BlackBox 可以让你安全的在版本控制系统(支持 Git 和 Mercurial)中存储秘密的资料。BlackBox 提供一些命令可以让你方便的使用 GPG 加密指定文件并存储到资源库中,当然解密也很方便。
概述:
假设您有一个VCS存储库(即Git或Mercurial存储库),并且某些文件包含机密信息,例如密码或SSL私钥。通常,人们只是存储这样的文件,“希望没有人在存储库中找到它们”。那不安全。
使用BlackBox,这些文件使用GPG加密存储。在没有适当的GPG密钥的情况下访问VCS存储库也就变得毫无价值。只要确保GPG密钥安全,就不必担心将VCS存储库存储在不受信任的服务器上。哎呀,即使您信任服务器,现在也不必信任执行该服务器备份的人员或处理备份磁带的人员!
不是所有文件都有一个GPG密码,每个有访问权限的人在系统中都有自己的GPG密钥。任何人都可以使用其GPG密钥解密任何文件。这样,如果一个人离开公司,您不必将新密码发送给具有访问权限的每个人。只需禁用不应再具有访问权限的一键即可。这样做的过程就像运行2条命令一样简单(1条命令禁用其密钥,1条重新加密所有文件。)
自动化过程通常需要访问所有解密的文件。这也很容易。例如,假设Git用于Puppet文件。主机需要访问所有文件的解密版本。只需为Puppet主服务器(或将新文件推送到Puppet主服务器的角色帐户)设置GPG密钥,并blackbox_postdeploy在更新任何文件后让该用户运行。
