我们的基础设施在 amazon ec2 上。由于我们的业务在不断发展,因此我们正在设置一个基本的 Web 服务器 AMI 映像,我们将根据需要使用该映像启动新服务器。
主要问题是,当机器启动时,它不会启动 httpd,因为它要求输入证书私钥密码。
我正在考虑以未加密形式存储私钥(无密码)的选项。我知道如果有人获得密钥,就可以代表我使用它,但我的问题是他们如何获得密钥?
我们为 ssh 用户和 root 用户设置了强密码。密钥仅具有 root 访问权限。
除了 ssh 之外,还有其他方法可以侵入服务器并获取私钥吗?
您是否知道或者为某些实际上以未加密形式存储密钥的公司工作?
多谢
答案1
任何对正在运行的机器(或主机硬件)具有物理访问权限的人都可以访问未加密的密钥。否则,只要你正确设置了文件权限,就需要完全破坏机器的安全性(远程代码执行 + 特权执行,或类似情况)才能读取私钥。因为那将是一个坏的不管怎样,以未加密的形式存储私钥是可以的。
我建议您确保存储的所有密钥都是宿主特定而不是全局的或特定于用户的,这样如果单台机器受到威胁,就很容易限制损害。
答案2
自动填充的内容很接近,但并不完全准确,如果你正确设置的话,每个人有权访问该证书。