1Password Developer Watchtower
1Passwordマニュアル|Developer Watchtowerで開発者認証情報を外部からチェックし、セキュリティー強化に役立てる方法を解説します。
1Password Developer Watchtowerは、ローカル ディスクにSaveされている開発者の資格情報をチェックし、プレーンテキストでSaveされている資格情報や古い暗号化を使用している SSH鍵など、セキュリティーのベスト プラクティスに従っていない資格情報について警告します。
問題の修復とセキュリティーリスクの軽減を支援するために、Developer Watchtowerでは、ローカルSSH鍵を暗号化する必要があるか、1Passwordにインポートする必要があるかなど、各アラートに関連する推奨事項を提供します。
必要条件
Developer Watchtowerを利用する前に、次のことを行う必要があります。
ディスク上の開発者認証情報を確認する
開始するには、Developer Watchtower設定をオンにします。
1Passwordデスクトップアプリを開いてロックを解除します。
サイドバーで[Developer]を選択し、[View Developer Watchtower]を選択します。
[Check for developer credentials on disk]をオンにします。 アプリの開発者設定からこの設定をオンまたはオフにすることもできます。
次に、Developer Watchtowerで結果を確認します。
1Passwordは、開発者の資格情報を確認するためにのみローカルディスクを使用します。1Passwordの誰もあなたのデータを見たりアクセスしたりすることはできません。1Password DeveloperとWatchtowerのデータ保持とプライバシーについて詳しくは、こちらをご覧ください。
結果をDeveloper Watchtower内で確認する
1Passwordがディスク上で認証情報を見つけた場合、セキュリティーへの影響が最も高い属性に基づいて、次のいずれかのカテゴリーにリストされます。
Needs attention:脆弱であることがわかっており、ある程度のセキュリティーリスクをもたらす資格情報。
Recommendations:より安全ですが、追加の鍵管理によってメリットが得られる資格情報。
リスト内の項目を選択すると、資格情報に関する情報と推奨事項および推奨アクションが表示されます。各項目のアクションメニューを選択すると、ファイルマネージャーで資格情報を表示したり、関連するメタデータをコピーしたりするオプションが表示されます。
Developer Watchtowerページが空の場合は、1Passwordがディスク上に注意を必要とする開発者資格情報を見つけられなかったことを意味します。
ℹ️INFO
SSH鍵が現在Developer Watchtowerでサポートされている唯一の開発者資格情報であるため、結果にはローカルディスクにSaveされているその他の資格情報は含まれません。
SSH鍵
1Passwordは、ローカルディスク上の次の場所と形式でSSH鍵をチェックします。
位置
資格情報の種類
~/.ssh(最大3つのネストされたディレクトリー)
OpenSSH、PKCS#8、またはPKCS#1形式のSSH秘密鍵
1Passwordはシンボリックリンクをたどったり、ファイルシステムをトラバースしたりしません(例えば、~/.ssh/otherマウントされた外部ドライブはスキップされます)。サイズが1MiB(メビバイト=2^20バイト)を超えるファイルもスキップされます。
これらのパラメーター内にSSH鍵が見つかった場合、それらはDeveloper Watchtowerに追加され、セキュリティー上の問題を警告し、SSH鍵管理を改善するための推奨事項を提供します。
SSH鍵アラート
警告メッセージ
説明
推奨されるアクション
🛈Insecure key type
脆弱性があることがわかっている古い形式のSSH鍵。
公開鍵を使用したサーバーのauthorized_keysファイルから削除し、1Passwordで新しい安全なSSH鍵を生Createします。詳細はこちらをご覧ください。
⚠️This key is unencrypted
ディスク上に平文でSaveされたSSH鍵。
鍵を1Passwordにインポートし、暗号化されていないコピーをディスクから削除するか、ssh-keygenコマンドを使用してディスク上のファイルを暗号化します。詳細はこちらをご覧ください。
🛈Already exists in 1Password
1Passwordに既にSaveされているSSH鍵。
ディスク上のSSH鍵の冗長コピーを削除し、1Passwordで既に保護されている鍵を保持します。詳細はこちらをご覧ください。
Unsupported key
1PasswordでサポートされていないSSH鍵。
1Password SSHエージェントで使用する場合は、1Passwordで新しいSSH鍵を生Createします。詳細はこちらをご覧ください。
🛈Insecure key type
安全でないSSH鍵は、対処が必要な重大なセキュリティー問題です。安全でない鍵はクラックされやすく、攻撃者がサーバーに侵入して侵害する恐れがあります。安全でない鍵には次のものがあります。
DSA鍵
強度が2048ビット未満のRSA鍵
OpenSSHはGitHubやGitLabのような主要な開発プラットフォームとともに、これらの安全でない鍵タイプのサポートを削除しています。
Developer Watchtowerが安全でないSSH鍵を警告した場合は、ディスクと、その鍵が使用されている全てのサーバーのauthorized_keysファイルからSSH鍵ファイルを削除することが不可欠です。その後、1Passwordで新しい安全なSSH鍵を生Createできます。
⚠️This key is unencrypted
平文でSaveされた秘密鍵ファイルはセキュリティー上の脆弱性があり、マルウェアの格好の標的となります。SSH秘密鍵をパスフレーズで暗号化することが、保護の層をさらに強化するために、SSHクライアントでサポートされている一般的な方法です。
Developer Watchtowerがローカルディスク上の暗号化されていない鍵について警告した場合は、アクションメニューから次のいずれかのオプションを選択できます。
Import:SSH鍵を1Passwordにインポートすると、自動的に暗号化されます。その後、不要になった、暗号化されていないコピーをディスクから削除できます。
Copy Encryption Command:ディスクにコピーをSaveしたい場合は、パスフレーズを使用して鍵ファイルを暗号化する必要があります。このオプションでは、ssh-keygen鍵へのパスを含むコマンドがクリップボードにコピーされます。ターミナルアプリでコマンドを実行できます。
$ ssh-keygen -pf path/to/your/key
この-pfフラグにより、パスフレーズをCreateし、暗号化する秘密鍵ファイルを指定するように求められます。
🛈Already exists in 1Password
1Passwordは、ローカルディスク上のSSH鍵の公開フィンガープリントと1Password内のSSH鍵アイテムのフィンガープリントを比較して、そこに鍵が既にSaveされているかどうかを判断します。
Developer Watchtowerが、ローカルフォルダー~./ssh内の鍵が既に1PasswordにSaveされていることを示している場合は、ディスク上のSSH鍵の冗長コピーを削除できます。
Unsupported key
1PasswordでサポートされていないSSH鍵はインポートできません。1Passwordでは、次の鍵の種類と形式がサポートされています。
Ed25519鍵
RSA2048、3072、4096ビット鍵
Developer Watchtowerからローカルディスク上の鍵がサポートされていないことが通知された場合、その鍵を1Password SSH Agentで使用するには、新しいSSH鍵を生Createすることを検討してください。
一部の鍵を1Passwordがサポートしている形式に変換できる場合もあります。例えば、1PasswordはPuTTY形式(.ppk)の鍵をサポートしていませんが、PuTTYgenはPPK鍵をOpenSSH形式でエクスポートできます。
ファイルを無視する
開発者の資格情報を確認する際に1Passwordがフォルダー内の特定のファイルを無視するようにしたい場合は、SSHフォルダーにファイルを~/.sshCreateします。ファイルにエントリーを追加して、1Passwordが無視するファイルを指定します。
例:.ignore~/.ssh/.ignoreファイル内のエントリーの例
Test_key
*_development
Last updated