LINUX.ORG.RU

Скрипты и пароли

 , ,


0

1

Вот в питоне, например, есть пакет keyring. Это хорошо чтобы grep-ом не собрали пароли. Но с другой стороны, получив доступ к компу, чтобы погрепать, кто мешает увести пароль, например, изменив сам скрипт, он же не проверяется никак перед запуском. Т.е. фактически keyring ничего не даёт, если скрипт лежит где-то у рута с правами --x. Когда пускать можно, а читать и менять нельзя. Я прав или чего-то не понимаю, зачем этот keyring нужен вообще?

★★★★★

Получив доступ к компу, особенно root, вобще много что можно поменять. Gnome Keyring даёт шифрованное хранилище паролей, от каких-то случаев защищает, от других нет. Python Keyring это просто доступ к этому хранилищу. Подразумевается, что программы, запускаемые пользователем безопасны, их целостность гарантируется, допустим, пакетным менеджером.

Вобще, «безопасность это миф» :)

mky ★★★★★ ()

скрипт лежит где-то у рута с правами –x. Когда пускать можно, а читать и менять нельзя

а как ты его запустишь если прочитать нельзя?

Смысл всех этих секретниц в том, чтобы не зная мастер-пароль нельзя было все сохраненные пароли прочитать если твой ноутбук например украдут.

Хардкодить пароли в код - плохая практика. Один раз git push - и попробуй почисти потом историю на чужом сервере.

Я в последнее время во всех проектах стараюсь на hashicorp vault переходить, местами даже конфиги частью которых секреты являются сую целиком в vault (какой смысл хост и логин к БД хранить отдельно от пароля?), но там тоже свои ньюансы.

ei-grad ★★★★★ ()
Последнее исправление: ei-grad (всего исправлений: 1)