過它,但它似乎是一個相當強大的工具。應該值得一試
希望能幫助到你 :)