擅长:python、mysql、java
<p>我的建议是生成一个没有密码短语的密钥-在创建密钥时,如果要求输入密码,只需按enter键。在</p>
<p>此密钥应专门用于脚本-避免重复使用用于其他目的的密钥(如用户的交互式登录),因为这会使密钥吊销和访问控制更加困难。在</p>
<p>与在脚本中硬编码密码相比,无密码短语密钥有一些优点:</p>
<ul>
<li>无密码片语密钥的存在使任何人都清楚地知道,只要有人能够访问该密钥,该密钥就会被泄露。将密码与密钥分开隐藏了这一事实,而不提供任何额外的安全性。在</li>
<li>它避免您意外地将密码发布到源代码管理(源代码和访问控制凭据分离)</li>
<li>有可能,这将使使用正确的密码短语重新使用任何现有用户的ssh密钥变得不那么诱人。在</li>
</ul>
<hr/>
<p>一些安全注意事项:</p>
<p>请记住,任何有权访问该密钥的人都可以访问远程系统。如果可能的话,您可以考虑对密钥文件设置限制性权限,并为脚本在远程系统中登录创建一个单独的用户。在</p>
<p>如果您的脚本是单一用途的,您还可以考虑限制远程系统上用户可用的shell命令列表</p>
<p>如果您在存储密钥的系统上没有物理安全性(例如:位于不受信任位置的笔记本电脑或台式机),您可能还需要使用完整磁盘加密、块设备加密(LUKS)或文件级加密(encfs)。在</p>