Docker Raspberry Pi клонирует частное хранилище битов в git-репо во время сборки

Question

Я пытаюсь создать механизм обновления OTA (по воздуху) с помощью докера и сторожевой башни.Я новичок в Linux и Docker.Я думаю, что я буду использовать показанную здесь технику .который я думаю, битовый ключ ssh хранится на хосте (rpi) и с помощью этой техники я скопирую эти ключи в контейнер.Что мне интересно, так этоиз-за моего rpi устройства будут в руках моих клиентов.

1. Правильно ли я понимаю концепцию под «ключом bitbucket ssh, хранящимся в хосте (rpi), и с помощью этой техники я скопирую эти ключи в контейнер.»
2. , если 1.так и будет.мой ключ ssh безопасен?который будет храниться в каждом устройстве, которое я доставлю клиентам.

Answer 1

Приватный ключ SSH должен быть на каждом RPI, и соответствующий открытый ключ должен быть добавлен в репозиторий Bitbucket.

Если закрытый ключ скомпрометирован - что возможно,если вы распространяете его повсюду - тогда потенциальный ущерб будет зависеть от того, куда вы положили открытый ключ.Вы можете уменьшить этот потенциальный ущерб с помощью нескольких вещей:

1. Используйте эту пару ключей только для этой конкретной цели.
2. Добавьте открытый ключ в качестве «ключа доступа» только для хранилища.(s) это нужно.Ключи доступа доступны только для чтения в Bitbucket, поэтому, если / когда секретный ключ скомпрометирован, злоумышленник сможет прочитать (но не изменить) код.
3. Если у вас мало клиентовкто будет использовать эту конкретную вещь, рассмотрите возможность создания разных ключей для каждого (чтобы вы могли отозвать доступ для определенных клиентов или устройств по мере необходимости).Это может быть сложно поддерживать, хотя.