Saya bertugas mengotomatisasi dekripsi gpg menggunakan cron (atau alat penjadwalan pekerjaan yang kompatibel dengan Ubuntu Server). Karena harus otomatis saya menggunakan --passphrasetetapi berakhir di riwayat shell sehingga terlihat dalam daftar proses.
Bagaimana saya bisa mengotomatisasikan dekripsi sambil mempertahankan standar keamanan yang baik (lebih bagus)?
Contoh akan sangat dihargai.
Jawaban:
Simpan frasa sandi dalam file yang hanya dapat dibaca oleh pengguna tugas cron, dan gunakan --passphrase-fileopsi untuk memberi tahu gpguntuk membaca frasa sandi di sana.
Ini akan memastikan bahwa frasa sandi tidak terlihat dalam informasi proses dalam memori. Tingkat keamanan akan ditentukan oleh tingkat akses ke file yang menyimpan frasa sandi (serta tingkat akses ke file yang berisi kunci), termasuk di mana pun isinya berakhir disalin (jadi berhati-hatilah dengan cadangan), dan aksesibilitas off-line (menarik disk keluar dari server). Apakah tingkat keamanan ini memadai akan tergantung pada kontrol akses Anda ke server yang menyimpan file, secara fisik dan perangkat lunak, dan pada skenario yang Anda coba mitigasi.
Jika Anda menginginkan standar keamanan yang hebat, Anda perlu menggunakan modul keamanan perangkat keras alih-alih menyimpan kunci Anda (dan frasa sandi) secara lokal. Ini tidak akan mencegah kunci dari digunakan di situ , tetapi itu akan mencegahnya dari disalin dan digunakan di tempat lain.
Dekripsi otomatis berarti Anda harus menyimpan frasa sandi di suatu tempat, atau tidak menggunakan kata sandi (kecuali jika Anda menggunakan opsi tambahan seperti yang ditunjukkan dalam jawaban lain yang dikirimkan oleh Stephen ketika saya mengetikkan kata sandi saya)! Tidak satu pun dari mereka yang memenuhi persyaratan Anda untuk standar keamanan yang baik atau hebat.
yaitu kebutuhan Anda tidak kompatibel dengan itu aman.
Anda dapat mengandalkan hal-hal seperti - Anda harus root, saya telah memberikan file di mana frasa sandi saya disimpan dengan nama yang benar-benar membingungkan, saya telah mengenkripsi sistem file yang mendasarinya, dll., Dll. Tetapi semuanya adalah lapisan yang sepele untuk mengelak setelah Anda root di tempat pertama.
Opsi yang mencegah frasa sandi muncul di daftar proses adalah --passphrase-file <file-name>.
Namun, itu tidak lebih aman daripada hanya menghapus frasa sandi di tempat pertama.
psdll kecuali Anda sudahhidepidaktif/proc, tetapi shell menjalankan skrip (dari cron atau yang lain) tidak interaktif dan tidak boleh menulis sejarah kecuali salah konfigurasi.