我们有一堆 SSH、GPG、SSL 和其他私钥,显然:
- 必须只向尽可能少的人开放
- 即使硬盘坏了或者建筑物被烧毁,数据也不会“丢失”(因为否则很多数据将无法解密)
- 即使负责人生病、被车撞到或要求加薪一百万美元,也必须能够恢复
这里的最佳实践是什么?您是否将它们存储在保险箱中的一堆闪存 USB 上?您是否制作了副本?有多少份,以及如何确保它们保持同步(密钥过期、被替换、添加新密钥等)。您是否对它们进行加密?(用什么加密,如何引导?)
我未能找到任何有用的实际信息,所以我对所有我们可以学习的经验(好的、坏的等等)都感兴趣。
此外,是否有任何开源软件可以帮助解决这个问题?
答案1
这里,对于日常工作我们有 Kerberos 身份验证,它非常有用,例如,如果您想使用 /root 中的 .k5login 文件以 root 身份登录。
当然,如果出现 keytab 或其他问题,我们在 SVN 存储库上有一个 GPG 加密文件。但如果您的 root 密码定期自动更改,GPG 文件可能不够用。
我碰到安全功能库前几天;我还没有测试过,但它似乎是一个相当强大的工具。应该值得一试
希望能帮助到你 :)