CC逆引きリファレンス

秘密鍵を保護したい

13. セキュリティリスク回避

コマンド / 機能

"deny": ["Read(*.key)", "Read(~/.ssh/*)"]

概要

SSH 秘密鍵、SSL 証明書の秘密鍵、暗号化キーなどの重要なファイルへのアクセスを制限します。

設定例

// settings.json
{
  "permissions": {
    "deny": [
      // SSH 関連
      "Read(~/.ssh/*)",
      "Read(**/*_rsa)",
      "Read(**/*_ed25519)",
      "Read(**/*_ecdsa)",
      "Read(**/*.pem)",

      // SSL/TLS 証明書
      "Read(**/*.key)",
      "Read(**/*.p12)",
      "Read(**/*.pfx)",

      // GPG 鍵
      "Read(~/.gnupg/*)",

      // 編集・書き込みも禁止
      "Edit(~/.ssh/*)",
      "Write(~/.ssh/*)",
      "Edit(**/*.key)",
      "Write(**/*.key)"
    ]
  }
}

こんな時に使う

  • SSH 鍵や証明書を保護したい時
  • 暗号化キーへのアクセスを制限したい時

使い方

  1. 1settings.json の permissions.deny に秘密鍵のパターンを追加
  2. 2SSH 鍵は ~/.ssh/* で一括保護
  3. 3プロジェクト内の鍵ファイルも **/*.key などで保護
  4. 4読み取り(Read)だけでなく編集(Edit/Write)も禁止

Tips

  • 公開鍵(*.pub)は許可しても問題ない
  • 鍵ファイルは 600 (rw-------) のパーミッションを設定
  • AWS や GCP の認証情報ファイル(~/.aws/*, ~/.config/gcloud/*)も保護推奨
  • ハードウェアセキュリティキー(YubiKey など)の使用も検討

同じカテゴリの記事

プロンプトインジェクション対策
提案されたコマンドを実行前に必ず確認
外部スクリプトの安全な実行
ダウンロード→確認→実行
.env へのアクセスを禁止したい
"deny": ["Read(.env*)", "Edit(.env*)"]
rm -rf を禁止したい
"deny": ["Bash(rm -rf*)"]
force push を禁止したい
"deny": ["Bash(git push --force*)", "Bash(git push -f*)"]
サンドボックスを有効化したい
/sandbox または settings.json
前の記事
.env へのアクセスを禁止したい
次の記事
rm -rf を禁止したい