OA
либо поиграйся со шрифта^W^W с юникс-группами чтоб файлик с секретами не был доступен простоадмину
Size: a a a
2020 March 10
OA
Dollar Føølish
Айфон в тпм хранит?
да
DF
Ну норм
DF
Можно и без Айфона тогда, просто платформозависимое решение
DF
Куда то сообщения пропадают
P
Dollar Føølish
Кстати где надо хранить секреты если хостишься он премисес?
в тпм
OA
Dollar Føølish
Куда то сообщения пропадают
я удалил бред
P
или юсб-ключике
OA
а, кстати
OA
у yubikey есть какие-то HSM-мы
P
надо только кнопочку при старте нажимать
OA
но тут вся соль в том, что ты хочешь чтоб ядро ОСи проверяло хеш бинарника и по нему давала доступ к файлу с секретами.
P
а не достаточно, чтоб бинарник был подписан?
DF
Подпись да
OA
нет
DF
Ну не суть
P
тоесть пинишь серт и проверяешь, что этим сертом подписан
OA
бинарник может быть вообще не подписан, главное привязать к нему доступ. Типа "этот keychain item доступен только бинарнику с sha256=fada87e0bd0ad7342"
OA
сертификаты и подписи позволяют добавить indirection чтоб апдейт софта не приводил к потере доступа, но это вторично
OA
главное, что ядро имеет эксклюзивный доступ к определенному стораджу и умеет делать ACL привязанный к бинарникам, а не к группам и UID