LINUX.ORG.RU

Где хранить креды?

 ,


0

1

Всем привет. Возник вопрос. Есть несколько приложений, которые делят одни креды для входа в внешнюю систему. Надо креды где то хранить что бы юзера постоянно не спрашивать. Какой дистр будет, неизвестно, юзер накатит куда хочет. Каким способом их лучше всего и где хранить так что бы это было безопасно?

внешний токен - вполне неплохой вариант.

Atlant ★★★★★
()

~/.authinfo.gpg или ~/.netrc.gpg (желательно не логин/пароль, а токен с ограниченной областью доступа).

theNamelessOne ★★★★★
()
Последнее исправление: theNamelessOne (всего исправлений: 1)

Всю жизнь в 600 plaintext хранили и проблем не знали. Сейчас нормальные внешние системы выдают токены, поэтому хранят их вместо полноценных кредов, это ещё безопаснее. Если нет, то и вариантов нет: хранить так или иначе нужно в plaintext и пользователь должен иметь к ним доступ, значит из-под пользователя и увести их можно. Если шифровать, не выполняется условие задачи «постоянно не спрашивать».

slovazap ★★★★★
()

Ты про десктопную софтину? Тогда https://freedesktop.org/wiki/Specifications/secret-storage-spec/secrets-api-0...
Если же речь про девопсинг и креды нужно кроссплатформенно шарить на команду - то Hashicorp Vault.

snizovtsev ★★★★★
()
Последнее исправление: snizovtsev (всего исправлений: 1)
Ответ на: комментарий от snizovtsev

Интересно, почитаю, спасибо.

Софтина это три докер контейнера, которые запускаются на сервере клиента где угодно.

i3draven ★★
() автор топика
Последнее исправление: i3draven (всего исправлений: 1)
  • maybe
    • gnupg & email
    • erlang, redis, rabbitmq, python, ssh
anonymous
()
Ответ на: комментарий от i3draven

если swarm, то можно встроенные docker secrets вместо vault

aol ★★★★★
()
Ответ на: комментарий от i3draven

В кровавом используют keycloak, чтобы как раз не хранить креды в приложениях и иметь возможность подключить любой вид аутентификации к клиенту, включая sso.

stave ★★★★★
()
Ответ на: комментарий от aol

Скорее всего, я чет увидел про 3 контейнера и подумал, что это только оно может быть.

pon4ik ★★★★★
()
Ответ на: комментарий от stave

Кейклок большой шибко. Есть такое, но не тот случай.

i3draven ★★
() автор топика
Ответ на: комментарий от slovazap

Вот там сложно все, аутентификаций много видов. Как минимум логопас и оаус2. Сервис стартанул. Спросил креды, это норм каждый раз даже. Запомнил. Но есть еще два сервиса и задача этими кредами с ними обменяться, для этого надо либо запросы от них принимать, либо общее хранилище иметь. Непонятно пока как быть простым способом.

i3draven ★★
() автор топика
Ответ на: комментарий от i3draven

Я бы написал простого демона из десятка строчек который слушает unix socket и раздаёт креды/принимает их обновления. Первый сервис его запускает (если он ещё не запущен), далее все общаются через него. Контроль доступа через права на сокет. При желании при отсутствии подключений к сокету сервис может самоприбиваться сразу или через какое-то время.

slovazap ★★★★★
()

Где хранить креды?

Лучше всего на балконе. Чтоб квартира не прованяла запахом носков недельной носки.

anonymous
()

в ведре же ключница есть, может подойдёт? man keyrings

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.