关于开发人员离职 服务器和数据库密码修改问题

2021-08-18 15:05:19 +08:00
 followyourheart

服务器和数据密码都是写在代码的配置文件里的,开发人员离职需要重新修改一遍,比较麻烦,有没有比较好的解决方案不需要修改?

9757 次点击
所在节点    程序员
79 条回复
sohunjug
2021-08-18 16:17:17 +08:00
个人感觉 最好的还是 全部 kerberos+ldap 吧 freeipa
snuglove
2021-08-18 16:18:30 +08:00
我这里也是不改,毕竟有国法和保密协议🤣🤣
zpf124
2021-08-18 16:19:09 +08:00
我们的方案很粗糙很简单,除了主要几个人其他人不知道生产服务器密码,测试服务器密码就知道了。

生产配置文件不在 git 里存在 jenkins 里,
每次发版时候有权限那几个人肉眼核对配置文件的修改,然后去 jenkins 里修改对应生产配置文件。
superrichman
2021-08-18 16:25:22 +08:00
搭个堡垒机,限制连接 ip,完事
echo1937
2021-08-18 16:30:28 +08:00
常见的做法是,人是不可以直接掌握密码的,掌握的只是权限,人走了取消权限即可,

比如我们有个操作平台 /堡垒机,你的操作都是登录平台 /主机来操作,这也是常说的“白屏化”。
Felldeadbird
2021-08-18 16:51:25 +08:00
楼主公司应该没配置好开发和管理规范吧。 要不就加一层代理才可以链接服务器。要么一个一个改。然后参考上面大佬们的方法。以后就可以一劳永逸了。
DinnyXu
2021-08-18 16:52:35 +08:00
如果经常性有员工离职的话,可以给服务器设置用户组,给数据库设置用户组。比如在职人员的用户组有哪些权限,离职后把该权限撤销即可。
WebKit
2021-08-18 17:14:55 +08:00
写个配置文件应该不难吧
aino
2021-08-18 17:44:30 +08:00
一般这些库都是内网环境访问的,都得挂 vpn,离职了就把 vpn 账号删除就行
zdt3476
2021-08-18 18:04:16 +08:00
数据库开公网端口真不怕出事啊?改成内网访问就好了,就不用关心密码的问题了。然后记得配 VPC 保证只有自己的产品才能互相访问
fengpan567
2021-08-18 18:10:53 +08:00
你们数据库还能从外网直连?
guyueyiren
2021-08-18 18:22:20 +08:00
把配置文件抽出来放在服务器里面,部署的时候进行替换就好了
pkoukk
2021-08-18 18:41:14 +08:00
数据库开公网端口,看样子你们是没被勒索软件盯上过
duduaba
2021-08-18 20:07:53 +08:00
这么好的表现机会就这么浪费了?一顿权限操作然后周报、绩效总结里猛夸不就漂漂亮亮的。
wangbenjun5
2021-08-18 20:34:09 +08:00
小公司都是这么干的,数据库账号密码写在项目配置文件里面,加上用的云服务,公网也可以访问很正常。

通常来说,为了安全,这些密码一般定期会修改一次,比如 3 个月一次。

再者,不改也没事,谁会离职了还想着搞破坏,那得多大仇啊,平时多处理好员工关系吧!这种损人不利己的事情,搞不好还要坐牢的事情不到万不得已没人敢干。

堡垒机这种办法确实是个好办法,但是也得花点时间去弄,我觉得吧,小公司就用最简单最粗暴的方法,定时改密码,或者某些高风险人物离职之后主动改密码。。。
Routeros
2021-08-18 20:54:01 +08:00
堡垒机
Joker123456789
2021-08-18 20:54:58 +08:00
线上库一般只有特定的机器 才能连接, 并不是向全网开放的。

如果你们没有堡垒机的话,可以添加 IP 白名单,阿里云 RDS 有这功能。
sprite82
2021-08-18 22:02:11 +08:00
迷惑行为
1 、线上数据库密码写在代码的配置文件里,你们拿生产数据库开发测试的?
2 、线上数据库居然可以外网访问
3 、外网可以访问也就算了,起码来个 ssh 跳板,并且加 ip 限制吧,离职了把 ssh 公钥删掉,并且人不在公司也连不上服务器
sprite82
2021-08-18 22:11:17 +08:00
@wangbenjun5 小公司也不能这么搞,公司再没钱 买台公司内部的开发测试服务器的钱总有的吧,怎么能直接连线上的,而且带宽也是问题。改密码也不是改数据库的,一改所有服务都要重启。
jorneyr
2021-08-18 22:30:55 +08:00
看使用的框架,SpringBoot 的话,可以从命令行参数或者系统环境变量里设置密码,会覆盖配置文件里设置的密码。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/796552

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX