我在版本控制系统中保留了重要的设置,例如开发和生产服务器的主机名和端口。但是我知道,将秘密(例如私钥和数据库密码)保存在VCS存储库中是一种不好的做法。
但是密码-像其他设置一样-似乎应该进行版本控制。那么保持密码版本控制的正确方法是什么?
我想这将涉及保持秘密,在自己的“秘密设置”文件,并有该文件的加密和版本控制。但是什么技术呢?以及如何正确执行此操作?有没有更好的方法可以完全解决这个问题?
我通常会问这个问题,但是在我的特定实例中,我想使用git和github存储Django / Python站点的秘密密钥和密码。
同样,当我使用git推/拉时,理想的解决方案也会做一些神奇的事情-例如,如果加密的密码文件更改了运行的脚本,该脚本会要求输入密码并将其解密到位。
编辑:为清楚起见,我正在询问在哪里存储的生产秘密。
你完全想在保持版本控制的同时加密敏感设置文件是正确的。正如你提到的,最好的解决方案是Git在推送某些敏感文件时透明地对其进行加密,以便在本地(即在拥有证书的任何机器上)可以使用设置文件,但Git或Dropbox或任何人使用将文件存储在VC下不能读取纯文本信息。
推/拉期间的透明加密/解密教程
这个要点https://gist.github.com/873637显示了有关如何使用Git的sms / clean过滤器驱动程序和openssl来透明地加密推送文件的教程。你只需要进行一些初始设置即可。
工作原理摘要
你基本上将创建一个.gitencrypt
包含3个bash脚本的文件夹,
clean_filter_openssl
smudge_filter_openssl
diff_filter_openssl
Git用于解密,加密和支持Git差异。在这些脚本中定义了主密码和盐(已修复!),你必须确保.gitencrypt从未被实际推送。示例clean_filter_openssl脚本:
#!/bin/bash
SALT_FIXED=<your-salt> # 24 or less hex characters
PASS_FIXED=<your-passphrase>
openssl enc -base64 -aes-256-ecb -S $SALT_FIXED -k $PASS_FIXED
与smudge_filter_open_ssl
和类似diff_filter_oepnssl
。参见要点。
你的带有敏感信息的仓库应该有一个.gitattribute
文件(未加密并包含在仓库中),该文件引用.gitencrypt目录(其中包含Git透明地加密/解密项目所需的所有内容),并且该文件存在于本地计算机上。
.gitattribute
内容:
* filter=openssl diff=openssl
[merge]
renormalize = true
最后,你还需要将以下内容添加到.git/config
文件中
[filter "openssl"]
smudge = ~/.gitencrypt/smudge_filter_openssl
clean = ~/.gitencrypt/clean_filter_openssl
[diff "openssl"]
textconv = ~/.gitencrypt/diff_filter_openssl
现在,当你将包含敏感信息的存储库推送到远程存储库时,文件将被透明加密。当你从具有.gitencrypt目录(包含密码)的本地计算机中提取文件时,文件将被透明解密。
笔记
我应该注意,本教程没有描述仅加密敏感设置文件的方法。这将透明地加密推送到远程VC主机的整个存储库,并解密整个存储库,以便在本地对其进行完全解密。为了实现所需的行为,你可以将一个或多个项目的敏感文件放在一个sensitive_settings_repo中。如果你确实需要将敏感文件存储在同一存储库中,则可以调查此透明加密技术如何与Git子模块http://git-scm.com/book/en/Git-Tools-Submodules一起使用。
如果攻击者可以访问许多加密的存储库/文件,则从理论上讲,使用固定的密码短语可能会导致暴力破解漏洞。海事组织,这种可能性非常低。如本教程底部所述,未使用固定密码短语将导致不同机器上的本地回购版本始终显示“ git status”已发生更改。
我为Jetty 9和Kafka使用ssl密钥库。我需要提供密钥库和密钥密码来访问密钥库和私钥。但是,我不想在配置文件中以明文形式提供这些密码。还有哪些其他选项可以安全地提供/加密密码?每种方法的优缺点是什么?
在flutter应用程序中存储key.jks文件对于flutter应用程序发布是安全的吗? 存储库密码、keyPassword、keyAlias 我的key.properties文件:
我计划在key vault上保留密钥,但我不清楚密钥和秘密的版本控制,我有一些关于Azure key vault上的key/Secret的版本控制的问题。 如何创建现有密钥的新版本? 是否可以解密用不同版本的相同密钥加密的数据? 是否可以为某个版本的密钥设置过期日期?
问题内容: 我想知道如何在Android中安全存储 加密密钥 吗?保护加密和秘密密钥的最佳方案是什么? 问题答案: 根据您的评论,您需要使用适用于当前Android版本和旧Android版本的本地密钥对数据进行加密 Android Keystore 旨在生成和保护您的密钥。但是它不适用于18级以下的API级别,并且在API 23级之前有一些限制。 您将需要一个随机对称加密密钥,例如AES。AES密
我在工作中被要求保护保存在Mysql数据库中的敏感数据。这个数据库包含几个表,其中一个表中的关键数据只能使用Django中的API来访问。对于这个API,只有一定数量的人可以访问它,因此他们将是唯一能够访问这个表中的数据的人。 因此,目前的问题是每个人都可以访问数据库和该表,因此我们决定使用AES在AES_ENCRYPT()和AES_DECRYPT()函数的帮助下加密该表中的所有数据(根据http
问题内容: 我有一个Java属性对象,其中包含Web服务的身份验证信息。我需要对这些数据进行加密,但是我不知道该将加密密钥存储在何处才能保持安全。 关于加密和以安全方式检索数据的最佳实践是什么? 使用密钥库有什么好处吗? 问题答案: 您的问题很普遍。在Linux中,用户密码存储在纯文本文件中。尽管只存储了密码哈希,但是如果攻击者可以访问该文件,则使用脱机词典攻击可以很快发现一些密码。在这种情况下,