2
我想注入一個帶有鹽的gpg密鑰。密鑰本身是在一個安全的支柱,而是提供了關鍵的附庸新安裝的GPG設置,我不得不把鑰匙插進一個文件,所以我有一些像使用一個安全的tmpfile與saltstack
import_gpg_key:
file.managed:
- name: /tmp/secret.key
- contents_pillar: gpg:secret_key
- user: me
- group: me
- mode: 0600
cmd.run:
- name: gpg --batch --import /tmp/secret.key
- runas: me
- unless: gpg --list-secret-keys {{ pillar['gpg']['default_key_fingerprint'] }}
##
# FIXME Is there no way to avoid
# writing the secret to disk, or
# at least use a secure tmpfile?
/tmp/secret.key:
file.absent
正如我所說的在我的評論中,我寧願不把祕密寫在磁盤上,但如果這是不可避免的,是否有一種方法可以使用安全的tmp文件和隨機路徑,這是不容易猜測的?