Je souhaite injecter une clé secrète gpg avec du sel. La clé elle-même est dans un pilier sûr, mais de fournir la clé de la configuration du GPG nouvellement installé sur le sbire, je dois mettre la clé dans un fichier, j'ai donc quelque chose commeUtiliser un fichier tmp sécurisé avec salttack
import_gpg_key:
file.managed:
- name: /tmp/secret.key
- contents_pillar: gpg:secret_key
- user: me
- group: me
- mode: 0600
cmd.run:
- name: gpg --batch --import /tmp/secret.key
- runas: me
- unless: gpg --list-secret-keys {{ pillar['gpg']['default_key_fingerprint'] }}
##
# FIXME Is there no way to avoid
# writing the secret to disk, or
# at least use a secure tmpfile?
/tmp/secret.key:
file.absent
Comme je l'ai dit Dans mon commentaire, je préfère ne pas écrire le secret sur le disque, mais si c'est inévitable, est-il possible d'utiliser un fichier tmp sécurisé avec un chemin aléatoire qui n'est pas facilement devinable?