是否可以将 CA 证书的使用限制为特定用户/主体/组?
用例是我想要 2 个 CA 证书。一个将用作自动化系统的一部分来签署用户密钥。如果此证书被泄露,我想确保它不能用于允许某人登录管理员帐户。
另一个 CA 证书显然会更安全地存储(气隙等)并用于管理员帐户。
有没有一种简单的方法来生成要添加到~/.ssh/known_hosts文件中的散列主机名?
我想@cert-authority在文件中添加一行~/.ssh/known_hosts。
显然该ssh-keygen命令不会获得 CA 证书。我认为它还需要连接到服务器,我不确定我是否可以让它散列通配符。
那么,例如,我将如何散列"*.bar.com",以便可以在~/.ssh/known_hosts文件中使用它?
编辑:考虑到这一点,散列通配符可能无法工作,因为客户端在散列后很难匹配通配符。但是,如果我仍然可以获得一种方法来散列域而不需要连接到服务器(就像ssh-keygen那样),那就太好了。
我希望能够列出自上次运行脚本/命令以来已升级的软件包中的所有新闻。然后,这可能会在 cron 作业中每周运行一次,以提供任何升级信息的摘要。
该apt-listchanges命令看起来像我想要的,但我似乎无法让它的行为与我描述的完全一样。我尝试运行的命令是:
apt-listchanges -f text -a --which=news --save_seen=/var/lib/apt/listchanges.db /var/cache/apt/archives/*.deb
似乎希望列出实际的包,而不是默认检查所有包,所以我把缓存中的所有东西都给了它,我不确定这是否是最好的方法。
但是,更大的问题是,默认情况下它只显示当前安装版本之间的变化,因此不显示任何变化。因此,我添加了 -a 选项来显示所有更改,然后添加了 save_seen 选项,该选项声称它将停止显示之前显示的更改。但是,每次我运行命令时,它每次都会显示所有更改。
有没有办法调整命令按预期工作?或者,也许是其他一些解决方案,例如使用 apt 挂钩将每个升级包的 NEWS 附加到文件中,然后我的脚本可以简单地读取文件并在每次运行时删除内容。