如何加密程序部署时帐号密码

2018-05-09 13:20:47 +08:00
 changnet
后端程序,线上环境都是有权限管理的。数据库权限也有设置,登录 ip 限制这些都有。但是直接把数据库用户密码明文写在配置文件貌似不太好。万一服务器被攻破或者有人要删库跑路呢?

经历过的项目,有直接明文的。也有把密钥写到代码里,编译成保密程序,运维用命令行生成加密串放配置文件。

另外部署密码管理中心那种太复杂就不考虑了,小规模的用不到。

自己想过写混淆的。就是把密钥和生成的串混淆在一起,这样解密不需要额外密钥,也不需要硬编码密钥。问题是这防不了要删库跑路的人,他能看到算法。

有没有什么办法可以不需要额外的密钥就可以解密的么(感觉有点违背密码学)?或者好一点的部署方法。
1933 次点击
所在节点    问与答
7 条回复
ryd994
2018-05-09 15:30:50 +08:00
有权限写入正常数据,就有权限写入恶意数据
无法简单分辨正常和恶意数据
无解
nullen
2018-05-09 15:39:58 +08:00
changnet
2018-05-09 17:22:50 +08:00
@nullen 配置在环境变量也不靠谱,一样能拿到。线上环境本来就不允许开发人员上去。但是小公司里还是得给部分人上去查问题。
glues
2018-05-09 17:38:47 +08:00
Rails 的 credentials 了解一下
changnet
2018-05-09 19:02:31 +08:00
@glues engineyard.com/blog/rails-encrypted-credentials-on-rails-5.2

这个吗?就普通的加密而已,key 另外管理,麻烦到爆。
wenzhoou
2018-05-09 20:38:29 +08:00
用户 a 掌握动态密码 A。用户 b 动态密码 B。要进行任何线上环境的操作必须两个人同时上阵,一个人监督另一个。除非两个人同时决定删库跑路,不然应该没事。
glues
2018-05-10 00:05:37 +08:00
@changnet 这还嫌麻烦,你 ssh git 这些都不用 key 吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/453415

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX