Linux

安全地為 linux 守護程序提供密碼

  • January 3, 2014

我有一個訪問某些服務(數據庫等)的 linux 守護程序。它需要一些密碼。以安全方式將密碼提供給守護程序的最佳方法是什麼?

我目前將密碼儲存在根只讀配置文件中,但依賴權限似乎相當不安全。

我正在考慮在守護程序啟動時提示使用者輸入密碼並將密碼僅儲存在記憶體中。當然,這對於具有 root 訪問權限的專用攻擊者來說只是一個小障礙,但至少它可以保護備份、快照等,並且可能會贏得一些時間。

其他選擇?建議?

有多種設置方法,包括使用與密碼不同的身份驗證方法。

一種方法可能是使用 TLS/SSL 證書進行連接。但通常,將密碼保存在只讀文件中就足夠了 - 正如 Kondybas 所說,如果 root 帳戶被洩露,那麼一切都會被洩露……您可能還希望在啟動服務之前讓 startscript 執行 chmod 400 , 和 chmod 000 啟動後。

因此,與其只關注保護實際密碼的安全,不如在目標伺服器上做一些工作。對於數據庫,我會首先限制哪些主機可以使用 Linux 伺服器使用的使用者名進行連接。我還會限制允許使用者對數據庫執行的操作 - 例如,您可能希望 linux 守護程序能夠將內容添加到數據庫,但可能不這樣做DROP TABLE

您通常還應該使伺服器盡可能安全。除非絕對必要,否則守護程序不應由 root 執行;SSH 埠不應允許從 Internet 上的任何主機訪問,當然也不允許 root 登錄。

還要確保密碼不會在其他任何地方重複使用,否則該伺服器上的妥協可能會導致網路違規升級。

您可能還會發現在安全方面進行搜尋很有用。

引用自:https://serverfault.com/questions/561620