Linux" pass " утилита для нескольких пользователей

Я пытаюсь настроить, внутренний бизнес, хранилище паролей для использования различными скриптами (и людьми). Я посмотрел на многие альтернативы, но самый простой для изменения для достижения моей цели, кажется,pass утилиты.

Я не так хорошо с безопасностью и реальный нуб, когда дело доходит до GPG. Мне удалось заставить вещи работать для одного пользователя:

  • генерации нового ключа GPG
  • используя pass init <key_hex>

Я также знаю, что могу использовать -p опция (или переменная env) для инициализации хранилища pass в папке" data", а не в домашнем каталоге (по умолчанию ~/.password-store).

тем не менее, я нахожусь в ситуации, когда я хотел бы, чтобы все пользователи хоста/коробки (Linux) (или пользователи определенной группы позже) могли получить доступ к одному и тому же хранилищу паролей. Насколько я понимаю, мне нужно как-то создать общий ключ GPG для всех этих пользователей, чтобы каждый мог использовать pass утилита для доступа к одному и тому же хранилищу и получения паролей. Я понятия не имею, как сделать такую настройку, и я застрял...

любая помощь будет оценили

5
задан urban
29.01.2023 16:16 Количество просмотров материала 2920
Распечатать страницу

3 ответа

несколько GPG-ID могут быть добавлены к .gpg-id файл для шифрования каждого пароля в каталоге. Это позволило бы хранить общий пароль между различными членами без необходимости передавать закрытый ключ всем.

также можно создавать подкаталоги с различными наборами GPG-ID, если это имеет смысл.

See man pass под init Раздел для получения более подробной информации.

вот отличная статья, которая описывает процесс: https://medium.com/@davidpiegza/using-pass-in-a-team-1aa7adf36592

надеюсь, что это помогает.

4
отвечен mantlepro 2023-01-31 00:04

чтобы избежать совместного использования закрытого ключа, которые на самом деле не являются их целью, вы можете взглянуть на относительно новый gopass альтернатива pass, который совместим с passи позволяет поддерживать несколько получателей изначально, обеспечивая при этом git -основанный work-flow.

это с открытым исходным кодом, основываясь на Github.

он имеет следующие характеристики вы можете в настоящее время при использовании проход в среде нескольких пользователей:

  • git auto-push & Auto-pull, чтобы никогда не пропустить изменения.
  • multi-магазины, которые могут быть установлены друг над другом, как файловые системы на Linux/UNIX систем
  • список, добавлять и удалять получателей из командной строки
  • храните открытые ключи gpg в папке ключей в хранилище паролей
  • полностью совместим с Git PGP подписанные коммиты

это действительно интересно при работе в команде нужно делиться паролями.

это как pass, что означает использование gpg, Он хранит пароли в том же формате, что и pass на первой строке .gpg файлы и т. д.

нормальный рабочий процесс с gopass будет следующим:

  1. пользователь настроить пароль-store (или взять pass один) и добавьте к нему всех получателей.
  2. общий доступ пользователя к хранилищу паролей на общедоступном git репозиторий (если это возможно на внутреннем сервере git, но так как все зашифровано, вы также можете хранить его на внешнем сервере, просто имейте в виду, что структуры и имена ваших записей доступны.)
  3. каждый работает со своим собственным закрытым ключом для расшифровки данных, которые затем шифруются с помощью открытых ключей каждого изменения.

что приятно, что каждый коммит к вашему password-store может быть подписано через git, это совместимость со смарт-картами PGP, например pass, и если вы уже использовали Go в своей жизни, легко настроить его так, как вы хотите. Код поставляется с обширными модульными тестами и достаточно хорошей документацией.

в вашем конкретном случае он должен работать довольно хорошо. Вы можете даже избежать полностью удаленных серверов git и просто сохранить его в общей папке.

3
отвечен Lery 2023-01-31 02:21

каждый пользователь будет иметь доступ к pass, и будет делать pass init в этот каталог, с ключом GPG, присутствующим в их связке ключей (второй, а не их собственный )

во-первых, убедитесь, что ваш pass store инициализирован git.

добавить необходимые пароли. Commit и push РЕПО доступна всем пользователям.

тогда каждый пользователь будет клонировать этот репозиторий git, содержащий ваш зашифрованный пароль (но не ключ GPG )

вы можете распространять свой GPG ключ с:

gpg --export-secret-key -a "User Name" > private.key

и затем импортировать его для каждого пользователя

gpg --allow-secret-key-import --import private.key

наконец, каждый пользователь будет init собственный пропуск РЕПО с общим ключом GPG-id

init [ --path=sub-folder, -p sub-folder ] gpg-id...

вы можете получить ключ-id с 

gpg --list-keys

NB: вы должны думать о логистике обмена закрытыми ключами.

я цитирую scout3801@gmail.com на этом благо шпаргалка о GPG

Случае Использовать *.2: упомянутый выше были команды для экспорта и импорт секретных ключей, и я хочу объяснить одну причину, почему, возможно ты захочешь это сделать. В принципе, если вы принадлежали к группе, и хотел создать одну пару ключей для этой группы, один человек создайте пару ключей, затем экспортируйте открытый и закрытый ключи, дайте их другим членам группы, и все они будут импортировать это пара ключей. Затем член группы или кто-то снаружи может использовать сгруппируйте открытый ключ, зашифруйте сообщение и/или данные, и посылают его к члены группы и все они смогут получить доступ к сообщение и / или данные. В принципе, вы можете создать упрощенную систему где только один открытый ключ был необходим для отправки зашифрованных материалов нескольким получателям.

1
отвечен Antoine Claval 2023-01-31 04:38

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх