だから私は最近 python fabric api に出くわし、それが日常のシステム管理タスクにどのように役立つかに本当に満足しています. 仕事で使い始めたいのですが、非常にセキュリティ意識の高い環境です。タスクの実行中に、ファブリックが提供した ssh パスワードをどのように処理するのか疑問に思っていましたか? メモリのどこかにそれを突っ込み、次のホストにログインする必要があるときにそれを引き出すとenv.hosts思いますか?メモリ内でこのパスワードをどのように保護しますか?
これらの点に沿って多くの質問を受けることになるので、セキュリティを重視するタイプの人々に、ファブリックが素晴らしくフレンドリーで、少なくともリスクをもたらさないことを説明するための良い方法を探しています.私たちがすでに持っている他の何よりもリスクはありません:)
参照されているソース@dm03514を簡単に調べましたが、fabric が対話的にパスワードを要求する必要がある場合は、パスワードをメモリに読み込み、fabric python プロセスの間保存するという点で正しいと思います。あなたの懸念に対処する方法は、ファブリック自体ではなく、ssh インフラストラクチャがパスフレーズの代わりにキーを使用し、必要に応じて ssh エージェント転送を行うことです。暗号化された ssh キーと ssh-agent を使用してそれらのロックを解除すると、ファブリックは同じメカニズムを利用できるため、ssh パスワードが関与することをまったく回避できます。sudo パスワードについては、パスワードなしの sudo を許可するか、ファブリックが動作中にメモリ内に sudo パスワードを保持するリスクを受け入れる必要があります。