flake/docs/multi-secrets.md

# 多机器秘密管理

> ChatGPT 回答摘录

> 用 sops, 给我一个适合于个人 homelab 的方案. 有一把用户级的密钥, 可以解密和加密任意秘密. 然后每个机器都有一个自己的密钥可以加密解密我在配置文件里想要它们加解密的内容. 我要知道如何为新机器生成密钥, 如何删除机器的密钥, 如何轮转特定机器的密钥, 如何为特定机器生成秘密. 我希望不同机器的秘密是分开多个 yaml 的.

## 推荐模型

使用：

```text
SOPS + age + sops-nix
```

权限模型：

```text
你的用户 age key
  ├─ 能解密 / 编辑所有 secret
  └─ 只放在你的管理机 / 笔记本上

每台机器自己的 age key
  ├─ 只放在该机器上
  ├─ 只被加入该机器对应的 YAML
  └─ 只能解密自己的 host secrets
```

SOPS 支持 YAML/JSON/ENV/INI/BINARY，并且支持 `age`；`age` recipient 可以写进 `.sops.yaml` 的 `creation_rules`。SOPS 官方文档也明确说明，`creation_rules` 中的 `age` 字段是 age public key 列表。([SOPS: Secrets OPerationS][1])

---

## 目录结构

建议这样放：

```text
infra/
  .sops.yaml

  secrets/
    hosts/
      nas.yaml
      pve.yaml
      nuc.yaml

    shared/
      wireguard.yaml
      tailscale.yaml

  nixos/
    hosts/
      nas/
        configuration.nix
        secrets.nix
      pve/
        configuration.nix
        secrets.nix
      nuc/
        configuration.nix
        secrets.nix
```

原则：

```text
secrets/hosts/nas.yaml 只给 admin + nas 加密
secrets/hosts/pve.yaml 只给 admin + pve 加密
secrets/hosts/nuc.yaml 只给 admin + nuc 加密
secrets/shared/*.yaml 只在确实需要多机器共享时使用
```

不要把所有机器的 secret 塞进一个大 `secrets.yaml`，否则任意一台机器只要能解这个文件，就能看到别的机器的秘密。

---

## 1. 生成你的用户级 admin key

在你的管理机上：

```bash
mkdir -p ~/.config/sops/age
age-keygen -o ~/.config/sops/age/keys.txt
chmod 600 ~/.config/sops/age/keys.txt
age-keygen -y ~/.config/sops/age/keys.txt
```

输出类似：

```text
age1adminxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
```

这个 public key 记为：

```text
ADMIN_AGE_PUB
```

SOPS 默认会在 Linux 的 `$XDG_CONFIG_HOME/sops/age/keys.txt` 或 `~/.config/sops/age/keys.txt` 找 age private key；也可以用 `SOPS_AGE_KEY_FILE` 显式指定。([SOPS: Secrets OPerationS][1])

---

## 2. 为新机器生成机器 key

以 `nas` 为例，在 `nas` 机器上执行：

```bash
sudo install -d -m 0700 -o root -g root /var/lib/sops-nix
sudo age-keygen -o /var/lib/sops-nix/key.txt
sudo chmod 0400 /var/lib/sops-nix/key.txt
sudo age-keygen -y /var/lib/sops-nix/key.txt
```

得到：

```text
age1nasxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
```

这个 public key 记为：

```text
NAS_AGE_PUB
```

`sops-nix` 支持 `sops.age.keyFile = "/var/lib/sops-nix/key.txt"`，也可以设置 `sops.age.generateKey = true` 自动生成 key；不过个人 homelab 我更建议手动生成一次，然后把 private key 持久化。sops-nix 文档里也提示，如果用 Impermanence，这个 key 必须放在持久化目录并且启动早期可用。([GitHub][2])

---

## 3. 写 `.sops.yaml`

示例：

```yaml
keys:
  - &admin age1adminxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

  - &nas   age1nasxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  - &pve   age1pvexxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  - &nuc   age1nucxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

creation_rules:
  - path_regex: ^secrets/hosts/nas\.yaml$
    age:
      - *admin
      - *nas

  - path_regex: ^secrets/hosts/pve\.yaml$
    age:
      - *admin
      - *pve

  - path_regex: ^secrets/hosts/nuc\.yaml$
    age:
      - *admin
      - *nuc

  - path_regex: ^secrets/shared/wireguard\.yaml$
    age:
      - *admin
      - *nas
      - *pve
      - *nuc
```

注意：

```text
creation_rules 是顺序匹配；
建议 path_regex 写精确；
不要用一个泛泛的 ^secrets/.*\.yaml$ 把所有 host 都打通。
```

SOPS 文档里的例子也说明了 `creation_rules` 可以按 `path_regex` 匹配不同文件，并给不同文件配置不同的 age recipients。([SOPS: Secrets OPerationS][1])

---

## 4. 为特定机器生成 secret

以 `nas` 为例：

```bash
sops secrets/hosts/nas.yaml
```

编辑内容：

```yaml
restic_password: "example-password"
minio_root_user: "minio"
minio_root_password: "example-password"
```

保存后，文件会变成加密形式。SOPS 会保留 YAML 结构，但加密具体值；这正是 SOPS 的主要设计之一。([SOPS: Secrets OPerationS][3])

检查谁能解：

```bash
sops -d secrets/hosts/nas.yaml
```

你的 admin key 能解。`nas` 机器的 `/var/lib/sops-nix/key.txt` 也能解。其他机器不能解。

---

## 5. 在 NixOS 里接入 sops-nix

`nixos/hosts/nas/secrets.nix`：

```nix
{ config, ... }:

{
  sops.age.keyFile = "/var/lib/sops-nix/key.txt";

  sops.secrets."restic_password" = {
    sopsFile = ../../../secrets/hosts/nas.yaml;
    owner = "root";
    group = "root";
    mode = "0400";
  };

  sops.secrets."minio_root_user" = {
    sopsFile = ../../../secrets/hosts/nas.yaml;
    owner = "minio";
    group = "minio";
    mode = "0400";
  };

  sops.secrets."minio_root_password" = {
    sopsFile = ../../../secrets/hosts/nas.yaml;
    owner = "minio";
    group = "minio";
    mode = "0400";
  };
}
```

在 `configuration.nix` 里：

```nix
{
  imports = [
    ./secrets.nix
  ];
}
```

服务引用 secret：

```nix
{
  services.restic.backups.main = {
    passwordFile = config.sops.secrets."restic_password".path;
  };
}
```

`sops-nix` 会在激活阶段解密 SOPS 文件，并把 secret 以单独文件形式放到 `/run/secrets/...`；权限、owner、group 可由 Nix 配置声明。([GitHub][2])

---

## 6. 新增一台机器

假设新增 `router`。

### 6.1 在新机器上生成 key

```bash
sudo install -d -m 0700 -o root -g root /var/lib/sops-nix
sudo age-keygen -o /var/lib/sops-nix/key.txt
sudo chmod 0400 /var/lib/sops-nix/key.txt
sudo age-keygen -y /var/lib/sops-nix/key.txt
```

得到：

```text
age1routerxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
```

### 6.2 修改 `.sops.yaml`

```yaml
keys:
  - &admin age1adminxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

  - &nas    age1nasxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  - &pve    age1pvexxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  - &nuc    age1nucxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  - &router age1routerxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

creation_rules:
  - path_regex: ^secrets/hosts/router\.yaml$
    age:
      - *admin
      - *router
```

### 6.3 创建该机器的 secret 文件

```bash
sops secrets/hosts/router.yaml
```

### 6.4 写 Nix 配置

```nix
{
  sops.age.keyFile = "/var/lib/sops-nix/key.txt";

  sops.secrets."some_secret" = {
    sopsFile = ../../../secrets/hosts/router.yaml;
    owner = "root";
    group = "root";
    mode = "0400";
  };
}
```

---

## 7. 删除一台机器的密钥

假设要删除 `nuc`。

### 7.1 从 `.sops.yaml` 删除 `nuc`

删除：

```yaml
- &nuc age1nucxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
```

以及所有引用：

```yaml
- *nuc
```

### 7.2 更新所有受影响文件

例如：

```bash
sops updatekeys -y secrets/hosts/nuc.yaml
sops updatekeys -y secrets/shared/wireguard.yaml
```

`updatekeys` 会根据 `.sops.yaml` 更新文件中的 recipients；官方文档说明它就是用 `.sops.yaml` 来添加或移除对应的 key。([sops.pages.dev][4])

### 7.3 删除 host 专属文件

如果这台机器永久下线：

```bash
git rm secrets/hosts/nuc.yaml
git rm -r nixos/hosts/nuc
```

### 7.4 对共享 secret 做 rotate

如果 `nuc` 曾经能解某些共享文件，例如 `secrets/shared/wireguard.yaml`，删除 recipient 后建议 rotate data key：

```bash
sops rotate -i secrets/shared/wireguard.yaml
```

SOPS 官方文档说明，`rotate` 会生成新的 data encryption key，并用当前 master keys 重新加密；文档也明确建议移除 key 时轮转 data key。([sops.pages.dev][4])

注意：这不能让对方“忘记”历史 Git 版本里已经能解出的旧 secret。真正撤销访问时，应该同时轮转 secret 本身，比如数据库密码、API token、WireGuard private key。

---

## 8. 轮转某台机器的 key

假设轮转 `nas` 的机器 key。

### 8.1 在 nas 上备份旧 key

```bash
sudo cp /var/lib/sops-nix/key.txt /var/lib/sops-nix/key.txt.old
sudo chmod 0400 /var/lib/sops-nix/key.txt.old
```

### 8.2 生成新 key

```bash
sudo age-keygen -o /var/lib/sops-nix/key.txt.new
sudo chmod 0400 /var/lib/sops-nix/key.txt.new
sudo age-keygen -y /var/lib/sops-nix/key.txt.new
```

得到：

```text
age1nasnewxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
```

### 8.3 修改 `.sops.yaml`

把旧的：

```yaml
- &nas age1nasoldxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
```

换成新的：

```yaml
- &nas age1nasnewxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
```

### 8.4 更新该机器相关 secret

```bash
sops updatekeys -y secrets/hosts/nas.yaml
sops rotate -i secrets/hosts/nas.yaml
```

如果 `nas` 也在某些 shared secret 里：

```bash
sops updatekeys -y secrets/shared/wireguard.yaml
sops rotate -i secrets/shared/wireguard.yaml
```

### 8.5 在 nas 上替换 key

确认 repo 里的文件已经更新后：

```bash
sudo mv /var/lib/sops-nix/key.txt.new /var/lib/sops-nix/key.txt
sudo chmod 0400 /var/lib/sops-nix/key.txt
```

然后：

```bash
sudo nixos-rebuild switch
```

### 8.6 成功后删除旧 key

```bash
sudo shred -u /var/lib/sops-nix/key.txt.old
```

如果文件系统不保证 `shred` 有意义，例如 CoW 文件系统，直接删除即可，但不要保留旧 key 的备份。

---

## 9. 常用操作速查

### 编辑某台机器的 secret

```bash
sops secrets/hosts/nas.yaml
```

### 查看明文，不落盘

```bash
sops -d secrets/hosts/nas.yaml
```

### 修改 `.sops.yaml` 后同步 recipients

```bash
sops updatekeys -y secrets/hosts/nas.yaml
```

### 移除 key 后轮转 data key

```bash
sops rotate -i secrets/hosts/nas.yaml
```

### 批量更新所有 host secrets

```bash
find secrets/hosts -name '*.yaml' -print0 |
  xargs -0 -n1 sops updatekeys -y
```

### 批量 rotate 所有 host secrets

```bash
find secrets/hosts -name '*.yaml' -print0 |
  xargs -0 -n1 sops rotate -i
```

---

## 10. 实际安全边界

这个方案能保证：

```text
nas 不能解 pve.yaml
pve 不能解 nas.yaml
你的 admin key 能解所有
Git 里只存加密文件
每台机器只需要持有自己的 private key
```

这个方案不能保证：

```text
删除某机器 key 后，它无法解历史 Git 版本
机器被攻破后，攻击者无法读取该机器当前可访问的 secret
admin key 泄露后其他 secret 仍然安全
```

所以额外建议：

```text
admin age private key 备份到密码管理器或离线介质；
机器 key 不进 Git；
机器 key 不复用；
shared secrets 少用；
删除机器时同时轮转真实业务 secret；
不要给 CI 一个能解所有 secret 的 key，除非 CI 本身就是高信任环境。
```

最终模型可以概括为：

```text
每个 secret 文件 = admin key + 最小机器 key 集合
每台机器 = 只能解自己声明需要的 YAML
所有权限变化 = 改 .sops.yaml + updatekeys
撤销访问 = updatekeys + rotate + 轮转真实业务凭证
```

[1]: https://getsops.io/docs/ "SOPS: Secrets OPerationS | SOPS: Secrets OPerationS"
[2]: https://github.com/Mic92/sops-nix/blob/master/README.md "sops-nix/README.md at master · Mic92/sops-nix · GitHub"
[3]: https://getsops.io/?utm_source=chatgpt.com "SOPS: Secrets OPerationS"
[4]: https://sops.pages.dev/ "SOPS Documentation"