Каковы Ваши рекомендации на хранении паролей для управления конфигурацией?
Если вы пишете пароли в файлах конфигурации, конечно, легче оставить эти пароли при проверке файлов конфигурации в системе контроля версий. Это, безусловно, не менее безопасно, чем просто наличие их в файле конфигурации для начала, если к репозиторию применяется соответствующий контроль доступа (как разрешения в репозитории, так и разрешения файловой системы на то, что репозиторий использует для своей бэкэнда. ). Хранящиеся таким образом пароли, безусловно, уязвимы, но часто у вас нет выбора.
Всякий раз, когда вы храните пароли, лучше убедиться, что они будут зашифрованы, а доступ к базе данных зашифрованных паролей ограничен. Я бы обычно не использовал для этого систему контроля версий, так как он имеет изрядные накладные расходы и сложность, что на самом деле служит только для увеличения вашей поверхности атаки.
Многие люди хранят административные пароли в электронных таблицах и в документации. Не походите на этих людей, если вам не нравится, когда вас смущают пентестеры.
Лучшее решение - использовать программное обеспечение, которое шифрует пароли, сохраняя их, если возможно, в автономной системе. Для этого существует очень много программного обеспечения (и некоторые из них могут активно изменять пароли за вас по мере необходимости и вести учет исторических паролей). Hitachi ID Systems делает для этого продукт корпоративного уровня (раскрытие: я работал на них); Также приходят на ум keepass и lastpass.
Не будьте похожи на этих людей, если только вам не нравится, когда вас смущают пентестеры.Лучшее решение - использовать программное обеспечение, которое шифрует пароли, сохраняя их, если возможно, в автономной системе. Для этого существует множество программного обеспечения (и некоторые из них могут активно менять пароли за вас по мере необходимости и вести учет исторических паролей). Hitachi ID Systems делает для этого продукт корпоративного уровня (раскрытие: я работал на них); Также приходят на ум keepass и lastpass.
Не будьте похожи на этих людей, если вам не нравится, когда вас смущают пентестеры.Лучшее решение - использовать программное обеспечение, которое шифрует пароли, сохраняя их, если возможно, в автономной системе. Для этого существует очень много программного обеспечения (и некоторые из них могут активно изменять пароли за вас по мере необходимости и вести учет исторических паролей). Hitachi ID Systems делает для этого продукт корпоративного уровня (раскрытие: я работал на них); Также приходят на ум keepass и lastpass.
Hitachi ID Systems делает для этого продукт корпоративного уровня (раскрытие: я работал на них); Также приходят на ум keepass и lastpass. Hitachi ID Systems делает для этого продукт корпоративного уровня (раскрытие: я работал на них); Также приходят на ум keepass и lastpass.Если вам просто нужно безопасное место для хранения паролей и их извлечения изредка, попробуйте такой продукт, как Секретный сервер .
Если вы хотите связать пароли с развертыванием артефакты как часть автоматизации, затем найдите инструмент (например, Secret Server) с API, который позволит вам запрашивать пароли по мере необходимости и не допускать их (потенциально) в менее безопасные репозитории системы контроля версий.
Если вы используете инструмент управления конфигурацией, такой как Chef, вы можете просто использовать зашифрованный пакеты данных
http://docs.opscode.com/essentials_data_bags_encrypt.html
OTOH, для вещей, которые зависят от среды, лучше передать их автоматизированным скриптам через системную среду.
http: / /www.12factor.net/config
Любой сервер CI или CD-сервер должен позволять хранить значения в зашифрованном виде. например, вот документация по продукту, над которым я работаю.