如何在 ruby 客户端脚本中安全地存储身份验证凭据?
how to securely store authentication credentials in ruby client scripts?
如果这与许多其他问题太相似,我深表歉意;我搜索并查看了建议的多个解决方案,但似乎没有针对此类问题的通用解决方案——根据回答的问题判断,不同环境中的相同问题似乎需要非常不同的解决方案。
我已经构建了几个 Ruby 客户端脚本,它们从我网络中的各种服务器收集信息并将所述信息注入 MySQL 数据库。 Ruby 脚本必须以用户身份向这些服务器进行身份验证,因此它们需要身份验证凭据才能连接。有问题的连接是从 Ruby 客户端到接收服务器,并通过(分别):
SOAP(通过 savon gem):
soap_client = Savon.client(wsdl: '[URL]')
login_response = soap_client.call(:login, message: { 'userName' => [SOAP CLIENT USERNAME], 'password' => [SOAP CLIENT PASSWORD] })
MySQL(通过 mysql2 gem):
@mysql_client = Mysql2::Client.new(:host => [DATABASE HOSTNAME], :username => [DATABASE USERNAME], :password => [DATABASE PASSWORD], :database => [DATABASE NAME])
HTTPS(通过 net/https gem):
OpenSSL::PKey::RSA.new(pem,"[KEY DECRYPTION PASSWORD]")
HTTPS 客户端不需要 username/password 来向 HTTPS 服务器进行身份验证。它需要一个带有密钥的证书,而存储在源代码中的密码是解密密钥所必需的。我可以将密钥以明文形式存储,从而从源代码中消除此密码,但随后安全问题就变成了如何保护明文密钥文件。
我要解决的问题是我的源代码中存储了明文密码。我可以将密码存储在一个加密的文本文件中,然后在 运行 时间解密该文件,但我又回到了类似的问题——如何安全地存储解密密钥?
环境是:
- CentOS Linux 7.6.1810
- ruby2.4.2
感谢您的阅读,如果我的问题需要进一步说明,请告诉我!
这是我们处理脚本所需的机密信息的方式:
源代码管理:
- 我们从不在源代码中存储敏感信息。
发展:
- 任何脚本所需的所有敏感信息都来自环境变量(因此,在 Ruby 中:
some_password = ENV['SOME_PASSWORD'])
- 所有开发人员都已 direnv 安装,他们每个人在项目文件夹中都有一个
.envrc 文件,用于设置他们的个人密码和其他机密。
- 我们通过向
.envrc 添加全局 gitignore 来确保 .envrc 永远不会提交到源代码管理(全局 = 不是每个项目,而是每个环境)。
测试/CI:
- 所有CI系统都支持输入秘密环境变量,所以这就是这个用例的解决方法。
生产:
- 取决于您的生产基础设施,这些环境变量和机密也在部署时输入或存储在环境提供的机密设施中。
如果这与许多其他问题太相似,我深表歉意;我搜索并查看了建议的多个解决方案,但似乎没有针对此类问题的通用解决方案——根据回答的问题判断,不同环境中的相同问题似乎需要非常不同的解决方案。
我已经构建了几个 Ruby 客户端脚本,它们从我网络中的各种服务器收集信息并将所述信息注入 MySQL 数据库。 Ruby 脚本必须以用户身份向这些服务器进行身份验证,因此它们需要身份验证凭据才能连接。有问题的连接是从 Ruby 客户端到接收服务器,并通过(分别):
SOAP(通过 savon gem):
soap_client = Savon.client(wsdl: '[URL]')
login_response = soap_client.call(:login, message: { 'userName' => [SOAP CLIENT USERNAME], 'password' => [SOAP CLIENT PASSWORD] })
MySQL(通过 mysql2 gem):
@mysql_client = Mysql2::Client.new(:host => [DATABASE HOSTNAME], :username => [DATABASE USERNAME], :password => [DATABASE PASSWORD], :database => [DATABASE NAME])
HTTPS(通过 net/https gem):
OpenSSL::PKey::RSA.new(pem,"[KEY DECRYPTION PASSWORD]")
HTTPS 客户端不需要 username/password 来向 HTTPS 服务器进行身份验证。它需要一个带有密钥的证书,而存储在源代码中的密码是解密密钥所必需的。我可以将密钥以明文形式存储,从而从源代码中消除此密码,但随后安全问题就变成了如何保护明文密钥文件。
我要解决的问题是我的源代码中存储了明文密码。我可以将密码存储在一个加密的文本文件中,然后在 运行 时间解密该文件,但我又回到了类似的问题——如何安全地存储解密密钥?
环境是:
- CentOS Linux 7.6.1810
- ruby2.4.2
感谢您的阅读,如果我的问题需要进一步说明,请告诉我!
这是我们处理脚本所需的机密信息的方式:
源代码管理:
- 我们从不在源代码中存储敏感信息。
发展:
- 任何脚本所需的所有敏感信息都来自环境变量(因此,在 Ruby 中:
some_password = ENV['SOME_PASSWORD']) - 所有开发人员都已 direnv 安装,他们每个人在项目文件夹中都有一个
.envrc文件,用于设置他们的个人密码和其他机密。 - 我们通过向
.envrc添加全局 gitignore 来确保.envrc永远不会提交到源代码管理(全局 = 不是每个项目,而是每个环境)。
测试/CI:
- 所有CI系统都支持输入秘密环境变量,所以这就是这个用例的解决方法。
生产:
- 取决于您的生产基础设施,这些环境变量和机密也在部署时输入或存储在环境提供的机密设施中。