Show HN: Secs-man，一个你（不应该）依赖的密钥管理器

背景

在数字时代，管理敏感数据（如 SSH 密钥、配置文件、API 令牌等）是系统管理员和开发者的核心任务。然而，传统的密钥管理方案往往存在一个致命的弱点：供应商锁定（Vendor Lock-in）。许多商业或闭源工具要求用户必须使用其特定的软件生态来解密和恢复数据。一旦该软件停止维护、公司倒闭或出现安全漏洞，用户的数据可能永远无法访问。

这种“如果我用这个软件加密，就只能用这个软件解密”的逻辑，迫使数据所有者长期依赖特定软件，违背了数据自主权的原则。此外，将极度敏感的数据备份到云端也存在隐私风险。

secs-man 正是在这种背景下诞生的开源工具。它由开发者 Fran314 发布在 GitHub 上，旨在解决密钥管理的可移植性和长期可访问性问题。其核心理念是：即使 secs-man 这个软件从地球上消失，你的数据依然可以通过标准工具解密和恢复。 它特别适用于那些因过于敏感而不愿上传至云端的本地或远程机器数据备份场景。

核心内容

secs-man 是一个基于 Rust 编写的密钥管理工具，其设计哲学是“去软件化”的依赖。它不追求构建一个封闭的生态系统，而是致力于将加密、解密和数据恢复过程与特定软件解耦。

1. 极简且标准化的依赖链

secs-man 的设计目标是将恢复数据所需的依赖缩减到最基础的“行业标准”或通用技术栈。作者认为，依赖 bash 解释器、USB 端口、Linux 机器以及 coreutils（如 cp, mv, sha256sum）是完全可以接受的，因为这些技术具有极高的生存概率和通用性。

因此，secs-man 恢复数据的唯一核心加密依赖是 age。

• 为什么选择 age？ age 是一个现代、简单且流行的加密工具，拥有良好的 Rust 绑定和广泛的社区支持。
• 恢复承诺： 即使 secs-man 软件本身不再可用，只要 age 存在，用户只需花费约 30 分钟，配合终端和核心工具，即可手动恢复所有密钥。

2. 安装与分发策略

值得注意的是，secs-man 并未发布 在标准的包管理器仓库中（如 crates.io、Nixpkgs 或 AUR）。它仅通过 GitHub 仓库 Fran314/secrets-manager-rs 分发。这进一步体现了其“非主流”和“去中心化”的定位。

安装方式主要有三种：

• Nix 用户（Flakes）： 可直接运行而无需安装：

  nix run github:Fran314/secrets-manager-rs -- export /path/to/secrets /path/to/export/endpoint
  

• Nix 用户（系统级）： 通过 fetchGit 将仓库引入 Nix 配置，并将其加入 environment.systemPackages 或 home.packages。
• 非 Nix 用户： 使用 Cargo 直接从 Git 安装：

  cargo install --git https://github.com/Fran314/secrets-manager-rs
  

• 注意： 上述方法仅安装二进制文件，不包含用于远程机器管理的 secs-man-ssh 脚本，该脚本需从仓库单独复制。

3. 工作流程与数据结构

secs-man 推荐将所有“密钥”（密钥、文件等）集中存储在一个目录中。

• 清单文件 (Manifest)： 在密钥目录根目录下，必须存在一个名为 .secrets-manifest 的纯文本文件。它列出了需要管理的所有文件路径（相对于密钥目录），且路径中不能包含空格。

  • 每个条目可以指定 owner（所有者）和 mode（权限），以便在导入时正确设置文件权限。
  • 语法参考 .secrets-manifest.example。

• 导出（Export）：

  1. 读取清单文件。
  2. 通过交互式提示要求用户输入密码短语（Passphrase）。关键点： secs-man 绝不会从文件、参数或环境变量中读取密码，确保密码不落地。
  3. 使用 age 对文件进行加密。
  4. 自动生成 .sha256 文件以验证完整性。
  5. 将加密后的文件导出到目标目录下的时间戳快照中（例如 export-YYYY-MM-DD_HH-MM-SSZ）。

• 导入（Import）：

  1. 同样需要交互式输入密码短语进行解密。
  2. 可以将最新快照或特定快照导入到指定的密钥目录。
  3. 支持选择性导入，例如只导入特定的 SSH 密钥：--pick ssh/id_ed25519 wg/wg0.key。

• 完整性验证：

  • 每次导出时会自动进行完整性检查。
  • 用户可手动运行 verify-export 来验证旧快照是否因存储介质老化而损坏。

4. 远程机器支持

secs-man 支持远程机器的密钥部署和备份，但处理远程传输时的信任问题至关重要。

• 简单方法（不推荐用于不信任主机）： 在远程主机临时目录导出，然后拷贝到本地。缺点是密码短语会经过远程主机，若远程主机不可信，则存在泄露风险。

• 安全方法（使用 secs-man-ssh 脚本）： 该脚本设计用于在不信任的远程主机上操作，且不需要远程主机允许 root SSH 登录，但要求远程用户拥有 sudo 权限（用于执行 chown 和 chmod）。

  从远程主机导出流程：

  1. 脚本在远程主机创建临时目录并复制密钥。
  2. 将临时目录的所有者更改为远程普通用户，以便无需 sudo 即可读取。
  3. 将临时目录从远程拷贝到本地，并删除远程临时目录。
  4. 在本地对拷贝的文件进行加密导出，并删除本地临时目录。
  • 全程密码短语仅在本地交互，不经过远程主机。

  向远程主机导入流程：

  1. 在本地将最新快照导入临时目录，使用 --skip-chown-chmod 标志，以便无需 sudo 即可读取。
  2. 将本地临时目录拷贝到远程主机的临时目录，并删除本地临时目录。
  3. 在远程主机上，使用 --from-plaintext 标志将文件导入到最终密钥目录（因为文件在传输过程中已是明文，且已在远程解密/处理）。
  4. 删除远程临时目录。

关键要点

• 去依赖化设计： secs-man 的核心价值在于其恢复过程不依赖自身软件。即使软件消失，仅凭 age、bash 和 coreutils 即可手动恢复数据。
• 密码安全： 密码短语仅通过交互式终端输入，绝不写入文件、命令行参数或环境变量，防止内存转储或日志泄露。
• 非标准分发： 该工具未发布在 crates.io 或主流 Linux 发行版仓库中，需通过 Git 仓库直接安装，适合高级用户和 Nix 用户。
• 本地优先： 特别适合处理过于敏感、不适合上传至云端的本地数据备份。
• 远程传输安全： 通过 secs-man-ssh 脚本解决了在不信任远程主机上备份密钥时的密码泄露风险，利用临时目录和权限切换实现安全传输。
• 完整性保障： 自动生成 SHA256 校验文件，并支持对历史快照进行完整性验证。
• 权限管理： 通过清单文件支持在导入时自动恢复文件的原始所有者和权限设置。

意义与影响

secs-man 的出现反映了开源社区对数据主权