У нас есть наша инфраструктура на amazon ec2. Поскольку мы растем, мы настраиваем базовый образ AMI веб-сервера, который мы будем использовать для запуска новых серверов по мере необходимости.
Основная проблема заключается в том, что при запуске машина не запускает httpd, поскольку запрашивает парольную фразу для закрытого ключа сертификата.
Я рассматриваю вариант хранения закрытого ключа в незашифрованном виде (без ключевой фразы). Я знаю, что если кто-то получит ключ, может использовать его от моего имени, но мой вопрос в том, как они могут получить ключ?
У нас есть надежный пароль для пользователя ssh, а затем для пользователя root. Ключ будет иметь разрешения только на root-доступ.
Есть ли другой способ, кроме ssh, которым кто-то может взломать сервер и получить закрытый ключ?
Вы знаете или работаете в компании, которая хранит ключи в незашифрованном виде?
большое спасибо
То, что сказано в автозаполнении, близко, но не совсем точно, если вы все настроите правильно, а не все имеет доступ к сертификату.
Любой человек, имеющий физический доступ к работающей машине (или оборудованию хоста), может получить доступ к незашифрованному ключу. В противном случае, при условии, что вы правильно установили права доступа к файлам, для чтения закрытого ключа потребуется полная компрометация безопасности машины (удаленное выполнение кода + выполнение привилегий или подобное). Поскольку это было бы плохой В любом случае, хранить закрытый ключ в незашифрованном виде можно.
Я предлагаю вам убедиться, что все хранящиеся ключи специфичный для хоста а не глобальный или специфичный для пользователя, так что в случае взлома одной машины было бы легко ограничить ущерб.