История изменений
Исправление DonkeyHot, (текущая версия) :
Проблема пароля, похоже, имеет ровно одно софтварёное решение:
[robot@management.server]$ decrypt <$service.secrets | ssh $server $yourprogram --read-password-from-stdin
Так у тебя остаётся ровно 1 место хранения секретов(+бэкапы), которое можно кое-как проконтроллировать. Уведя хост всё ещё можно добыть секрет, но нужно как-то убедить «менеджера» его отдать, что можно усложнить настолько, насколько хочется.
Остальные просто заменяют проблему секрета проблемой эквивалентного «секрета для онлайновой добычи секрета», с очень неочевидным выигрышем. Лучшие обеспечивают одноразовость первого, что не вредно, но тоже не очень ограничивает взломщика.
Исходная версия DonkeyHot, :
Проблема пароля, похоже, имеет ровно одно софтварёное решение:
[robot@management.server]$ decrypt <$service.secrets | ssh $server $yourprogram --read-password-from-stdin
Так у тебя остаётся ровно 1 место хранения секретов(+бэкапы), которое можно кое-как проконтроллировать. Уведя хост всё ещё можно добыть секрет, но нужно как-то убедить «менеджера» его отдать, что можно усложнить настолько, насколько хочется.
Остальные просто заменяют проблему секрета проблемой эквивалентного секрета онлайновой добычи секрета, с очень неочевидным выигрышем. Лучшие обеспечивают одноразовость первого, что не вредно, но тоже не очень ограничивает взломщика.