Как я могу безопасно сохранить свои секретные ключи и пароль в моей системе контроля версий?

Question

Как я могу безопасно сохранить свои секретные ключи и пароль в моей системе контроля версий?

123

Я сохраняю важные настройки, такие как имена хостов и порты серверов разработки и производства в моей системе управления версиями. Но я знаю, что это плохая практика хранить секреты (например, личные ключи и пароли базы данных) в репозитории VCS.

Но пароли - как и любые другие настройки - кажутся, что они должны быть версиями. Итак, каков правильный способ контроля версий паролей?

Я предполагаю, что это связано с сохранением секретов в их собственном файле настроек секретов и с зашифрованным файлом и контролем версий. Но какие технологии? И как это сделать правильно? Есть ли лучший способ сделать это?

Я задаю вопрос в целом, но в моем конкретном экземпляре я хотел бы хранить секретные ключи и пароли для сайта Django/Python с помощью git и github.

Кроме того, идеальное решение будет делать что-то волшебное, когда я нажимаю/тяну с помощью git - например, если файл зашифрованных паролей изменяется, выполняется script, который запрашивает пароль и расшифровывает его на месте.

EDIT: Для ясности я спрашиваю, где хранить секреты производства.

Chris W. 20 июль 2012, в 09:49

Источник

1

На самом деле выдать немного денег, чтобы весь репо был закрытым.
John Mee 20 июль 2012, в 08:22
25

@JohnMee Я на самом деле уже плачу за частный репозиторий, но суть остается неизменной - вы не должны хранить конфиденциальную информацию в своем репозитории.
Chris W. 20 июль 2012, в 08:25
1

Я думаю, что большую часть причин, по которым удовлетворительные ответы будет сложно получить, заключается в том, что старомодный пароль в виде открытого текста для подключения к базе данных является пережитком менее враждебной эпохи. Правильный ответ - что-то вроде «вашему коду не нужен секрет», но системы, к которым вы обращаетесь, не дают вам большого выбора.
msw 26 июль 2012, в 11:54
0

Будете ли вы получать доступ к этим конфиденциальным данным только из Python? Тогда я бы порекомендовал специальный объект файла.
User 29 июль 2012, в 19:13
0

@ user1320237 специальный файловый объект? Что это такое? Где я могу найти документацию?
Chris W. 30 июль 2012, в 16:49
3

Зачем? В паролях управления версиями для внешних сервисов есть большое значение. Основная ценность контроля версий заключается в том, что вы можете проверять исторические ревизии вашего приложения, которые, как известно, находятся в рабочем состоянии, и запускать их . Однако старые пароли для вас бесполезны. Если они были отозваны, они больше никогда не будут работать.
Colonel Panic 03 авг. 2012, в 11:07
0

@ColonelPanic, что вы говорите, имеет смысл, но в таком случае, что вы рекомендуете?
Jonathan Hartley 01 фев. 2013, в 16:11
1

Возможный дубликат: programmers.stackexchange.com/questions/205606/…
User 09 дек. 2013, в 15:36

Показать ещё 6 комментариев

Теги:

django

python

git

version-control

16 ответов

95

Вы совершенно правы, чтобы зашифровать свой файл конфиденциальных настроек, сохраняя при этом файл в контроле версий. Как вы упомянули, лучшим решением будет тот, в котором Git будет прозрачно шифровать некоторые чувствительные файлы, когда вы нажимаете их так, чтобы локально (то есть на любом компьютере с вашим сертификатом) вы могли использовать файл настроек, но Git или Dropbox или тот, кто хранит ваши файлы в VC, не имеет возможности читать информацию в открытом тексте.

Учебное пособие по прозрачному шифрованию/расшифровке во время Push/Pull

Этот gist https://gist.github.com/873637 показывает учебник о том, как использовать Git smudge/clean filter driver с помощью openssl для прозрачного шифрования файлов с нажатой, Вам просто нужно выполнить начальную настройку.

Краткое описание того, как это работает

В основном вы создаете папку .gitencrypt, содержащую 3 bash скрипта,

clean_filter_openssl 
smudge_filter_openssl 
diff_filter_openssl

которые используются Git для дешифрования, шифрования и поддержки Git diff. В этих сценариях определяется основная кодовая фраза и соль (исправлена!), И вы ДОЛЖНЫ гарантировать, что .gitencrypt никогда не нажимается. Пример clean_filter_openssl script:

#!/bin/bash

SALT_FIXED=<your-salt> # 24 or less hex characters
PASS_FIXED=<your-passphrase>

openssl enc -base64 -aes-256-ecb -S $SALT_FIXED -k $PASS_FIXED

Аналогичен для smudge_filter_open_ssl и diff_filter_oepnssl. См. Gist.

В вашем репо с конфиденциальной информацией должен быть файл .gitattribute(незашифрованный и включен в репо), который ссылается на каталог .gitencrypt(который содержит все Git, должен прозрачно шифровать/расшифровывать проект) и который присутствует на вашем локальном машина.

.gitattribute Содержание:

* filter=openssl diff=openssl
[merge]
    renormalize = true

Наконец, вам также необходимо добавить следующий файл в ваш .git/config файл

[filter "openssl"]
    smudge = ~/.gitencrypt/smudge_filter_openssl
    clean = ~/.gitencrypt/clean_filter_openssl
[diff "openssl"]
    textconv = ~/.gitencrypt/diff_filter_openssl

Теперь, когда вы нажимаете репозиторий, содержащий вашу конфиденциальную информацию, в удаленный репозиторий, файлы будут прозрачно шифроваться. Когда вы вытаскиваете с локального компьютера, который имеет каталог .gitencrypt(содержащий вашу кодовую фразу), файлы будут прозрачно дешифрованы.

Примечания

Я должен отметить, что в этом учебном пособии не описывается способ шифрования вашего файла настроек. Это будет прозрачно шифровать весь репозиторий, который будет перенаправлен на удаленный хост VC и расшифровать весь репозиторий, чтобы он был полностью расшифрован локально. Чтобы добиться желаемого поведения, вы можете разместить чувствительные файлы для одного или нескольких проектов в одном файле sensitive_settings_repo. Вы можете исследовать, как эта прозрачная технология шифрования работает с Git subodules http://git-scm.com/book/en/Git-Tools-Submodules, если вам действительно нужны конфиденциальные файлы в одном хранилище.

Использование фиксированной кодовой фразы может теоретически привести к грубой силе, если злоумышленники имеют доступ ко многим зашифрованным репозиториям/файлам. ИМО, вероятность этого очень низкая. В примечании в нижней части этого руководства упоминается, что использование фиксированной кодовой фразы приведет к локальным версиям репо на разных машинах, всегда показывающих, что изменения произошли с "git status".

dghubble 26 июль 2012, в 23:22

1

Ох, очень интересно. Это звучит почти так же, как то, что я хочу (за исключением шифрования всего хранилища).
Chris W. 27 июль 2012, в 21:21
0

Вы можете сохранить все файлы конфиденциальных настроек для нескольких приложений в одном зашифрованном репозитории или добавить зашифрованный репозиторий с конфиденциальными настройками в свой проект в виде подмодуля Git, как описано здесь git-scm.com/book/en/Git-Tools-Submodules ,
dgh 27 июль 2012, в 23:17
0

Хранение производственных паролей / настроек в (зашифрованных) подмодулях не является редкостью. stackoverflow.com/questions/11207284/… . Это даже облегчит управление настройками в разных проектах.
dgh 27 июль 2012, в 23:22
0

Возможно, стоит проверить github.com/AGWA/git-crypt для обновленного решения. Он имеет преимущество, заключающееся в том, что он позволяет кодировать отдельные файлы, и заявляет, что он «доказуемо семантически защищен». Автор самой идеи предположил, что этот инструмент лучше, по адресу github.com/shadowhand/git-encrypt .
geekley 17 июль 2018, в 16:25

Показать ещё 2 комментария

52

Heroku толкает использование переменных окружения для настроек и секретных ключей:

Традиционный подход для работы с такими конфигурационными vars заключается в том, чтобы помещать их в исходный код - в файл свойств какого-либо типа. Это процесс, подверженный ошибкам, и особенно сложен для приложений с открытым исходным кодом, которые часто должны поддерживать отдельные (и частные) ветки с конфигурациями, специфичными для приложения.

Лучшим решением является использование переменных среды и сохранение ключей вне кода. На традиционном хосте или работающем локально вы можете установить окружение vars в вашем bashrc. На Heroku вы используете config vars.

С файлами Foreman и .env Heroku предоставляет завидную инструментальную цепочку для экспорта, импорта и синхронизации переменных среды.

Лично я считаю неправильным сохранять секретные ключи вместе с кодом. Это принципиально несовместимо с контролем источника, потому что ключи предназначены для служб, которые являются неотъемлемой частью кода. Одним из преимуществ было бы то, что разработчик может клонировать HEAD и запускать приложение без какой-либо настройки. Однако предположим, что разработчик проверяет историческую ревизию кода. Их копия будет включать в себя пароль базы данных в прошлом году, поэтому приложение будет недоступно для сегодняшней базы данных.

С помощью метода Heroku выше разработчик может проверить прошлогоднее приложение, настроить его с помощью сегодняшних ключей и успешно запустить его с сегодняшней базой данных.

Colonel Panic 26 июль 2012, в 12:13

1

Этот ответ не имеет достаточного внимания, но он наиболее совпадает с образом Linux.
Nikolay Fominyh 01 авг. 2012, в 08:53
10

Так что, если в вашем bashrc установлены переменные среды, и вы развертываете новый сервер, то что создает bashrc? Разве это не просто перемещает пароли из репозитория исходного кода в конфигурацию развертывания? (что, по-видимому, также в репо с исходным кодом или в собственном репо?)
Jonathan Hartley 01 фев. 2013, в 16:14
0

@JonathanHartley, ваш .bashrc не должен быть в репозитории для вашего приложения Django.
Steve 11 май 2015, в 01:26
0

@ SteveSP Согласен! Я не совсем понимаю, к чему ты клонишь. Извините, чтобы быть плотным.
Jonathan Hartley 11 май 2015, в 14:03
0

@JonathanHartley Хм, может быть, я неправильно понял ваш комментарий? Похоже, вы говорили, что файл config / .bashrc был в репозитории с исходным кодом.
Steve 11 май 2015, в 17:23
3

Извините, мой комментарий неоднозначен, но это потому, что я искренне запутался. Мне нравится звучание этой точки зрения, но я никогда не понимал ее полностью. Если я выполняю развертывание в нескольких различных средах, каждая из которых содержит несколько хостов и, возможно, несколько типов хостов, то, очевидно, мне нужно автоматизировать создание файлов .bashrc, которые будут существовать на каждом хосте, чтобы установить его переменные среды. Итак, ответ говорит, что у меня должен быть второй репо, отдельный от моего источника, который содержит все параметры, которые станут переменными среды в .bashrc при развертывании?
Jonathan Hartley 12 май 2015, в 08:39
0

@JonathanHartley Я не думаю, что вам нужно автоматизировать создание .bashrc. Вы могли бы использовать некоторые центральные вики или README или что-то (что не отслеживается в VCS и к которому имеют доступ только сотрудники компании), которое содержит эти пароли и инструкции о том, как установить их в качестве переменных среды. Переменные среды необходимо настраивать только один раз, чтобы каждый разработчик делал это при первой настройке своих ноутбуков (или серверов для подготовки / производства).
Steve 15 май 2015, в 14:53
1

Они должны быть настроены только один раз на машину, на которой вы развертываете. Если ваш процесс развертывания «раскрутить новую машину и проверить, что она в порядке, прежде чем перенаправлять трафик на нее, а затем выстрелить старой в голову», что, по моему мнению, является наилучшей практикой, вам действительно нужно автоматизировать создание того, что устанавливает env vars.
Jonathan Hartley 18 май 2015, в 09:24
0

@JonathanHartley Я бы сказал, что если вы хотите автоматизировать развертывание, то вы храните пароли для развертывания в этой системе. Они не имеют ничего общего с репо разработки. например, если используется что-то вроде puppet, puppet отвечает за развертывание bashrc, поэтому пароли управляются внутри него.
danio 27 янв. 2017, в 17:01

Показать ещё 7 комментариев

16

Самый чистый способ, на мой взгляд, - использовать переменные среды. Например, вам не придется иметь дело с файлами .dist, а состояние проекта в рабочей среде будет таким же, как у вашей локальной машины.

Я рекомендую прочитать главу The Twelve-Factor App, остальные тоже, если вам интересно.

Samy Dindane 20 июль 2012, в 10:41

6

Кажется, что переменные среды - хороший способ запустить приложение с секретными настройками ... но это все еще не отвечает на вопрос, где хранить эти настройки.
Chris W. 27 июль 2012, в 21:22
2

Обычно у вас должен быть файл README для каждого из ваших приложений. Там укажите, какие переменные среды должны быть установлены, и каждый раз, когда вы развертываете проект, просто следуйте инструкциям и установите каждую из них. Вы также можете создать скрипт с большим количеством export MY_ENV_VAR= , и при развертывании, просто заполнить его с нужными значениями и source его. Если под « держать» вы подразумеваете версию настроек, вам не следует делать это в первую очередь.
Samy Dindane 27 июль 2012, в 22:46
0

Кроме того, upvote для приложения Twelve-Factor - действительно замечательный материал.
Chris W. 01 авг. 2012, в 07:05
4

@Samy: А если у вас автоматическое развертывание?
Jonathan Hartley 01 фев. 2013, в 16:15
0

@JonathanHartley: Обновление производственной среды не должно изменять переменные среды. Если вы хотите обновить их, вы должны сделать это вручную, независимо от того, используете ли вы новую версию приложения или нет.
Samy Dindane 01 фев. 2013, в 18:19
0

Я обеспокоен случаем создания новых экземпляров сервера. Это может быть сделано автоматически для масштабирования трафика, или для некоторых магазинов это обычная часть развертывания новой версии вашего приложения. Установка переменных среды вручную каждый раз не представляется целесообразной в этих случаях.
Jonathan Hartley 02 фев. 2013, в 19:14
0

@JonathanHartley Я не специалист в данной области, но самый простой способ, о котором я могу думать, - это сценарий оболочки, который создает другой сценарий, который будет использоваться для установки всех необходимых переменных среды (на других серверах) за одно выполнение.
Samy Dindane 03 фев. 2013, в 12:03
0

@Samy: Правильно, это имеет смысл, и это, где мои мысли тоже направлялись. Но в этом случае сценарий оболочки хранится в репозитории исходного кода, верно? Итак, мы вернулись к тому, с чего начали проблему ОП.
Jonathan Hartley 04 фев. 2013, в 10:26
0

@JonathanHartley: я не считаю плохой идеей создание версий полезных скриптов. Сгенерированный скрипт должен быть проигнорирован.
Samy Dindane 04 фев. 2013, в 16:01
0

@Samy: мы говорим о сгенерированном сценарии? Я пропустил эту часть. Что это порождает и когда? Спасибо тебе за твое терпение.
Jonathan Hartley 04 фев. 2013, в 21:53
0

@JonathanHartley: два ответа перед этим, я говорил о сценарии, который создает другой. :) Нет проблем, рад помочь.
Samy Dindane 05 фев. 2013, в 20:24
3

@Samy Я до сих пор не понимаю, как будут установлены переменные окружения. Страница с 12-факторным приложением также не проясняет это (если только вы не на Heroku, которым не является мой текущий проект). Мы говорим, что генерирующий скрипт должен спросить центральное хранилище конфигурации: «Я машина X, пожалуйста дай мне мои данные конфигурации ", и это отвечает значениями переменных среды, которые должны быть установлены. В этом случае я не думаю, что вам нужен сгенерированный скрипт больше. Я дико размышляю здесь, я лаю правильное дерево?
Jonathan Hartley 08 фев. 2013, в 14:33

Показать ещё 10 комментариев

11

Опция должна заключаться в том, чтобы поместить связанные с проектом учетные данные в зашифрованный контейнер (TrueCrypt или Keepass) и нажать его.

Обновить как ответ из моего комментария ниже:

Интересный вопрос кстати. Я просто нашел это: github.com/shadowhand/git-encrypt, который выглядит очень перспективным для автоматического шифрования

schneck 20 июль 2012, в 08:15

0

Было бы неплохо иметь что-то, что я мог бы автоматизировать. Так что если мой зашифрованный файл паролей изменится, он автоматически расшифрует новый файл.
Chris W. 20 июль 2012, в 08:21
7

Интересный вопрос, кстати. Я только что нашел это: github.com/shadowhand/git-encrypt, который выглядит очень перспективным для автоматического шифрования.
schneck 20 июль 2012, в 08:24
1

Вау, отлично. Описание git-encrypt звучит как то, что я ищу: «При работе с удаленным git-репозиторием, размещенным на стороннем сервере хранения, конфиденциальность данных иногда становится проблемой. В этой статье описываются процедуры настройки. up git repositories, для которых ваши локальные рабочие каталоги работают как обычно (не зашифрованы), но зафиксированный контент зашифрован ». (Конечно, я хочу только зашифрованную часть моего контента ...)
Chris W. 20 июль 2012, в 08:27
0

@schneck опубликуйте свой комментарий как ответ, чтобы Крис мог принять его - похоже, это то, что он ищет.
Tony Abou-Assaleh 27 июль 2012, в 18:31
0

@ TonyAbou-Assaleh я сделал, спасибо за подсказку :)
schneck 30 июль 2012, в 13:06

Показать ещё 3 комментария

9

Я предлагаю использовать файлы конфигурации для этого и не выполнять их.

Однако вы можете использовать примеры файлов.

Я не вижу проблем с совместным использованием настроек разработки. По определению он не должен содержать никаких ценных данных.

tiktak 20 июль 2012, в 10:04

1

Но тогда где хранить канонические записи пароля? Это заставит меня нервничать, если эти данные будут храниться только в файле конфигурации на машине, которая может взорваться когда-нибудь.
Chris W. 20 июль 2012, в 08:23
0

@ChrisW. Если машина выходит из строя, вам больше не нужен пароль ... Однако, если у вас есть только одна копия данных на рабочем компьютере, это должно поднять красный флаг. Но это не значит, что это должно быть в VCS. Должен быть RAID, полные резервные копии, дополненные инкрементными резервными копиями на магнитных и оптических носителях. Многие корпорации имеют процедуру контроля изменений, которая может определять, как и где хранить пароли и другие конфиденциальные материалы на бумаге.
Steve Buzonas 29 июль 2012, в 16:58
0

@ChrisW Я не хочу быть грубым, но, похоже, вы не говорите нам правду, а пароли, которые вы хотите сохранить, используются не в разработке, а в производстве. Разве это не правда? В противном случае, зачем вам компьютер для разработки или тестирования и пароли для разработки? Никто бы не сделал это.
tiktak 30 июль 2012, в 17:59
0

Кстати, в нашей компании все пароли для разработки доступны на бумаге и во внутренней сети. Потому что они не имеют значения. Они там, потому что программное обеспечение, которое мы разрабатываем, требует аутентификации.
tiktak 30 июль 2012, в 18:01
0

@tiktak, вы правы - мой вопрос о том, что делать с производственными паролями. Я не особенно беспокоюсь о хранении паролей разработки в A VCS в открытом виде. Извините, если я не прояснил это достаточно.
Chris W. 30 июль 2012, в 21:21

Показать ещё 3 комментария

7

BlackBox был недавно выпущен StackExchange, и пока я еще не использовал его, он, похоже, точно решает проблемы и поддерживает функции, заданные в этом вопросе.

Из описания https://github.com/StackExchange/blackbox:

Безопасное хранение секретов в репозитории VCS (т.е. Git или Mercurial). Эти команды упрощают для вас GPG шифрование определенных файлов в режиме репо поэтому они "зашифрованы в покое" в вашем репозитории. Однако скрипты упрощают их расшифровку, когда вам нужно просматривать или редактировать их, и расшифровать их для использования в производстве.

Chris W. 03 сен. 2014, в 23:04

5

Я задаю вопрос в целом, но в моем конкретном случае я бы хотел хранить секретные ключи и пароли для сайта Django/Python с помощью gitи github.

Нет, просто нет, даже если это ваше личное репо, и вы никогда не собираетесь делиться им, не делайте этого.

Вы должны создать local_settings.py поставить его на VCS игнорировать и в settings.py сделать что-то вроде

from local_settings import DATABASES, SECRET_KEY
DATABASES = DATABASES

SECRET_KEY = SECRET_KEY

Если ваши настройки секретов настолько универсальны, я очень хочу сказать, что вы что-то делаете неправильно

Hedde van der Heide 20 июль 2012, в 11:16

8

Но мне все равно нужно где-то отслеживать эти секреты. Например, клавиша или что-то в этом роде, верно?
Chris W. 20 июль 2012, в 21:44
0

Регулирование и осуществление хранения личных данных зависит от политики компании, для которой проект. Я очень сомневаюсь, что исходный код проекта является подходящим местом, так как любой сторонний тестировщик или программист мог увидеть это
Hedde van der Heide 24 нояб. 2016, в 11:25

4

EDIT: Я предполагаю, что вы хотите отслеживать свои предыдущие версии паролей - скажем, для script, которые предотвратили бы повторное использование паролей и т.д.

Я думаю, что GnuPG - лучший способ - он уже используется в одном проекте git (git -annex) для шифрования содержимого репозитория, хранящегося в облачных сервисах. GnuPG (gnu pgp) обеспечивает очень сильное шифрование на основе ключей.

Вы сохраняете ключ на своей локальной машине.
Вы добавляете "mypassword" к игнорируемым файлам.
В режиме pre-commit hook вы зашифровываете файл mypassword в файле mypassword.gpg, отслеживаемом git, и добавляете его в commit.
На крюке после слияния вы просто расшифровываете mypassword.gpg в mypassword.

Теперь, если ваш файл "mypassword" не изменился, тогда шифрование приведет к тому же зашифрованному тексту, и оно не будет добавлено в индекс (без избыточности). Небольшая модификация mypassword приводит к радикально различаемому зашифрованному тексту, а mypassword.gpg в промежуточной области сильно отличается от той, что находится в репозитории, поэтому будет добавлена в фиксацию. Даже если злоумышленник завладеет вашим ключом gpg, ему все равно нужно переубедить пароль. Если злоумышленник получает доступ к удаленному репозиторию с зашифрованным текстом, он может сравнить кучу зашифрованных текстов, но их количество не будет достаточным, чтобы дать ему какое-либо незначительное преимущество.

Позже вы можете использовать .gitattributes, чтобы обеспечить дешифрование "на лету" для выхода из вашего пароля git.

Также вы можете иметь отдельные ключи для разных типов паролей и т.д.

pielgrzym 20 июль 2012, в 11:22

3

Предоставить способ переопределить конфигурацию

Это лучший способ управлять набором нормальных значений по умолчанию для конфигурации, которую вы проверите, не требуя завершения конфигурации, или содержать такие вещи, как имена хостов и учетные данные. Существует несколько способов переопределения конфигураций по умолчанию.

Переменные среды (как уже упоминалось ранее) - это один из способов сделать это.

Лучший способ - найти внешний файл конфигурации, который переопределяет значения конфигурации по умолчанию. Это позволяет вам управлять внешними конфигурациями через систему управления конфигурацией, такую как Chef, Puppet или Cfengine. Управление конфигурацией - это стандартный ответ для управления конфигурациями отдельно от кодовой базы, поэтому вам не нужно делать выпуск для обновления конфигурации на одном хосте или группе хостов.

FYI: Шифрование кредитов не всегда является лучшей практикой, особенно в месте с ограниченными ресурсами. Возможно, шифрование кредитов не приведет к дополнительным смягчениям риска и просто добавит ненужный уровень сложности. Перед принятием решения убедитесь, что вы сделали правильный анализ.

dietbuddha 27 июль 2012, в 15:12

2

Если вам нужны VCS для ваших секретов, вы должны хотя бы сохранить их во втором хранилище, отделенном от вашего фактического кода. Таким образом, вы можете предоставить членам вашей команды доступ к репозиторию исходного кода, и они не будут видеть ваши учетные данные. Кроме того, размещайте этот репозиторий где-нибудь в другом месте (например, на своем собственном сервере с зашифрованной файловой системой, а не на github), и для проверки его в производственной системе вы можете использовать что-то вроде git -подмодуль.

Bernhard Vallant 30 июль 2012, в 11:11

2

Нет, личные ключи и пароли не попадают под контроль версий. Нет никаких оснований для того, чтобы обременять каждого доступным для чтения к вашему репозиторию знанием конфиденциальных учетных данных службы, используемых в производстве, когда, скорее всего, не все из них должны иметь доступ к этим услугам.

Начиная с Django 1.4, ваши проекты Django теперь поставляются с модулем project.wsgi, который определяет application объект, и это идеальное место для начала использования модуля настроек project.local, который содержит настройки для конкретного сайта.

Этот модуль настроек игнорируется из контроля версий, но его присутствие требуется при запуске экземпляра проекта в качестве приложения WSGI, типичного для производственных сред. Вот как это должно выглядеть:

import os

os.environ.setdefault("DJANGO_SETTINGS_MODULE", "project.local")

# This application object is used by the development server
# as well as any WSGI server configured to use this file.
from django.core.wsgi import get_wsgi_application
application = get_wsgi_application()

Теперь у вас может быть модуль local.py, владелец и группа которого могут быть настроены таким образом, чтобы только пользовательский персонал и процессы Django могли читать содержимое файла.

Filip Dupanović 29 июль 2012, в 22:46

2

Зашифровать файл паролей, используя, например, GPG. Добавьте ключи на свой локальный компьютер и на свой сервер. Расшифруйте файл и поместите его за пределы своих репозиториев.

Я использую passwords.conf, который находится в моей домашней папке. При каждом развертывании этот файл обновляется.

Willian 26 июль 2012, в 11:16

0

Затем программное обеспечение должно расшифровать файл паролей.
tiktak 30 июль 2012, в 18:05
0

Ну, только при развертывании сайта пароль расшифровывается и записывается в текстовый файл пароля
Willian 31 июль 2012, в 07:21

2

Обычно я разделяю пароль как файл конфигурации. и сделать их dist.

/yourapp
    main.py
    default.cfg.dist

И когда я запустил main.py, поместите настоящий пароль в default.cfg, который скопирован.

пс. когда вы работаете с git или hg. вы можете игнорировать файлы *.cfg, чтобы сделать .gitignore или .hgignore

admire 20 июль 2012, в 08:41

0

Я не знаком с файлами .dist - как они работают?
Chris W. 30 июль 2012, в 16:53
0

Файлы .dist - это то, о чем я говорил: примеры реальных файлов конфигурации. Хорошей практикой является возможность запуска программного обеспечения только путем переименования, удалив расширение «.dist» (или лучше: копирование), то есть вы сможете попробовать программное обеспечение за считанные секунды, не настраивая его во время целый день.
tiktak 30 июль 2012, в 18:04

1

Другой подход может заключаться в том, чтобы полностью избежать сохранения секретов в системах управления версиями и вместо этого использовать такой инструмент, как хранилище из hashicorp, секретное хранилище с ключом катив и аудит, с API и встроенным шифрованием.

Kai Peters 06 окт. 2016, в 10:49

0

Вы можете использовать EncFS, если ваша система предоставляет это. Таким образом, вы можете хранить ваши зашифрованные данные в виде подпапки вашего репозитория, предоставляя приложению ваше дешифрованное представление к данным, собранным в стороне. Поскольку шифрование является прозрачным, никаких специальных операций не требуется при нажатии или нажатии.

Тем не менее, необходимо будет установить папки EncFS, которые могут быть выполнены вашим приложением на основе пароля, хранящегося в другом месте за пределами версий версий (например, переменных среды).

dronus 29 июль 2012, в 23:06

Ещё вопросы

На самом деле выдать немного денег, чтобы весь репо был закрытым.
@JohnMee Я на самом деле уже плачу за частный репозиторий, но суть остается неизменной - вы не должны хранить конфиденциальную информацию в своем репозитории.
Я думаю, что большую часть причин, по которым удовлетворительные ответы будет сложно получить, заключается в том, что старомодный пароль в виде открытого текста для подключения к базе данных является пережитком менее враждебной эпохи. Правильный ответ - что-то вроде «вашему коду не нужен секрет», но системы, к которым вы обращаетесь, не дают вам большого выбора.
Будете ли вы получать доступ к этим конфиденциальным данным только из Python? Тогда я бы порекомендовал специальный объект файла.
@ user1320237 специальный файловый объект? Что это такое? Где я могу найти документацию?
Зачем? В паролях управления версиями для внешних сервисов есть большое значение. Основная ценность контроля версий заключается в том, что вы можете проверять исторические ревизии вашего приложения, которые, как известно, находятся в рабочем состоянии, и запускать их . Однако старые пароли для вас бесполезны. Если они были отозваны, они больше никогда не будут работать.
@ColonelPanic, что вы говорите, имеет смысл, но в таком случае, что вы рекомендуете?
Возможный дубликат: programmers.stackexchange.com/questions/205606/…
Ох, очень интересно. Это звучит почти так же, как то, что я хочу (за исключением шифрования всего хранилища).
Вы можете сохранить все файлы конфиденциальных настроек для нескольких приложений в одном зашифрованном репозитории или добавить зашифрованный репозиторий с конфиденциальными настройками в свой проект в виде подмодуля Git, как описано здесь git-scm.com/book/en/Git-Tools-Submodules ,
Хранение производственных паролей / настроек в (зашифрованных) подмодулях не является редкостью. stackoverflow.com/questions/11207284/… . Это даже облегчит управление настройками в разных проектах.
Возможно, стоит проверить github.com/AGWA/git-crypt для обновленного решения. Он имеет преимущество, заключающееся в том, что он позволяет кодировать отдельные файлы, и заявляет, что он «доказуемо семантически защищен». Автор самой идеи предположил, что этот инструмент лучше, по адресу github.com/shadowhand/git-encrypt .
Этот ответ не имеет достаточного внимания, но он наиболее совпадает с образом Linux.
Так что, если в вашем bashrc установлены переменные среды, и вы развертываете новый сервер, то что создает bashrc? Разве это не просто перемещает пароли из репозитория исходного кода в конфигурацию развертывания? (что, по-видимому, также в репо с исходным кодом или в собственном репо?)
@JonathanHartley, ваш .bashrc не должен быть в репозитории для вашего приложения Django.
@ SteveSP Согласен! Я не совсем понимаю, к чему ты клонишь. Извините, чтобы быть плотным.
@JonathanHartley Хм, может быть, я неправильно понял ваш комментарий? Похоже, вы говорили, что файл config / .bashrc был в репозитории с исходным кодом.
Извините, мой комментарий неоднозначен, но это потому, что я искренне запутался. Мне нравится звучание этой точки зрения, но я никогда не понимал ее полностью. Если я выполняю развертывание в нескольких различных средах, каждая из которых содержит несколько хостов и, возможно, несколько типов хостов, то, очевидно, мне нужно автоматизировать создание файлов .bashrc, которые будут существовать на каждом хосте, чтобы установить его переменные среды. Итак, ответ говорит, что у меня должен быть второй репо, отдельный от моего источника, который содержит все параметры, которые станут переменными среды в .bashrc при развертывании?
@JonathanHartley Я не думаю, что вам нужно автоматизировать создание .bashrc. Вы могли бы использовать некоторые центральные вики или README или что-то (что не отслеживается в VCS и к которому имеют доступ только сотрудники компании), которое содержит эти пароли и инструкции о том, как установить их в качестве переменных среды. Переменные среды необходимо настраивать только один раз, чтобы каждый разработчик делал это при первой настройке своих ноутбуков (или серверов для подготовки / производства).
Они должны быть настроены только один раз на машину, на которой вы развертываете. Если ваш процесс развертывания «раскрутить новую машину и проверить, что она в порядке, прежде чем перенаправлять трафик на нее, а затем выстрелить старой в голову», что, по моему мнению, является наилучшей практикой, вам действительно нужно автоматизировать создание того, что устанавливает env vars.
@JonathanHartley Я бы сказал, что если вы хотите автоматизировать развертывание, то вы храните пароли для развертывания в этой системе. Они не имеют ничего общего с репо разработки. например, если используется что-то вроде puppet, puppet отвечает за развертывание bashrc, поэтому пароли управляются внутри него.
Кажется, что переменные среды - хороший способ запустить приложение с секретными настройками ... но это все еще не отвечает на вопрос, где хранить эти настройки.
Обычно у вас должен быть файл README для каждого из ваших приложений. Там укажите, какие переменные среды должны быть установлены, и каждый раз, когда вы развертываете проект, просто следуйте инструкциям и установите каждую из них. Вы также можете создать скрипт с большим количеством export MY_ENV_VAR= , и при развертывании, просто заполнить его с нужными значениями и source его. Если под « держать» вы подразумеваете версию настроек, вам не следует делать это в первую очередь.
Кроме того, upvote для приложения Twelve-Factor - действительно замечательный материал.
@Samy: А если у вас автоматическое развертывание?
@JonathanHartley: Обновление производственной среды не должно изменять переменные среды. Если вы хотите обновить их, вы должны сделать это вручную, независимо от того, используете ли вы новую версию приложения или нет.
Я обеспокоен случаем создания новых экземпляров сервера. Это может быть сделано автоматически для масштабирования трафика, или для некоторых магазинов это обычная часть развертывания новой версии вашего приложения. Установка переменных среды вручную каждый раз не представляется целесообразной в этих случаях.
@JonathanHartley Я не специалист в данной области, но самый простой способ, о котором я могу думать, - это сценарий оболочки, который создает другой сценарий, который будет использоваться для установки всех необходимых переменных среды (на других серверах) за одно выполнение.
@Samy: Правильно, это имеет смысл, и это, где мои мысли тоже направлялись. Но в этом случае сценарий оболочки хранится в репозитории исходного кода, верно? Итак, мы вернулись к тому, с чего начали проблему ОП.
@JonathanHartley: я не считаю плохой идеей создание версий полезных скриптов. Сгенерированный скрипт должен быть проигнорирован.
@Samy: мы говорим о сгенерированном сценарии? Я пропустил эту часть. Что это порождает и когда? Спасибо тебе за твое терпение.
@JonathanHartley: два ответа перед этим, я говорил о сценарии, который создает другой. :) Нет проблем, рад помочь.
@Samy Я до сих пор не понимаю, как будут установлены переменные окружения. Страница с 12-факторным приложением также не проясняет это (если только вы не на Heroku, которым не является мой текущий проект). Мы говорим, что генерирующий скрипт должен спросить центральное хранилище конфигурации: «Я машина X, пожалуйста дай мне мои данные конфигурации ", и это отвечает значениями переменных среды, которые должны быть установлены. В этом случае я не думаю, что вам нужен сгенерированный скрипт больше. Я дико размышляю здесь, я лаю правильное дерево?
Было бы неплохо иметь что-то, что я мог бы автоматизировать. Так что если мой зашифрованный файл паролей изменится, он автоматически расшифрует новый файл.
Интересный вопрос, кстати. Я только что нашел это: github.com/shadowhand/git-encrypt, который выглядит очень перспективным для автоматического шифрования.
Вау, отлично. Описание git-encrypt звучит как то, что я ищу: «При работе с удаленным git-репозиторием, размещенным на стороннем сервере хранения, конфиденциальность данных иногда становится проблемой. В этой статье описываются процедуры настройки. up git repositories, для которых ваши локальные рабочие каталоги работают как обычно (не зашифрованы), но зафиксированный контент зашифрован ». (Конечно, я хочу только зашифрованную часть моего контента ...)
@schneck опубликуйте свой комментарий как ответ, чтобы Крис мог принять его - похоже, это то, что он ищет.
@ TonyAbou-Assaleh я сделал, спасибо за подсказку :)
Но тогда где хранить канонические записи пароля? Это заставит меня нервничать, если эти данные будут храниться только в файле конфигурации на машине, которая может взорваться когда-нибудь.
@ChrisW. Если машина выходит из строя, вам больше не нужен пароль ... Однако, если у вас есть только одна копия данных на рабочем компьютере, это должно поднять красный флаг. Но это не значит, что это должно быть в VCS. Должен быть RAID, полные резервные копии, дополненные инкрементными резервными копиями на магнитных и оптических носителях. Многие корпорации имеют процедуру контроля изменений, которая может определять, как и где хранить пароли и другие конфиденциальные материалы на бумаге.
@ChrisW Я не хочу быть грубым, но, похоже, вы не говорите нам правду, а пароли, которые вы хотите сохранить, используются не в разработке, а в производстве. Разве это не правда? В противном случае, зачем вам компьютер для разработки или тестирования и пароли для разработки? Никто бы не сделал это.
Кстати, в нашей компании все пароли для разработки доступны на бумаге и во внутренней сети. Потому что они не имеют значения. Они там, потому что программное обеспечение, которое мы разрабатываем, требует аутентификации.
@tiktak, вы правы - мой вопрос о том, что делать с производственными паролями. Я не особенно беспокоюсь о хранении паролей разработки в A VCS в открытом виде. Извините, если я не прояснил это достаточно.
Но мне все равно нужно где-то отслеживать эти секреты. Например, клавиша или что-то в этом роде, верно?
Регулирование и осуществление хранения личных данных зависит от политики компании, для которой проект. Я очень сомневаюсь, что исходный код проекта является подходящим местом, так как любой сторонний тестировщик или программист мог увидеть это
Затем программное обеспечение должно расшифровать файл паролей.
Ну, только при развертывании сайта пароль расшифровывается и записывается в текстовый файл пароля
Я не знаком с файлами .dist - как они работают?
Файлы .dist - это то, о чем я говорил: примеры реальных файлов конфигурации. Хорошей практикой является возможность запуска программного обеспечения только путем переименования, удалив расширение «.dist» (или лучше: копирование), то есть вы сможете попробовать программное обеспечение за считанные секунды, не настраивая его во время целый день.

Chris W. · Accepted Answer · 2017-01-13T23-40-00.000Z

Спрашивая этот вопрос, я решил использовать решение, которое я использую при разработке небольшого приложения с небольшой командой людей.

git-crypt

git -crypt использует GPG для прозрачного шифрования файлов, когда их имена соответствуют определенным шаблонам. Для intance, если вы добавили в свой файл .gitattributes...

*.secret.* filter=git-crypt diff=git-crypt

... тогда файл типа config.secret.json всегда будет перенаправлен на удаленные репозитории с помощью шифрования, но останется незашифрованным в локальной файловой системе.

Если я хочу добавить к вашему репо новый ключ GPG (человек), который может расшифровать защищенные файлы, запустите git-crypt add-gpg-user <gpg_user_key>. Это создает новую фиксацию. Новый пользователь сможет расшифровать последующие коммиты.