密码到底怎么存放才安全?

最新推荐文章于 2024-08-26 17:30:48 发布
最新推荐文章于 2024-08-26 17:30:48 发布
阅读量808 收藏 25
点赞数 15
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanyamin/article/details/141508297
版权

发现有小伙伴在源代码以及配置文件中存放明文的帐号密码, 我报了一个 git issue, 结果小伙伴不乐意了, 代码里不让放, 配置文件不让放, 那到底放哪里?

我回答这些地方没说一定不让放, 代码里一般是不要放, 配置文件里当然可以存放密码, 只是不能放明文的未加密的密码, 必须是加密后的密文.

可是加密得有密钥, 那密钥又放哪里呢?

今天我就来介绍一个简单易用的方案:

  • 用 Ansible Vault 来加密存放帐号密码的文件, 这样代码仓库中就看不到帐号和密码了
  • 用 gitlab ci variable 来存放加密上述文件的密钥, 这样没有权限的人员无法查看
  • 用 ansible 模板文件来生成配置文件, 将其中的帐号和密码加密, 这样部署出去的配置文件中就不会有明文的帐号和密码了

Ansible Vault 是 Ansible 中的一个功能,允许用户在管理敏感数据(如密码、密钥或证书)时进行加密和解密操作。它帮助你将敏感信息保存在代码库中时保持安全性,而不会直接暴露这些数据。

Ansible Vault 的常见用法和操作步骤

1. 创建加密文件

要创建一个新的加密文件,可以使用 ansible-vault create 命令。此命令会提示你输入加密密码,然后你可以在编辑器中输入要加密的内容。

ansible-vault create secret.yml

2. 加密现有文件

如果你已经有一个文件并且想要对其加密,可以使用 ansible-vault encrypt 命令。

ansible-vault encrypt existing_file.yml

3. 解密文件

要解密一个已经加密的文件,可以使用 ansible-vault decrypt 命令。

ansible-vault decrypt secret.yml

4. 编辑加密文件

有时你可能需要对加密文件进行编辑。在这种情况下,你可以使用 ansible-vault edit 命令,它会在解密的情况下打开文件,编辑完毕后再自动加密。

ansible-vault edit secret.yml

5. 重加密文件

如果你想更改加密文件的密码,可以使用 ansible-vault rekey 命令。此命令会提示你输入旧密码和新密码。

ansible-vault rekey secret.yml

6. 在 Playbook 中使用加密文件

在 Ansible Playbook 中使用加密文件时,需要在运行 Playbook 时指定 --ask-vault-pass 参数,以便在执行过程中输入解密密码。

ansible-playbook playbook.yml --ask-vault-pass

或者你可以使用 --vault-password-file 参数,指定一个包含密码的文件,以自动提供密码。

ansible-playbook playbook.yml --vault-password-file .vault_pass

7. 同时处理多个加密文件

如果有多个加密文件需要在同一个 Playbook 中使用,可以使用 --vault-id 选项来指定不同的加密标识符,并为每个标识符分配不同的密码或密码文件。

ansible-playbook playbook.yml --vault-id dev@prompt --vault-id prod@.prod_vault_pass

8. 将加密文件作为变量使用

如果加密文件中的数据是一个变量文件,可以直接在 Playbook 中加载它,并将其作为变量使用。

---
- hosts: all
  vars_files:
    - secret.yml
  tasks:
    - debug: var=my_secret_var

使用 ansible-vault 时,务必小心管理加密密码,避免泄露。此外,最好通过版本控制系统管理这些加密文件,以便在团队协作中安全地共享敏感信息。

Ansible Vault 使用实例

我们有一个配置文件 .env, 内容如下

DB_USERNAME=walter
DB_PASSWORD=P@ss1234

这样存放明文是极不安全的, 我们期望的存放的这样加密的内容

DB_USERNAME=QUl4RTZxYzZLb2RlbDVGOA==
DB_PASSWORD=MDNXWDBaTVpxem4wOGpRUw==

将密码存放在一个 yaml 文件中, 例如 secrets.yml, 为简单起见, 将加密的密钥也放在这个文件中
实践中一定要分开存放.

AES_KEY: helloworld
AES_IV: 1234567890123456

DB_USER: walter
DB_PWD: P@ss1234

将这个文件加密, 这样原始的密码就看不到了

ansible-vault encrypt secrets.yml

密钥存放在 gitlab 中 的 "CI/CD Settings" 中的变量(Variables) 里

gitlab setting

然后将此变量在 CI job 开始时放入文件, 在 CI job 结束时删除, 例如以下的 .gitlab-ci.yml
在 CI job 中根据模板文件 env.j2 生成 ".env" 配置文件

env.j2 中放的是占位符变量

DB_USERNAME={{ secrets.DB_USER }}
DB_PASSWORD={{ secrets.DB_PWD }}
variables:
  VAULT_PWD_FILE: .ansible_vault_password.txt
stages:
  - build
  - test
  - archive

job_build:
  stage: build
  script:
    - echo "check config file"
    - echo "$SECRET_KEY" > $VAULT_PWD_FILE
    - virtualenv -p python3 venv
    - . ./venv/bin/activate
    - pip install -r ./requirements.txt
    - ansible-playbook -v -i inventory.ini playbook.yml --vault-password-file $VAULT_PWD_FILE
    - rm -f $VAULT_PWD_FILE
  • playbook.yml 可以这样写
- hosts: webserver
  become: true
  gather_facts: false
  tasks:

    - name: Load encrypted variables
      include_vars:
        file: secrets.yml
        name: vault_secrets

    - name: install dependencies
      shell: pip3 install -r requirements.txt
      delegate_to: localhost
      become: false

    - name: encrypt password
      shell: python3 aes_util.py {{ vault_secrets | to_json | b64encode }} {{ serial_number }}
      delegate_to: localhost
      become: false
      register: json_output

    - name: Parse the JSON output
      set_fact:
        secrets: "{{ json_output.stdout | from_json }}"
      when: json_output.stdout | from_json is not string

    - name: generate  .env
      template:
        src: ./etc/env.j2
        dest: "./etc/.env"
        owner: walter
        group: walter
        mode: '0644'

而 aes_util.py 是我写的一个小程序, 用来将密码进行 AES 加密, 代码如下

  1. requirements.txt 中的依赖库就两个
pycryptodome==3.20.0
ansible==2.16.6]
  1. aes_util.py 用来加密帐号和密码, 这里我用的是 AES CBC 模式, 也可用除了 ECB 的其他模式
from Crypto.Cipher import AES
from Crypto.Random import get_random_bytes
from Crypto.Util.Padding import pad, unpad
import base64
import sys
import json

"""encrypt or decrypt by AES CBC

It uses Padding (PKCS #7), this padding scheme adds a series of bytes, all with the same value,
to make the length of the data a multiple of the block size.

The value of each added byte is the number of bytes that are added.

For example, if the block size is 16 bytes and the data needs 3 more bytes to reach this size,
it will add three bytes, each with the value 3 (0x03 0x03 0x03).

- Unpadding (PKCS #7):

During decryption, the padding is removed by reading the value of the last byte,
which indicates how many bytes were added, and then removing that many bytes.

Raises:
    TypeError: invalid key length
    TypeError: invalid iv length

Returns:
    _type_: instance
"""
class AESCipher:
    def __init__(self, key, iv):
        key_len = len(key)
        iv_len = len(iv)

        if key_len != 16 and key_len != 24 and key_len != 32:
            raise TypeError("Expect key length as 16, 24 or 32")
        if iv_len != 16:
            raise TypeError("Expect iv length as 16")

        self._key = key.encode('utf-8')
        self._iv = iv.encode('utf-8')

    def encrypt(self, raw):
        #print(f"raw bytes: {raw}")
        raw = pad(raw.encode('utf-8'), AES.block_size)
        cipher = AES.new(self._key, AES.MODE_CBC, self._iv)
        encrypted = cipher.encrypt(raw)
        return base64.b64encode(encrypted).decode('utf-8')

    def decrypt(self, enc):
        enc = base64.b64decode(enc)
        cipher = AES.new(self._key, AES.MODE_CBC, self._iv)
        #print(f"encrypted bytes: {enc}")
        raw = cipher.decrypt(enc)
        #print(f"decrypted bytes: {raw}")
        decrypted = unpad(raw, AES.block_size)
        #print(f"unpad bytes: {decrypted}")
        return decrypted.decode('utf-8')

def encrypt_pwd(json_obj, serial_number):
    aes_key = json_obj.get("AES_KEY")
    aes_iv = f"hb_{serial_number}"[0:16]

    for key, value in json_obj.items():
        cipher = AESCipher(aes_key, aes_iv)
        encrypted_text = cipher.encrypt(str(value))
        json_obj[key] = encrypted_text
    return json_obj

if __name__ == "__main__":

    if len(sys.argv) == 2:
        serial_number = sys.argv[1]
        content = ""
        with open('secrets.txt', 'r') as file:
            for line in file:
                content += line
        json_str = base64.b64decode(content).decode('utf-8')
        json_obj = json.loads(json_str)
        cipher_dict = encrypt_pwd(json_obj, serial_number)
        print(json.dumps(cipher_dict))
    elif len(sys.argv) == 3:
        json_arg = sys.argv[1]
        serial_number = sys.argv[2]
        json_str = base64.b64decode(json_arg).decode('utf-8')
        #print(f"json_str: {json_str}")
        json_obj = json.loads(json_str)
        cipher_dict = encrypt_pwd(json_obj, serial_number)
        print(json.dumps(cipher_dict))
    else:
        print("no arguments")
        exit(1)

试一试, 这个方案既简单又安全

fanyamin
关注
  • 15
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
7.14 注册登录如何安全传输密码?如何安全保存密码?SpringBoot实战项目手把手教你
天罡gg的专栏
09-16 405
在前面的章节中,我们实现了简易的注册和登录功能,其它功能,像验证码、限流等或许你稍微研究一下都能找到解决方案,但有一个点你可能不那么容易搞定,那就是注册登录密码如何安全传输?可以肯定的是:密码一定需要加密,一定不能明文传输!但加密算法怎么选?密码又要怎么安全保存?如果你没有一些项目经验,估计有点棘手,最后还会感觉不那么保险。难者不会, 会者不难!基于此,我今天决定写一篇简短的博文,手把手教你在SpringBoot实战项目中解决密码传输和密码保存的问题!
为什么密码要以MD5值存储在数据库才更安全
m0_69916115的博客
05-31 617
关于MD5加密大家肯定很早就知道了,一看是MD5加密就觉得肯定是安全的啊,但是为什么会有那么多的MD5在线加密解密站?在后台进行加密,到底有什么作用?为什么密码要以MD5值存储在数据库才更安全?下面通过几个问题了解MD5加密解密。
你的密码安全吗?如何加密才安全
m0_69916115的博客
09-02 1350
因为MD5加密有一定的安全保证,而且实现起来非常简单,我们当然可以采用其它的加密方式(如SHA家族算法、AES、RSA等),甚至是多种加密方式的组合,但是对安全性要求没那么高的场景,我们就采用了MD5加密。
如何安全的保存密码?
叁滴水 的博客
08-25 2877
鉴于社工库层出不穷,多种多样收集用户信息的方式。前几日,我还发现,我之前用过的QQ密码,竟然明文存在一个信息查询系统中。为此感到很是震惊。闲来无事,思考一个问题,作为开发人员,如何安全的保存用户的密码呢? 带着问题,探讨下密码如何更加安全的保存,此,为笔者目前经验而已,菜鸟一个,有更好的想法,希望可以分享给我。
用户密码到底要怎样存储?
qq_43842093的博客
11-29 5043
作为互联网公司的信息安全从业人员经常要处理撞库扫号事件,产生撞库扫号的根本原因是一些企业发生了信息泄露事件,且这些泄露数据未加密或者加密方式比较弱,导致黑客可以还原出原始的用户密码。 目前已经曝光的信息泄露事件至少上百起,其中包括多家一线互联网公司,泄露总数据超过10亿条。 要完全防止信息泄露是非常困难的事情,除了防止黑客外,还要防止内部人员泄密。但如果采用合适的算法去加密用户密码,即使信息泄露出去,黑客也无法还原出原始的密码(或者还原的代价非常大)。 也就是说我们可以将工作重点从防止泄露转换到防止黑客还原
用户登录安全是如何保证的?如何保证用户账号、密码安全
weixin_68074170的博客
07-22 1212
比较容易想到的就是利用不可逆加密散列函数MD5(string),用户在注册输入密码的时候,就存储MD5(password)值,并且在WEB端先进行MD5(password),然后将密码传输至后台,与数据库中的密文进行比较(PS:MD5函数在指定位数的情况下,对相同字符串运算值相同)。保证数据库内用户的密码信息安全在传输过程中只能截取到用户的密文,该密文被MD5加密后无论如何也不能破解简单高效,执行以及编码难度都不大,各种语言都提供MD5支持,开发快​​​​​​​​​​​​​​。
用户密码到底要怎么加密存储?
勇往直前的专栏
02-19 1756
作为互联网公司的信息安全从业人员经常要处理撞库扫号事件,产生撞库扫号的根本原因是一些企业发生了信息泄露事件,且这些泄露数据未加密或者加密方式比较弱,导致黑客可以还原出原始的用户密码。 目前已经曝光的信息泄露事件至少上百起,其中包括多家一线互联网公司,泄露总数据超过10亿条。 要完全防止信息泄露是非常困难的事情,除了防止黑客外,还要防止内部人员泄密。但如果采用合适的算法去加密用户密码,即使信息泄...
无线网密码忘了怎么更改?更改无线网密码图文教程
10-01
在日常生活中,无线网络已经成为我们工作和生活的重要组成部分。然而,有时我们可能会忘记无线网络的密码,...记住,定期更改无线网络密码是保障网络安全的一个良好习惯,能够有效防止未经授权的访问和潜在的安全风险。
星号密码查看器,可以查看曾经保存的密码但是忘记了?
03-01
5. **替代方法**:如果担心安全问题,可以考虑使用密码管理器,它们能安全地存储和管理各种密码,而且通常有内置的功能来查看已保存的密码。 总之,星号密码查看器是一种实用工具,有助于用户找回遗忘的密码,但...
PbootCMS后台帐号密码忘记了怎么办?
05-18
这个文件通常不会包含在常规的CMS安装包里,因为它涉及到系统的安全性,只有在特殊情况下才会使用。 2. **上传到网站根目录**:使用FTP客户端(如FileZilla)或SSH终端将resetpw.php文件上传到你的网站根目录。根...
如何使用双重IP代理实现更安全的网络访问
最新发布
IPIPGO的博客
08-26 413
双重IP代理,顾名思义,就是在原有的代理IP基础上,再添加一层代理。这样,当你访问目标网站时,数据会先经过第一个代理服务器,再经过第二个代理服务器,最后到达目标网站。这种方式不仅能更好地保护你的隐私,还能有效防止IP被封禁。通过本文的介绍,相信你已经掌握了如何使用Java实现双重IP代理的方法。双重IP代理不仅能帮助我们更好地保护隐私,还能有效防止IP被封。在实际应用中,合理使用双重代理IP,将会使你的网络访问更加安全和高效。希望本文对你有所帮助,祝你在网络技术的道路上越走越远!t=N7T8。
等保测评中的安全测试方法
w13359990065的博客
08-26 510
通过物理环境测评、网络安全测评、主机安全测评、应用安全测评和数据安全测评等多层次的综合评估,可以有效识别系统中的安全隐患,提升信息系统的整体安全防护能力,满足国家相关法律法规的要求,助力企业提升行业竞争力。在等保测评中,安全测试方法的有效实施离不开专业的测评团队和科学的测评流程。测评团队需具备丰富的安全测试经验和专业知识,能够准确识别系统中的安全风险并提出切实可行的整改建议。首先,等保测评中的安全测试方法涵盖了多个层面,包括但不限于物理环境测评、网络安全测评、主机安全测评、应用安全测评和数据安全测评。
92.WEB渗透测试-信息收集-Google语法(6)
计算机王的博客
08-22 432
web渗透测试
【宝马中国-注册/登录安全分析报告】
08-26 950
宝马中国作为全世界最成功的汽车和摩托车制造商之一的宝马集团旗下公司, 其滑动验证码没有采用市场常用的几家, 有独特的地方, 背景图在被抠出后,并不是采用同行的常用的透明化保留原有图形样式,而是填充白色,所以滑块位置识别需要从背景图中提取, 这样让识别变得更简单,造成这中特点有两方面原因,1 直接填充白色背景的技术比透明度的方式更简单2 从报文看未获取轨迹数据, 显示验证方式中并未验证轨迹,只验证距离是否合适很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
物联网安全框架:构建安全互联的未来世界
A526847的博客
08-26 336
物联网安全框架的构建是一个复杂而系统的工程,需要设备制造商、软件开发商、服务提供商和用户等多方共同努力。通过加强数据加密、身份认证、人工智能和区块链等技术的应用,推动统一安全标准的制定和实施,我们可以构建一个安全、可靠、互联的未来世界。在这个过程中,每一个参与者的努力都至关重要,让我们携手共进,为物联网的健康发展贡献自己的力量。
深入探讨Linux中的EncFS:安全、灵活的加密文件系统
prop428的博客
08-26 557
深入探讨Linux中的EncFS:安全、灵活的加密文件系统
在野漏洞的应急响应流程
INSBUG的博客
08-26 559
许多时候,对于负责安全工作又不太擅长安全漏洞技术的人员而言,如何应对突发漏洞是工作中主要的难点,这里的突发漏洞指的是两类:一类是通过新闻、咨询推送,被社会舆论所有关注的CVE漏洞,比如前段时间所谓的核弹级别Windows Server漏洞,一类是没有引起足够社会关注,但又在安全行业流传的0-day漏洞,但也仅限于传说,而很少有人真正见过的0-day漏洞。在漏洞的影响范围确定之后,可以通过机构的资产管理工具快速判断漏洞影响的资产范围,对于软件类或配置类的漏洞,则可能需要通过PoC进行手动扫描和评估。
城乡燃气安全监管平台 打造城市安全防护网
SUNVUA1028的博客
08-23 356
旭华智能燃气安全监管物联网平台是一款集成多项先进技术和理念的综合管理平台。通过运用 5G、大数据、物联网、GIS 等信息技术,以可燃气体探测器,气体流量计,燃气压力表等物联网设备提供数据基础,以省/市/县/企业四级燃气安全监管平台为核心,对基础数据进行分析研判,可视化展示及预警指挥调度,切实提高燃气行业智能化、信息化、科学化的安全监管水平。数据整合与共享:平台能够自动收集来自多个部门的数据,包括燃气管网的压力、温度、流量等关键指标,并确保这些信息的实时共享,打破信息孤岛,提高监管效率。智能化监管。
以数据安全筑牢新时代旅游安全之基,硬盘文件数据销毁,硬盘销毁
2301_79618370的博客
08-26 241
在这个大数据时代,让我们共同携手,以《旅游大数据安全与隐私保护要求(征求意见稿)》为指引,筑牢旅游数据安全之基,为新时代旅游安全工作保驾护航。让游客在享受美好旅游体验的同时,无需担忧数据安全问题,让旅游行业在数字化的浪潮中蓬勃发展。征求意见稿对旅游大数据的通用安全目标、安全与隐私保护生命周期管理、安全与隐私保护运维管理、安全与隐私保护监控管理以及典型旅游应用场景大数据安全等方面作出了规范。而在典型旅游应用场景大数据安全方面,征求意见稿针对在线旅游平台、旅游景区、酒店等不同场景,提出了具体的安全要求。
密码提交格式????? ????
07-25
密码提交格式通常是通过加密的方式将密码转换为一串不可读的字符,并将其传输给服务器进行验证和存储。常见的密码提交格式包括: 1. 明文传输:将密码以明文形式传输给服务器。这种方式是不安全的,因为黑客可以截获和窃取密码。 2. 哈希传输:将密码进行哈希处理后再传输给服务器。哈希函数是一种不可逆的算法,将密码转换为一串固定长度的字符,使得无法通过这些字符还原出原始密码。服务器端将保存用户密码的哈希值,而不是明文密码。 3. 加密传输:使用对称或非对称加密算法对密码进行加密,然后将加密后的密码传输给服务器。服务器端接收到加密的密码后,再使用相同的密钥或公钥进行解密验证。 无论使用哪种密码提交格式,都建议在传输过程中使用安全的通信协议(如HTTPS)来保护密码安全性。此外,用户也应该选择强密码,并定期更改密码,以增加账户的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值