내 임무는 cron(또는 Ubuntu Server와 호환되는 작업 일정 도구)을 사용하여 gpg 암호 해독을 자동화하는 것입니다. 자동화해야 해서 사용했는데 --passphrase결국 쉘 히스토리에 남게 되어 프로세스 목록에도 보이더라구요.
우수한(가급적 우수) 보안 표준을 유지하면서 자동 암호 해독을 달성하는 방법은 무엇입니까?
예를 들어 주시면 감사하겠습니다.
답변1
cron 작업 사용자만 읽을 수 있는 파일에 비밀번호를 저장하고 옵션을 사용하여 해당 파일에서 비밀번호를 읽도록 --passphrase-file지시합니다 .gpg
이렇게 하면 메모리의 프로세스 정보에 비밀번호가 표시되지 않습니다. 보안 수준은 내용이 최종적으로 복사되는 위치(따라서 백업에 주의)를 포함하여 비밀번호가 저장된 파일에 대한 액세스 수준(및 키가 포함된 파일에 대한 액세스 수준)에 따라 달라집니다. 오프라인 접근성(서버에서 가져온 디스크 이동) 이 보안 수준이 충분한지 여부는 파일이 보관된 서버에 대한 물리적 및 소프트웨어 액세스 제어와 완화하려는 상황에 따라 달라집니다.
우수한 보안 표준을 원한다면 다음을 사용해야 합니다.하드웨어 보안 모듈키(및 비밀번호)를 로컬에 저장하는 대신. 이는 키 사용을 방해하지 않습니다.현장에서, 그러나 다른 곳에서 복사하여 사용하는 것을 방지합니다.
답변2
자동 암호 해독은 비밀번호를 어딘가에 저장해야 하거나 사용하지 않아야 함을 의미합니다(Stephen이 내 답변을 입력할 때 제출한 다른 답변에서 지적한 다른 옵션을 사용하지 않는 한)! 이 중 어느 것도 좋거나 좋은 안전 표준에 대한 요구 사항을 충족하지 않습니다.
즉, 귀하의 요구 사항이 보안과 호환되지 않습니다.
다음과 같은 것에 의존할 수 있습니다. 루트여야 합니다. 내 비밀번호가 저장된 파일에 매우 혼란스러운 이름을 지정했으며 기본 파일 시스템 등을 암호화했지만 일단 루팅되면 모두 레이어가 됩니다. 우선, 이러한 문제는 쉽게 피할 수 있습니다.
프로세스 목록에 비밀번호가 표시되지 않도록 하는 옵션은 입니다 --passphrase-file <file-name>.
그러나 이것은 처음에 비밀번호를 삭제하는 것보다 더 안전하지 않습니다.