управление ключами
2 статей с этим тегом
Не давайте root-ключи средам, которые можно скомпрометировать: наименьшие привилегии SSH-ключа
Регистрация root-ключа в продакшене из эфемерной, компрометируемой среды (под GPU, раннер CI, одноразовая ВМ) означает, что в тот миг, когда среда скомпрометирована, продакшен забирают с root. Исправление: никаких root-ключей в эфемерных средах; убирать ключи, когда не используются; если снова нужно — пользователь не root плюс ключ с ограничением команды, ограничивающий ключ одной операцией. Переиспользуемый ключ — ваш самый критичный актив; никогда не стройте конфигурацию «одна утечка — всё».
Heartbleed (CVE-2014-0160) — когда из фундамента шифрованного трафика утекала память
Чтение памяти за границей в OpenSSL могло раскрыть приватные ключи и сессии. Причина: сервер доверял заявленной длине и читал соседнюю память. Урок: действуйте так, будто утекло всё — перевыпускайте сертификаты, ротируйте все секреты — плюс вес фундаментального ПО и безопасности работы с памятью.