У меня есть демон Linux, который обращается к некоторым службам (db и т. Д.). Для этого нужны пароли. Как лучше всего безопасно передать пароли демону?
В настоящее время я храню пароли в конфигурационном файле, доступном только для чтения root, но полагаться на разрешения кажется небезопасным.
Я собираюсь запросить у пользователя пароль при запуске демона и сохранить пароль только в памяти. Конечно, это всего лишь небольшое препятствие для специализированного злоумышленника с root-доступом, но, по крайней мере, оно защищает резервное копирование, моментальные снимки и т. Д. И может выиграть время.
Другие варианты? Рекомендации?
Существуют различные способы настройки, в том числе использование для начала метода аутентификации, отличного от пароля.
Один из способов может заключаться в использовании сертификатов TLS / SSL для подключения. Но обычно достаточно сохранить пароль в файле, доступном только для чтения - как говорит Кондыбас, если root-учетная запись скомпрометирована, то все будет скомпрометировано ... Вы также можете захотеть, чтобы startcript выполнял chmod 400 перед запуском службы , и chmod 000 после его запуска.
Поэтому вместо того, чтобы сосредоточиться только на сохранении фактического пароля в безопасности, вы захотите поработать на целевом сервере. Для базы данных я бы начал с ограничения того, какие хосты могут подключаться, с помощью имени пользователя, используемого сервером Linux. Я бы также ограничил то, что пользователю разрешено делать с базой данных - например, вы можете захотеть, чтобы демон linux мог добавлять контент в базу данных, но, возможно, не делал DROP TABLE.
Вы также должны сделать сервер как можно более безопасным. Демон не должен запускаться от имени пользователя root без крайней необходимости; порт SSH не должен разрешать доступ с любого хоста в Интернете, и уж тем более разрешен вход с правами root.
Также убедитесь, что пароль больше нигде не используется, в противном случае компрометация на этом сервере может привести к эскалации взлома в вашей сети.
Вы также можете найти поиск на безопасность полезно.