在 digitalocean droplet 这样的服务器上拥有私有 ssh 密钥以连接到 github 是不是安全？

Posted 2023-03-23

【中文标题】在 digitalocean droplet 这样的服务器上拥有私有 ssh 密钥以连接到 github 是不是安全？

【英文标题】：Is it safe to have a private ssh key on an server like the digitalocean droplet in order to connect to github?在 digitalocean droplet 这样的服务器上拥有私有 ssh 密钥以连接到 github 是否安全？

【发布时间】：2021-11-20 11:36:20

【问题描述】：

我正在使用 fabric 来自动化一些我必须在 digitaloncean 液滴上运行的脚本，其中一个命令是从 git repo 获取文件。为此，我必须插入 github 用户名和临时令牌（因为 2FA），但我不想这样做，所以我想知道在 droplet 中生成 pub/private 密钥对是否安全和在 github ssh 密钥中包含 pub 密钥。

【参考方案1】：

要从服务器提供粒度控制的访问，我建议您检查个人访问令牌：https://github.com/settings/tokens

它允许您在需要时轻松撤销它，并且您可以选择专用于您的应用程序的权限（如果您只想获取一些文件，可能只是读取权限）。

2 个有用的功能：

您可以为令牌添加到期日期 范围列表非常广泛，因此您一定要只授予您对 droplet 的访问权限。

即使您的令牌的权利受到限制，也不要忘记保护您的 droplet。您可以在 DO 文档中找到更多相关信息：https://www.digitalocean.com/community/tech_talks/securing-your-droplet 或一般关于如何设置标准 Linux 服务器的信息。 Digital Ocean提供的云防火墙也很棒，你应该看看。

【讨论】：

tks 弗朗索瓦。关于如何自动填写用户名和令牌的任何想法？我已经有一个令牌，但是每次我运行fab 时，它都会提示我手动输入这些令牌。我尝试设置env.user 和env.password，但它不起作用。 tks

我对fabric一无所知，也许可以试试看是否可以将它与环境变量一起使用，或者直接从CLI使用，或者从配置文件中使用？