2
塩をgpgの秘密鍵に注入したい。キー自体は安全な柱であるが、手先に新しくインストールされたGPGの設定にキーを提供するために、私は、ファイルにキーを配置する必要がありますので、私が言ったように私はsaltstackで安全なtmpfileを使用する
import_gpg_key:
file.managed:
- name: /tmp/secret.key
- contents_pillar: gpg:secret_key
- user: me
- group: me
- mode: 0600
cmd.run:
- name: gpg --batch --import /tmp/secret.key
- runas: me
- unless: gpg --list-secret-keys {{ pillar['gpg']['default_key_fingerprint'] }}
##
# FIXME Is there no way to avoid
# writing the secret to disk, or
# at least use a secure tmpfile?
/tmp/secret.key:
file.absent
のようなものを持っています私のコメントでは、私はむしろ秘密をディスクに書きたくないのですが、やむを得ないことがあれば、簡単に推測できないランダム化されたパスを持つ安全なtmpfileを使用する方法がありますか? (少なくともそれがドキュメントに記載されていません)私はunless
はここで働いていないことを恐れている
import_gpg_key:
module.run:
- name: gpg.import_key
- user: me
- kwargs:
text: {{ pillar['gpg']['secret_key'] }}
- unless: gpg --list-secret-keys {{ pillar['gpg']['default_key_fingerprint'] }}
: