Какие механизмы использует ssh-агент для безопасного хранения разблокированных закрытых ключей в памяти?
Вопрос
Я работаю над библиотека чтобы сделать быстрый доступ к KeepassX файлы базы данных проще для опытных пользователей.На данный момент приложение настолько недолговечно в памяти, что безопасность незашифрованной базы данных KeePass не вызывает серьезного беспокойства.
Однако я хотел бы добавить возможность удерживать базу данных разблокированной в течение определенного периода времени в фоновом режиме, аналогично тому, как это делает графический интерфейс KeepassX.Это позволит немедленно запрашивать пароли без запроса главного пароля.Это означает, что будет своего рода процесс-демон, который хранит базу данных в памяти и взаимодействует с клиентом.
Похоже, что последствия этого для безопасности аналогичны последствиям ssh-agent
, и мне интересно, знаком ли кто-нибудь в этих частях с тем, как этот проект подходит к долгосрочному безопасному хранению конфиденциальных данных (а именно, разблокированных закрытых ключей SSH).
Решение
Возможно, это поможет: Мужчина:млок(2)
Обратите внимание, что сокеты домена UNIX несколько более безопасны, чем сокеты домена Интернета, поскольку к ним можно получить доступ только с локального хоста. и доступ к ним можно дополнительно ограничить для конкретных пользователей и групп (с помощью chown
и chgrp
и, конечно, chmod
).