tag
金鑰管理
該標籤下有 2 篇文章
2026-06-11
不要把 root 金鑰交給可能被入侵的環境:SSH 金鑰的最小權限
從臨時且可能被入侵的環境(GPU pod、CI runner、一次性 VM)向生產登記 root 金鑰,那個環境一旦被入侵,生產就會連帶被人以 root 權限抽走。對策=不在臨時環境放 root 金鑰/不用了就刪掉/再次需要時用非 root 使用者+command 限制金鑰(command=「...」 restrict)把操作限定為一個。重複使用金鑰是最重要資產,別搭出『漏一把就全完』的結構。
2026-06-07
Heartbleed(CVE-2014-0160)——加密通訊的根基洩漏了記憶體的事件
OpenSSL 的記憶體越界讀取,可能洩漏私鑰乃至工作階段的事件。根源是回傳的記憶體比請求長度更多的實作錯誤。教訓是『按已外洩處理=重新簽發憑證、徹底更換金鑰與機密』,以及監控根基軟體、重視記憶體安全的價值。