security - ssh-agent 使用什么机制来保证未锁定的私钥在内存中的安全？

Question

我正在研究 library快速访问 KeepassX数据库文件对高级用户来说更容易。现在，该应用程序在内存中的生命周期非常短，因此未加密的 KeePass 数据库的安全性并不是一个大问题。

但是，我想添加在后台保持数据库解锁一段时间的功能，类似于 KeepassX GUI 的方式。这将允许立即查询密码，而无需提示输入主密码。这意味着会有某种守护进程将数据库保存在内存中并与客户端通信。

这似乎与 ssh-agent 的安全隐患相似，我想知道这些部分周围的人是否熟悉该项目如何实现长期安全存储敏感数据(即解锁的 SSH 私钥)。

Answer 1

也许这会有所帮助:Man: mlock(2)

请注意，UNIX 域套接字比 Internet 域套接字更安全，因为它们只能从本地主机访问并且对它们的访问可以进一步限制为特定用户和组(使用 chown 和 chgrp，当然还有 chmod)。