我正在尝试使用 docker 和 watchtower 构建 OTA(空中(更新机制。我是linux和Docker的新手。我想我会使用这里显示的技术。我认为 bitbucket ssh 密钥存储在主机 (rpi( 中,通过这项技术,我将把该密钥复制到容器中。 我想知道的是;因为我的RPI设备将掌握在我的客户手中。
- 我是否通过"存储在主机(rpi(中的bitbucket ssh密钥"来正确理解这个概念,并且通过这种技术,我将把该密钥复制到容器中。
- 如果 1. 是 将以这种方式发生。 我的 SSH 密钥安全吗? 它将存储在我将交付给客户的每台设备中。
SSH 私钥需要位于每个 rpi 上,并且需要将相应的公钥添加到 Bitbucket 存储库中。
如果私钥被泄露 - 这是可能的,如果你在任何地方分发它 - 那么潜在的损害将取决于你把公钥放在哪里。您可以通过以下几点来减轻这种潜在的损害:
- 仅将此密钥对用于此特定目的。
- 将公钥添加为"访问密钥",仅添加到需要它的存储库上。访问密钥在Bitbucket中是只读的,因此如果/当私钥被泄露时,攻击者将能够读取(但不能修改(代码。 如果您没有很多客户将
- 使用此特定内容,请考虑为每个客户创建不同的密钥(以便您可以根据需要撤销特定客户或设备的访问权限(。但是,维护起来可能会变得复杂。