Назад | Перейти на главную страницу

Ключи ssh без парольной фразы на марионеточном хозяине?

Наш код марионеток живет на github, поэтому мы обращаемся к мастеру марионеток.

Но наш репозиторий на github частный. Является ли стандартной (лучшей) практикой предоставление ssh-ключей главного марионетки для github без парольной фразы (что github называет ключом развертывания)? Могу ли я сделать лучше?

Из разговоров с коллегами выясняется, что ответ состоит в двух вещах:

  • Ключи развертывания Github обычно подходят. Кроме того, при желании их можно сделать так, чтобы они предоставляли доступ только для чтения. Они также ограничивают доступ к единому репозиторию.
  • Да, закрытый ключ должен находиться на моем хосте, поскольку в github обязательно есть открытый ключ. На каком-то уровне мы должны доверять безопасности наших собственных хостов (хотя доверие следует рассчитывать, контролировать, постоянно проверять и ограничивать в случае вторжения).