Open phish108 opened 3 years ago
Mit lxc file pull $HOSTNAME/pfad/zu/einer/datei .
kann eine Datei von einem Host geladen werden selbst wenn der Host nicht läuft.
Mit lxc file push $UrsprungsDatei $HOSTNAME/pfad/zur/ziel/datei
kann eine Datei auf einen Host geladen werden, selbst wenn der Host nicht läuft.
Die SSH Host Keys werden beim ersten Start des Hostsystems erstellt. Wir brauchen den public Host Key, den eine SSH CA signieren muss.
Die Logik wäre:
lxc file pull
extrahierenlxc file push
auf dem Host installieren.Alternativ und etwas einfacher:
Bei der zweiten Logik muss der private Schlüssel ausserhalb des Hosts (wenn auch temporär) gespeichert werden. In diesem Fall liegt der private Schlüssel nur auf dem Hardware Host, der so oder so auf diesen Schlüssel zugreifen kann.
Letztendlich ist die zweite Option hinreichend, weil der Private Schlüssel immer auf dem Hrdware-Host liegt. Die Routine muss aber auf diesem Host beschränkt bleiben, damit der private Schlüssel nicht durch dritte Parteien angefangen werden kann.
Ziel:
Referenzen:
Später können wir auf HashiCorp Vault umstellen. Das ist etwas flexibler und erlaubt komplexe Zugriffsregeln für verschiedenen Schlüssel und Zertifikatssysteme.