J'ai fait les mêmes vérifications préalables et je suis également préoccupé par le fait que tous les outils et la documentation destinés aux clients semblent promouvoir de mauvaises pratiques en matière de sécurité. Je réponds à la question "voulez-vous vraiment entrer à nouveau une phrase de passe pour chaque commande que vous entrez ?". -- Oui, ou du moins je suis heureux qu'un outil comme ssh-agent l'entre pour moi. Je ne veux jamais trouver aucune de mes clés privées ou phrases de passe dans un texte plat sur mon système de fichiers. Je suis étonné que la réponse standard soit simplement "cryptez tout votre système de fichiers".
Même si je monte et crypte juste un répertoire .ec2 et que je planque tout dedans, je dois toujours faire attention à ne pas suivre la documentation qui suggère de définir ma clé secrète comme une variable d'environnement dans mon bash_profile script. Alors peut-être que je vais juste la mettre dans un script sur mon répertoire .ec2 et la passer dans la ligne de commande -- oh attendez, maintenant mon mot de passe est assis dans mon historique (je ne peux toujours pas croire qu'os x n'est pas assez gentil pour ne pas stocker les lignes que je préfixe avec un espace). Donc, j'ai vraiment besoin de crypter tout mon répertoire utilisateur juste pour être sûr. Et pourquoi exactement le processus asymétrique d'utilisation des certificats x.509 est-il déprécié et remplacé par le processus d'authentification par "clé secrète" ? Au moins, le premier me permet de stocker la clé privée dans un fichier - le second me demande de la passer en argument (dont la valeur se retrouve partout dans mon historique et mes script).
Le problème est qu'il existe tous ces grands protocoles de sécurité, mais que personne ne veut prendre le temps de les comprendre. Au lieu de cela, ils veulent juste que les choses fonctionnent - en conséquence, ils suivent aveuglément une documentation étape par étape qui a été écrite par quelqu'un qui a aveuglément suivi la documentation étape par étape de quelqu'un d'autre. Personne ne pose de questions à ce sujet parce qu'ils ne comprennent pas et veulent simplement que ça marche. Le résultat est la prolifération de pratiques de sécurité vraiment mauvaises.
