Sam Bull's questions

É possível restringir o uso de certificados de CA a usuários/principais/grupos específicos?

O caso de uso é que eu gostaria de ter 2 certificados de CA. Um seria usado como parte de um sistema automatizado para assinar as chaves do usuário. Se este certificado for comprometido, quero ter certeza de que não pode ser usado para permitir que alguém faça login em uma conta de administrador.

O outro certificado de CA obviamente seria armazenado com mais segurança (airgapped, etc.) e usado para contas de administrador.

Existe uma maneira fácil de gerar nomes de host com hash para serem adicionados ao ~/.ssh/known_hostsarquivo?

Eu gostaria de adicionar uma @cert-authoritylinha ao ~/.ssh/known_hostsarquivo.

Obviamente, o ssh-keygencomando não obteria o certificado CA. Acho que também precisa de uma conexão com o servidor e não tenho certeza se consigo fazer hash de um curinga.

Então, como eu faria o hash "*.bar.com", por exemplo, para que ele possa ser usado no ~/.ssh/known_hostsarquivo?

Editar : Tendo pensado sobre isso, os curingas com hash provavelmente não funcionarão, pois seria muito difícil para o cliente corresponder a um curinga depois de ter sido hash. Mas, se eu ainda conseguir um método para hash de um domínio sem exigir uma conexão com o servidor (como ssh-keygenacontece), isso seria ótimo.

Gostaria de poder listar todas as NOTÍCIAS dos pacotes que foram atualizados desde a última vez que executei o script/comando. Isso provavelmente seria executado em uma tarefa cron uma vez por semana para fornecer um resumo de qualquer informação de atualização.

O apt-listchangescomando se parece com o que eu quero, mas não consigo fazer com que ele se comporte exatamente como descrevi. O comando que tentei executar é:

apt-listchanges -f text -a --which=news --save_seen=/var/lib/apt/listchanges.db /var/cache/apt/archives/*.deb

Parece querer que os pacotes reais sejam listados, em vez de apenas verificar todos eles por padrão, então dei tudo no cache, não tenho certeza se essa é a melhor maneira de fazer isso.

Mas, o maior problema, é que por padrão ele só mostra as mudanças entre as versões instaladas atualmente, portanto não mostra nenhuma mudança. Portanto, adicionei a opção -a para exibir todas as alterações e, em seguida, adicionei a opção save_seen, que afirma que interromperá a exibição das alterações que foram mostradas anteriormente. Mas, cada vez que executo o comando, ele exibe todas as alterações todas as vezes.

Existe uma maneira de ajustar o comando para funcionar conforme o esperado? Ou talvez alguma outra solução, como usar um gancho apt para anexar o NEWS para cada pacote atualizado a um arquivo, então meu script pode simplesmente ler o arquivo e excluir o conteúdo sempre que for executado.