Где хранить креды?

0

1

Всем привет. Возник вопрос. Есть несколько приложений, которые делят одни креды для входа в внешнюю систему. Надо креды где то хранить что бы юзера постоянно не спрашивать. Какой дистр будет, неизвестно, юзер накатит куда хочет. Каким способом их лучше всего и где хранить так что бы это было безопасно?

Ссылка

←	Посоветуйте IDE для Whitespace

Не пойму почему так с симлинками

→

/etc/shadow ? :)

Harald ★★★★★
(30.03.21 11:28:22 MSK)

Ссылка

внешний токен - вполне неплохой вариант.

Atlant ★★★★★
(30.03.21 12:24:00 MSK)

Ссылка

~/.authinfo.gpg или ~/.netrc.gpg (желательно не логин/пароль, а токен с ограниченной областью доступа).

theNamelessOne ★★★★★
(30.03.21 12:51:45 MSK)
Последнее исправление: theNamelessOne 30.03.21 12:52:37 MSK (всего исправлений: 1)

Ссылка

Всю жизнь в 600 plaintext хранили и проблем не знали. Сейчас нормальные внешние системы выдают токены, поэтому хранят их вместо полноценных кредов, это ещё безопаснее. Если нет, то и вариантов нет: хранить так или иначе нужно в plaintext и пользователь должен иметь к ним доступ, значит из-под пользователя и увести их можно. Если шифровать, не выполняется условие задачи «постоянно не спрашивать».

slovazap ★★★★★
(30.03.21 15:12:56 MSK)

Ты про десктопную софтину? Тогда https://freedesktop.org/wiki/Specifications/secret-storage-spec/secrets-api-0...
Если же речь про девопсинг и креды нужно кроссплатформенно шарить на команду - то Hashicorp Vault.

snizovtsev ★★★★★
(30.03.21 15:41:02 MSK)
Последнее исправление: snizovtsev 30.03.21 15:41:18 MSK (всего исправлений: 1)

Ответ на: комментарий от snizovtsev 30.03.21 15:41:02 MSK

Интересно, почитаю, спасибо.

Софтина это три докер контейнера, которые запускаются на сервере клиента где угодно.

i3draven ★★
(30.03.21 15:56:16 MSK) автор топика
Последнее исправление: i3draven 30.03.21 15:58:28 MSK (всего исправлений: 1)

Ответ на: комментарий от i3draven 30.03.21 15:56:16 MSK

man docker-secret

pon4ik ★★★★★
(30.03.21 16:59:33 MSK)
Последнее исправление: pon4ik 30.03.21 17:00:08 MSK (всего исправлений: 1)

maybe
- gnupg & email
- erlang, redis, rabbitmq, python, ssh

anonymous
(30.03.21 17:29:12 MSK)

Ссылка

Ответ на: комментарий от pon4ik 30.03.21 16:59:33 MSK

Тоже спасибо.

i3draven ★★
(30.03.21 18:46:26 MSK) автор топика

Ссылка

Ответ на: комментарий от i3draven 30.03.21 15:56:16 MSK

если swarm, то можно встроенные docker secrets вместо vault

aol ★★★★★
(31.03.21 07:14:22 MSK)

Ссылка

Ответ на: комментарий от pon4ik 30.03.21 16:59:33 MSK

они доступны только в swarm режиме, емнип

aol ★★★★★
(31.03.21 07:15:11 MSK)

Ответ на: комментарий от i3draven 30.03.21 15:56:16 MSK

В кровавом используют keycloak, чтобы как раз не хранить креды в приложениях и иметь возможность подключить любой вид аутентификации к клиенту, включая sso.

stave ★★★★★
(31.03.21 08:01:33 MSK)

Ответ на: комментарий от aol 31.03.21 07:15:11 MSK

Скорее всего, я чет увидел про 3 контейнера и подумал, что это только оно может быть.

pon4ik ★★★★★
(31.03.21 09:34:24 MSK)

Ссылка

Ответ на: комментарий от stave 31.03.21 08:01:33 MSK

Кейклок большой шибко. Есть такое, но не тот случай.

i3draven ★★
(31.03.21 19:19:36 MSK) автор топика

Ссылка

Ответ на: комментарий от slovazap 30.03.21 15:12:56 MSK

Вот там сложно все, аутентификаций много видов. Как минимум логопас и оаус2. Сервис стартанул. Спросил креды, это норм каждый раз даже. Запомнил. Но есть еще два сервиса и задача этими кредами с ними обменяться, для этого надо либо запросы от них принимать, либо общее хранилище иметь. Непонятно пока как быть простым способом.

i3draven ★★
(31.03.21 19:22:15 MSK) автор топика

Ответ на: комментарий от i3draven 31.03.21 19:22:15 MSK

Я бы написал простого демона из десятка строчек который слушает unix socket и раздаёт креды/принимает их обновления. Первый сервис его запускает (если он ещё не запущен), далее все общаются через него. Контроль доступа через права на сокет. При желании при отсутствии подключений к сокету сервис может самоприбиваться сразу или через какое-то время.

slovazap ★★★★★
(31.03.21 19:58:26 MSK)