Gizli anahtarlarımı ve şifremi sürüm kontrol sistemime nasıl güvenli bir şekilde kaydedebilirim?

Sürüm kontrol sistemimdeki geliştirme ve üretim sunucularının ana bilgisayar adları ve bağlantı noktaları gibi önemli ayarları saklıyorum. Ancak, sırları (özel anahtarlar ve veritabanı şifreleri gibi) bir VCS deposunda tutmanın kötü bir uygulama olduğunu biliyorum .

Ancak şifreler - diğer ayarlar gibi - bunların güncellenmesi gerektiği gibi görünür. Peki , şifrelerin sürümünü kontrol altında tutmanın uygun yolu nedir?

Sırları kendi "sır ayarları" dosyasında tutmayı ve bu dosyanın şifrelenmesini ve sürümünün kontrol edilmesini gerektireceğini hayal ediyorum . Peki hangi teknolojiler? Ve bunu nasıl düzgün bir şekilde yapabilirim? Bu konuda daha iyi bir yol var mı?

Soruyu genel olarak soruyorum, ancak özel örneğimde git ve github kullanarak bir Django / Python sitesi için gizli anahtarları ve şifreleri saklamak istiyorum .

Ayrıca, git ile bastığımda / çektiğimde ideal bir çözüm büyülü bir şey yapar - örneğin, şifrelenmiş parolalar dosyası değişirse, bir parola soran ve şifresini çözen bir komut dosyası çalıştırılır.

Dosyayı sürüm kontrolünde tutarken hassas ayarlar dosyanızı şifrelemek istediğinizde haklısınız. Bahsettiğiniz gibi, en iyi çözüm Git'in belirli hassas dosyaları yerel olarak (yani sertifikanız olan herhangi bir makinede) ayarlar dosyasını kullanabilmeniz için şeffaf olarak şifreleyeceği, ancak Git veya Dropbox veya VC altında dosyalarınızı saklamak, bilgileri düz metin olarak okuyamaz.

Push / Pull sırasında Şeffaf Şifreleme / Şifre Çözme Eğitimi

Bu özet https://gist.github.com/873637 , Git'in bulaşan / temiz filtre sürücüsünün, aktarılan dosyaları şeffaf bir şekilde şifrelemek için openssl ile nasıl kullanılacağına dair bir öğretici gösterir. Sadece bazı ilk kurulumları yapmanız gerekir.

Nasıl Çalıştığı

Temel olarak .gitencrypt3 bash betiği içeren bir klasör oluşturacaksınız ,

clean_filter_openssl 
smudge_filter_openssl 
diff_filter_openssl 

Git tarafından şifre çözme, şifreleme ve destek için kullanılan Git fark. Bu komut dosyalarının içinde bir ana parola ve tuz (sabit!) Tanımlanır ve .gitencrypt öğesinin hiçbir zaman gerçekten aktarılmadığından emin olmalısınız. Örnek clean_filter_opensslkomut dosyası:

#!/bin/bash

SALT_FIXED=<your-salt> # 24 or less hex characters
PASS_FIXED=<your-passphrase>

openssl enc -base64 -aes-256-ecb -S $SALT_FIXED -k $PASS_FIXED

Benzer smudge_filter_open_sslve diff_filter_oepnssl. Bkz.

Hassas bilgiler içeren repo'nuzda .gitencrypt dizinine (Git'in projeyi şeffaf bir şekilde şifrelemek / şifresini çözmek için ihtiyaç duyduğu her şeyi içeren) ve yerel makinenizde bulunan bir .gitattribute dosyası (şifrelenmemiş ve repoya dahil edilmiş) olmalıdır.

.gitattribute içeriği:

* filter=openssl diff=openssl
[merge]
    renormalize = true

Son olarak, .git/configdosyanıza aşağıdaki içeriği de eklemeniz gerekir

[filter "openssl"]
    smudge = ~/.gitencrypt/smudge_filter_openssl
    clean = ~/.gitencrypt/clean_filter_openssl
[diff "openssl"]
    textconv = ~/.gitencrypt/diff_filter_openssl

Artık hassas bilgilerinizi içeren havuzu uzak bir depoya aktardığınızda dosyalar şeffaf olarak şifrelenecektir. .Gitencrypt dizinine (parolanızı içeren) sahip yerel bir makineden çektiğinizde, dosyaların şifresi çözülür.

notlar

Bu öğreticinin yalnızca hassas ayarlar dosyanızı şifrelemenin bir yolunu açıklamadığını unutmayın. Bu, uzak VC ana makinesine aktarılan tüm deposu şeffaf bir şekilde şifreleyecek ve tüm deponun şifresini çözecek, böylece tamamen yerel olarak şifresi çözülecektir. İstediğiniz davranışı elde etmek için, bir veya daha fazla proje için hassas dosyaları tek bir sens_settings_repo içine yerleştirebilirsiniz. Bu şeffaf şifreleme tekniği Git submodules ile nasıl çalıştığını araştırmak olabilir http://git-scm.com/book/en/Git-Tools-Submodules Eğer gerçekten aynı depoda olması hassas dosyaları gerekiyorsa.

Sabit bir parola kullanılması, saldırganların birçok şifreli depoya / dosyaya erişmesi durumunda teorik olarak kaba kuvvet açıklarına yol açabilir. IMO, bunun olasılığı çok düşük. Bu öğreticinin altında bir not olarak, sabit bir parola kullanılmaması, farklı makinelerde bir repo'nun yerel sürümlerinin her zaman 'git durumu' ile değişikliklerin gerçekleştiğini göstermesine neden olacaktır.

Heroku , ayarlar ve gizli anahtarlar için ortam değişkenlerinin kullanımını zorlar :

Bu tür yapılandırmaları işlemek için geleneksel yaklaşım, bunları bir tür özellikler dosyasında kaynak altına koymaktır. Bu hataya açık bir süreçtir ve özellikle uygulamaya özgü yapılandırmalarla ayrı (ve özel) şubeler tutmak zorunda olan açık kaynaklı uygulamalar için özellikle karmaşıktır.

Daha iyi bir çözüm, ortam değişkenlerini kullanmak ve anahtarları kodun dışında tutmaktır. Geleneksel bir ana bilgisayarda veya yerel olarak çalışarak bashrc'nizde ortam değişkenleri ayarlayabilirsiniz. Heroku'da config vars kullanırsınız.

Foreman ve .envdosyalarla Heroku, ortam değişkenlerini dışa aktarmak, içe aktarmak ve senkronize etmek için kıskanılacak bir araç zinciri sağlar.

Şahsen, gizli anahtarları kodun yanında kaydetmenin yanlış olduğuna inanıyorum. Temel olarak kaynak kontrolü ile tutarsızdır, çünkü anahtarlar koda göre harici hizmetler içindir . Tek nimet, bir geliştiricinin HEAD'ı klonlayabilmesi ve uygulamayı herhangi bir kurulum yapmadan çalıştırabilmesidir. Ancak, bir geliştiricinin kodun tarihi bir revizyonunu kontrol ettiğini varsayalım. Kopyaları geçen yılki veritabanı şifresini içerecek, böylece uygulama bugünün veritabanına karşı başarısız olacaktır.

Yukarıdaki Heroku yöntemiyle, bir geliştirici geçen yılın uygulamasını kontrol edebilir, bugünün anahtarlarıyla yapılandırabilir ve bugünün veritabanında başarıyla çalıştırabilir.

Bence en temiz yol ortam değişkenlerini kullanmaktır. Sen uğraşmak zorunda olmayacak .dist örneğin dosyalar ve üretim ortamında proje devlet, yerel makinenin aynı olurdu.

Eğer ilginizi çekiyorsa, Oniki Faktör Uygulaması'nın yapılandırma bölümünü okumanızı tavsiye ederim .

Bir seçenek, projeye bağlı kimlik bilgilerini şifrelenmiş bir kapsayıcıya (TrueCrypt veya Keepass) koymak ve itmek olabilir.

Aşağıdaki yorumumun cevabı olarak güncelleyin:

İlginç bir soru btw. Bunu yeni buldum: otomatik şifreleme için çok umut verici görünen github.com/shadowhand/git-encrypt

Bunun için yapılandırma dosyaları kullanmanızı ve bunları sürümlememenizi öneririm.

Bununla birlikte dosyaların örneklerini de sürümlendirebilirsiniz.

Geliştirme ayarlarını paylaşırken herhangi bir sorun görmüyorum. Tanım gereği değerli veri içermemelidir.

BlackBox kısa bir süre önce StackExchange tarafından piyasaya sürüldü ve henüz kullanmam gerekiyorken, sorunları tam olarak ele alıyor ve bu soruda istenen özellikleri destekliyor gibi görünüyor.

Https://github.com/StackExchange/blackbox adresindeki açıklamadan :

Sırları güvenli bir şekilde bir VCS deposunda saklayın (örneğin Git veya Mercurial). Bu komutlar, depodaki belirli dosyaları GPG ile şifrelemenizi kolaylaştırır, böylece deponuzda "beklemede şifrelenir". Bununla birlikte, komut dosyaları, görüntülemeniz veya düzenlemeniz gerektiğinde bunların şifresini çözmeyi ve üretimde kullanılmak üzere şifresini çözmeyi kolaylaştırır.

Bu soruyu sorduğumdan beri, küçük bir ekiple küçük uygulama geliştirirken kullandığım bir çözüme karar verdim.

Git-crypt

git-crypt, adları belirli kalıplarla eşleştiğinde dosyaları şeffaf bir şekilde şifrelemek için GPG kullanır. İntance için .gitattributesdosyanıza eklerseniz ...

*.secret.* filter=git-crypt diff=git-crypt

... gibi bir dosya config.secret.jsonher zaman şifreleme ile uzak depolara gönderilir, ancak yerel dosya sisteminizde şifrelenmeden kalır.

Reposunuza korumalı dosyaların şifresini çözebilecek yeni bir GPG anahtarı (kişi) eklemek istersem daha sonra çalıştırın git-crypt add-gpg-user <gpg_user_key>. Bu yeni bir taahhüt yaratır. Yeni kullanıcı sonraki taahhütlerin şifresini çözebilir.

Soruyu genel olarak soruyorum, ancak özel örneğimde git ve github kullanarak bir Django / Python sitesi için gizli anahtarları ve şifreleri saklamak istiyorum.

Hayır, sadece özel reponsanız ve asla paylaşmayı düşünmeseniz bile, yapma.

Bir local_settings.py oluşturmalısınız VCS yoksay ve koymak ayarlarında .py gibi bir şey yapmak

from local_settings import DATABASES, SECRET_KEY
DATABASES = DATABASES

SECRET_KEY = SECRET_KEY

Sır ayarlarınız çok yönlü ise, yanlış bir şey yaptığınızı söylemeye hevesliyim

DÜZENLEME: Sanırım önceki parola sürümlerinizi takip etmek istediğinizi varsayalım.

GnuPG'nin en iyi yol olduğunu düşünüyorum - zaten bulut hizmetlerinde depolanan depo içeriğini şifrelemek için git ile ilgili bir projede (git-ek) kullanılıyor. GnuPG (gnu pgp) çok güçlü bir anahtar tabanlı şifreleme sağlar.

1. Yerel makinenizde bir anahtar tutuyorsunuz.
2. Yok sayılan dosyalara 'parolamı' eklersiniz.
3. Taahhüt öncesi kancada, parola dosyasını git tarafından izlenen mypassword.gpg dosyasına şifrelersiniz ve bu parolayı kaydedersiniz.
4. Birleştirme sonrası kancada mypassword.gpg şifresini mypassword olarak çözmeniz yeterlidir.

Şimdi 'şifrem' dosyanız değişmediyse, şifrelemek aynı şifre metniyle sonuçlanır ve dizine eklenmez (artıklık yoktur). Mypassword'ün en küçük değişikliği, hazırlama alanındaki radikal olarak farklı şifreleme metniyle sonuçlanır ve mypassword.gpg, depodakinden çok farklıdır, bu nedenle taahhüde eklenecektir. Saldırgan, gpg anahtarınızı tutsa bile, parolayı bruteforce etmesi gerekir. Saldırgan, şifreli metinle uzak depoya erişirse, bir grup şifreyi karşılaştırabilir, ancak sayıları ona ihmal edilemez bir avantaj sağlamak için yeterli olmayacaktır.

Daha sonra .gitattributes komutunu kullanarak şifrenizin quit git diff komutunu anında kullanabilirsiniz.

Ayrıca farklı şifre türleri için ayrı anahtarlara sahip olabilirsiniz.

Genellikle, bir yapılandırma dosyası olarak şifreyi ayırırım. ve onları dağıtma.

/yourapp
    main.py
    default.cfg.dist

Ve main.pykoştuğumda, gerçek şifreyi default.cfgkopyalanan yere koy .

ps. git veya hg ile çalışırken. *.cfgyapmak için dosyaları yoksayabilirsiniz .gitignoreveya.hgignore

Yapılandırmayı geçersiz kılmak için bir yol sağlayın

Yapılandırmanın tamamlanmasına veya ana bilgisayar adları ve kimlik bilgileri gibi şeyler içermesine gerek kalmadan check-in yaptığınız yapılandırma için bir dizi aklı varsayılanını yönetmenin en iyi yolu budur. Varsayılan yapılandırmaları geçersiz kılmanın birkaç yolu vardır.

Ortam değişkenleri (diğerlerinin de belirttiği gibi) bunu yapmanın bir yoludur.

En iyi yol, varsayılan yapılandırma değerlerini geçersiz kılan harici bir yapılandırma dosyası aramaktır. Bu, harici yapılandırmaları Şef, Kukla veya Cfengine gibi bir yapılandırma yönetim sistemi aracılığıyla yönetmenizi sağlar. Yapılandırma yönetimi, kod tabanından ayrı yapılandırmaların yönetimi için standart yanıttır, bu nedenle tek bir ana bilgisayarda veya bir grup ana bilgisayarda yapılandırmayı güncellemek için bir sürüm yapmanız gerekmez.

Bilginize: Kredileri şifrelemek, özellikle sınırlı kaynaklara sahip bir yerde, her zaman en iyi uygulama değildir. Kredilerin şifrelenmesi size ek risk azaltma getirmeyecek ve sadece gereksiz bir karmaşıklık katmanı ekleyecektir. Bir karar vermeden önce uygun analizi yaptığınızdan emin olun.

Parolalar dosyasını örneğin GPG kullanarak şifreleyin. Anahtarları yerel makinenize ve sunucunuza ekleyin. Dosyanın şifresini çözün ve repo klasörlerinizin dışına koyun.

Ana klasörümde bulunan bir passwords.conf dosyası kullanıyorum. Her dağıtımda bu dosya güncellenir.

Hayır, özel anahtarlar ve şifreler revizyon kontrolü altına girmez. Büyük olasılıkla hepsinin bu hizmetlere erişimi olmaması gerektiğinde, deponuza okuma erişimi olan herkesi, üretimde kullanılan hassas hizmet kimlik bilgilerini bilmekle yüklemek için bir neden yoktur.

Django 1.4'ten başlayarak, Django projeleriniz şimdi nesneyiproject.wsgi tanımlayan bir modülle birlikte gelir ve siteye özgü yapılandırmalar içeren bir ayar modülünün kullanımını uygulamaya başlamak için mükemmel bir yerdir .applicationproject.local

Bu ayarlar modülü düzeltme denetiminden yoksayılır, ancak proje örneğinizi üretim ortamları için tipik olan bir WSGI uygulaması olarak çalıştırırken varlığı gerekir. Bu şekilde görünmelidir:

import os

os.environ.setdefault("DJANGO_SETTINGS_MODULE", "project.local")

# This application object is used by the development server
# as well as any WSGI server configured to use this file.
from django.core.wsgi import get_wsgi_application
application = get_wsgi_application()

Artık local.pysahibi ve grubu olan bir modülün yalnızca yetkili personelin ve Django işlemlerinin dosyanın içeriğini okuyabileceği şekilde yapılandırılabilmesini sağlayabilirsiniz.

Sırlarınız için VCS'ye ihtiyacınız varsa, bunları en azından gerçek kodunuzdan ayrı olarak ikinci bir depoda tutmalısınız. Böylece ekip üyelerinize kaynak kodu deposuna erişme izni verebilirsiniz ve kimlik bilgilerinizi görmezler. Ayrıca bu havuzu başka bir yerde barındırın (örn. Github'da değil şifreli bir dosya sistemi ile kendi sunucunuzda) ve üretim sistemine bakmak için git-submodule gibi bir şey kullanabilirsiniz .

Başka bir yaklaşım, sürüm kontrol sistemlerinde sırların kaydedilmesinden tamamen kaçınmak ve bunun yerine , bir API ve gömülü şifreleme ile anahtar haddeleme ve denetleme ile gizli bir depo olan hashicorp'un kasası gibi bir araç kullanmak olabilir .

Bu benim işim:

• $ HOME / .bashrc kaynaklarının $ HOME / .secrets (go-r perms) değişkeninde env değişken olarak tüm sırları saklayın (bu şekilde birinin önünde .bashrc'yi açarsanız, sırları görmezler)
• Yapılandırma dosyaları VCS'de config.properties.tmpl olarak saklanan config.properties gibi şablonlar olarak saklanır

• Şablon dosyaları sır için bir yer tutucu içerir, örneğin:

  my.password = ## MY_PASSWORD ##

• Uygulama dağıtımında, şablon dosyasını hedef dosyaya dönüştüren ve yer tutucuları ## MY_PASSWORD ## değerini $ MY_PASSWORD değerine değiştirme gibi ortam değişkenlerinin değerleriyle değiştiren komut dosyası çalıştırılır.

Sisteminiz bunu sağlıyorsa EncFS kullanabilirsiniz. Böylece, uygulamanızın kenara monte edilen verilere şifresi çözülmüş bir görünüm sağlarken, şifrelenmiş verilerinizi deponuzun bir alt klasörü olarak tutabilirsiniz. Şifreleme şeffaf olduğu için çekme veya itme işleminde özel bir işlem gerekmez.

Bununla birlikte, uygulamanız tarafından sürüm klasörlerinin dışında başka bir yerde saklanan bir parolaya (örn. Ortam değişkenleri) dayalı olarak yapılabilen EncFS klasörlerinin bağlanması gerekir.