私の使命は、cron(またはUbuntu Serverと互換性のある作業スケジュールツール)を使用してgpg復号化を自動化することです。自動化しなければならなかったので使いましたが、--passphrase
結局シェル履歴に残り、プロセスリストにも見えました。
優れた(できるだけ優れた)セキュリティ標準を維持しながら自動復号化を達成するには?
たとえば、ありがとうございます。
ベストアンサー1
cronジョブユーザーのみが読み取ることができるファイルにパスワードを保存し、オプションを使用してそのファイルからパスワードを読み取るように--passphrase-file
指示します。gpg
これにより、メモリ内のプロセス情報にパスワードが表示されなくなります。セキュリティレベルは、コンテンツが最終的にコピーされる場所(したがってバックアップに注意)を含む、パスワードが保存されているファイルへのアクセスレベル(およびキーを含むファイルへのアクセスレベル)によって異なります。オフラインアクセシビリティ(サーバーからのディスクの移動)このセキュリティレベルが十分であるかどうかは、ファイルが保存されているサーバーへの物理的およびソフトウェアアクセス制御と軽減する状況によって異なります。
優れたセキュリティ標準が必要な場合は、次のものを使用する必要があります。ハードウェアセキュリティモジュールキー(およびパスワード)をローカルに保存する代わりに。これはキーの使用を妨げません。現場でしかし、他の場所でコピーして使用するのを防ぎます。