Est-il sécuritaire de stocker les mots de passe comme des variables d'environnement (plutôt qu'en texte brut) dans les fichiers de config?

Je travaille sur quelques applications dans les rails, django (et un peu de php), et l'une des choses que j'ai commencé à faire de certains d'entre eux est le stockage de base de données et autres mots de passe comme des variables d'environnement plutôt que du texte brut dans certains fichiers de configuration (ou dans settings.py pour django apps).

En discutant de cela avec un de mes collaborateurs, il a suggéré que c'est une mauvaise pratique que peut-être ce n'est pas aussi parfaitement sécurisé comme il pourrait sembler à première vue.

Donc, je voudrais savoir: est - ce une pratique sécurisée? Est-il plus sécurisé pour stocker les mots de passe en texte brut dans ces fichiers (en s'assurant, bien sûr, de ne pas laisser ces fichiers en public repos ou de quoi que ce soit)?

  • Heroku mandats que vous obtenez de la base de données des mots de passe à partir des variables d'environnement - ils doivent avoir pris en compte ces risques souligné ici, mais semble toujours être l'option gagnante.
  • Comment êtes-vous de chargement de la variable d'environnement? Est-ce à partir d'un fichier?
  • Mon vieux de vérification sur cette question: security.stackexchange.com/questions/20282/...
  • Même env vars et les fichiers dans le dossier d'accueil utilisateur de paradigme pour AWS. [docs.aws.amazon.com/cli/latest/userguide/...
  • Je suppose que la réponse à cette question dépendra fortement de l'OS, c'est différent sur Linux et Windows par exemple.
InformationsquelleAutor jay | 2012-09-17
  1. 32

    Sur un niveau plus théorique, j'ai tendance à penser à des niveaux de sécurité dans l'une des manières suivantes (dans l'ordre croissant de la résistance) :

    • Pas de sécurité. Texte brut. Toute personne qui sait où chercher, peuvent accéder aux données.
    • De sécurité par l'Obscurcissement. Vous stockez les données (texte en clair) dans un endroit délicat, comme une variable d'environnement, ou dans un fichier qui est censé ressembler à un fichier de configuration. Un attaquant finira par comprendre ce qu'il se passe, ou de tomber sur elle.
    • La sécurité par le chiffrement qui est facile à briser, (pensez à césar de chiffre!).
    • La sécurité par le chiffrement qui peut être rompu avec un certain effort.
    • La sécurité par le chiffrement qui est impossible à briser, compte tenu du matériel.
    • Le système le plus sécurisé est celui que personne ne peut l'utiliser! 🙂

    Les variables d'environnement sont plus sûr que les fichiers de texte, parce qu'ils sont volatils/jetable, pas sauvegardé;
    c'est à dire si vous ne définissez que local, variable d'environnement, comme "ensemble pwd=que ce soit," et puis d'exécuter le script,
    avec quelque chose qui sort de votre commande shell à la fin du script, la variable n'existe plus.
    Votre cas se situe dans les deux premières, qui je dirais est assez précaire. Si vous allez pour ce faire, je ne recommanderais pas de déploiement à l'extérieur de votre intranet/réseau domestique, et alors seulement pour des fins de test.

    • Et où est la comparaison entre les variables d'environnement et les fichiers de texte brut?
    • Je dirais texte en clair est "Pas de Sécurité", et à l'aide de variables d'environnement, Par "Obfuscation" -- votre essentiellement les mettre quelque part où les gens ne sera probablement pas regarder, ou ne peut pas les reconnaître comme des mots de passe, mais si elles ne vous êtes arrosé.
    • Intéressant. Merci beaucoup pour cette réponse. Donc les variables d'environnement ne sont pas tellement mieux que du texte brut, alors?
    • Aussi, pour les trois options "la Sécurité par le chiffrement que..." comment faire fonctionner ces systèmes? Par exemple, j'ai besoin de mon site pour être en mesure d'utiliser les expéditeurs et amazon aws; comme je le comprends, je l'app d'avoir le nom d'utilisateur et le mot de passe pour le lien vers ces.
    • Il dépend du système d'exploitation -- Dans le meilleur des cas, les variables d'environnement sont aussi vulnérables que les fichiers de texte, mais les chances sont de pire en pire. Avec les fichiers de texte, vous pouvez définir les autorisations de lecture sur les fichiers/répertoires pour les protéger. IIRC pour les variables d'environnement, ils vivent dans l'espace mémoire pour le processus de shell, de sorte que l'esprit d'entreprise cracker pu balayer l'espace à la recherche pour eux.
    • Et il y a plusieurs façons d'écrire une variable d'environnement.
    • Le problème est que les variables d'environnement doivent être lues à partir de quelque part sur le démarrage, droit? Si il l'a lu à partir d'un fichier texte en clair, vous êtes dans le même endroit où vous avez été avant en termes de sécurité. Ne Heroku fournir un moyen de spécifier une variable d'environnement par le biais de leur interface graphique interface du tableau de bord, de sorte que la variable sera chargé automatiquement au redémarrage du serveur? Si cela pouvait être fait en toute sécurité, il serait vraiment sympa pour économiser de l'application de stocker le mot de passe dans un fichier. J'utilise AWS, et je ne pense pas qu'il dispose de cette option.

    InformationsquelleAutor John Carter
  2. 50

    Comme mentionné avant, les deux méthodes ne fournissent pas toute couche supplémentaire de "sécurité" une fois que votre système est compromise. Je crois que l'une des plus fortes raisons parlent en faveur des variables d'environnement est le contrôle de version: j'ai vu beaucoup trop de configurations de base de données etc. être accidentellement stockées dans le système de contrôle de version comme GIT pour tous les autres développeurs de voir (et oups! il m'est arrivé aussi ...).

    Pas de stocker vos mots de passe dans des fichiers, il est impossible pour eux d'être stockés dans le système de contrôle de version.

    • Une jolie alternative raisonnable à la pas stockage secret des paramètres de configuration dans le contrôle de version est de les stocker dans un référentiel de contrôle de version ou d'un projet distinct dans le référentiel pour le code.
    • qui laisse encore non sécurisée, mots de passe en clair dans un emplacement partagé que toute personne ayant accès à l'espace de stockage peut trouver et aucun moyen de savoir qui a consulté.
    • Bien sûr, toute personne ayant accès à la logithèque ... peut accéder au référentiel. Le point de stocker des secrets dans un distinct référentiel est exactement à ce qu'on pourrait contrôler l'accès à ces secrets différemment que le code lui-même. Mais les référentiels peuvent être obtenues, par exemple, vous pouvez stocker les secrets crypté dans la commune de localisation". Et vous pouvez même suivre les infos à propos de l'accès au répertoire à l'emplacement partagé. Mais, bien sûr, de permettre à quiconque d'accéder à info implique qu'ils peuvent copier cette info, et donc l'accès à n'importe quel moment dans le futur sans aucune restriction ou de suivi.
    • Bonne raison d'utiliser une configuration de la solution de gestion qui vous permet de stocker chiffré secrets, puis les remplacer dans la configuration des modèles à temps de rendu. Le Chef a des données chiffrées sacs, Ansible a des voûtes, etc.
    • Ceci est appelé l'Accès Privilégié de Gestion, où les secrets sont centralisés dans une PAM de la Voûte avec un système complet de contrôles d'accès. Gartner listes des certains de ces produits.
    InformationsquelleAutor emrass
  3. 37

    Chaque fois que vous devez stocker un mot de passe, c'est l'insécurité. Période. Il n'y a aucun moyen de stocker des nations unies mot de passe crypté en toute sécurité. Maintenant que des variables d'environnement vs fichiers de config est plus "secure" est peut-être discutable. À mon humble avis, si votre système est compromis, il n'a pas vraiment d'importance où il est stocké, bon hacker peut en suivre la trace.

    • Pour les variables d'environnement, je suis dans l'attente d'unix ici... les variables d'Environnement sont de moins en moins sûre de fichiers. N'importe qui peut vérifier l'environnement d'un processus en cours d'exécution, mais les fichiers peuvent au moins avoir des Acl.
    • Étant donné que le développeur n'a pas à stocker ces mots de passe, ce n'est pas un très utile de répondre. Où avez-vous penser qu'il ne les conserver?
    • C'est le point. Si il est pour les stocker, il peut les stocker où il a sacrément bien lui plaît. Il pourrait tout aussi bien faire l'sysmessage lors de la connexion. L'insécurité est l'insécurité. Une fois que vous avez jeté à la sécurité de la fenêtre, c'est un champ ouvert.
    • vraiment Windows est plus sécurisé que les *nix dans ce cas? Dans Windows, les Variables d'Environnement Utilisateur sont uniquement accessibles à l'utilisateur et à l'administrateur.
    • Il peut y avoir quelques différences entre les environnements unix, mais dans le cas général, oui, si vous pouvez voir les arguments donnés à un binaire, vous pouvez voir l'environnement de la binaire. Aussi, le processus d'inscription programme a généralement besoin d'avoir des privilèges dans le système (même si cela est moins vrai de nos jours).
    • suggérez-vous il y a une meilleure alternative? Si je veux déployer un serveur web qui a besoin de se connecter à une base de quoi d'autre pourrait-je faire pour donner le mot de passe pour le serveur web?
    • Cela dépend de votre environnement. Dans un ASP.NET de l'environnement, vous pouvez chiffrer la clé privée de votre base de données d'informations d'identification. D'autres environnements peuvent offrir des fonctionnalités similaires. Parfois, vous ne pouvez pas avoir un choix; mon seul point est que la question, en général, est une inutiles de la pensée intellectuelle de l'exercice -- texte en clair les mots de passe sont anxieux, période. Essayer de comprendre lequel de diverses méthodes d'insécurité est un peu plus sécurisé que les autres insécurité méthode est une perte de temps.
    • Lieux d'exposer les variables d'environnement ont des autorisations, trop. Essayez cat /proc/1/environ par exemple.
    • Essayez ps axe de voir que d'être ignoré.
    • Vraiment? Je ne vois pas l'environnement pour les processus ne sont pas détenues par moi dans ps axe. strace -e open ps axe montre qu'il est d'obtenir cette information de /proc/[pid]/environ, qui a la permission d'exécution (d'où un tas de open("/proc/19795/environ", O_RDONLY) = -1 EACCES (Permission denied)).
    • Hein. Regarde ça, un problème a finalement été résolu (utilisé pour être que ps était setuid et serait heureux de vous montrer l'environnement de à peu près tout).

    InformationsquelleAutor Chris Pratt
  4. 23

    Désolé de ne pas avoir assez de rep de commentaire, mais je voulais aussi ajouter que si vous ne faites pas attention, votre shell peut capturer que le mot de passe dans la commande de l'histoire ainsi. Si l'exécution de quelque chose comme $ pwd=mypassword my_prog manuellement n'est pas aussi éphémère que vous pourriez espérer.

    • si vous préfixe de l'ensemble "env var + commande" avec un espace, alors il n'est pas stocké dans l'histoire
    • merci @shadi. Apprendre quelque chose de nouveau chaque jour! Je me demande si c'est shell spécifiques/facile à couper ou si c'est quelque chose que l'on peut attendre assez souvent?
    • Une autre façon est d'utiliser des read -s MY_PASS_VAR qui permettra de protéger contre les deux shell-histoire des recherches et des épaules les surfeurs.
    InformationsquelleAutor brianclements
  5. 5

    Cela dépend de votre modèle de menace.

    Êtes-vous essayer de prévenir vos utilisateurs à partir de l'aspersion des mots de passe sur leurs systèmes de fichiers où ils sont susceptibles d'être oublié et mal gérées? Si oui, alors oui, parce que les variables d'environnement sont moins persistants que les fichiers.

    Êtes-vous essayer de les protéger contre quelque chose de malveillant qui s'attaque directement à votre programme? Si oui, alors non, parce que les variables d'environnement n'ont pas le même niveau de contrôle d'accès que les fichiers ne.

    Personnellement, je pense que négligent les utilisateurs sont le plus souvent motivés adversaires, donc j'irais avec la variable d'environnement approche.

    InformationsquelleAutor MatrixManAtYrService
  6. 0

    Je pense que quand cela est possible, vous devez stocker vos informations d'identification dans un gitignored fichier, et non comme des variables d'environnement.

    L'une des choses à considérer lors du stockage des informations d'identification dans les ENV (environnement) variables vs un fichier, c'est que des variables d'environnement peuvent très facilement être consulté par toute bibliothèque ou à la dépendance que vous utilisez.

    Cela peut être fait à des fins malveillantes ou non. Par exemple, une bibliothèque auteur pourrait courriel traces de pile, plus les variables d'environnement pour eux-mêmes à des fins de débogage (pas les meilleures pratiques, mais il est possible de le faire).

    Si vos informations d'identification sont dans un fichier, puis avec un pic est beaucoup plus difficile.

    Plus précisément, pensez au sujet d'un mécanisme national de prévention de nœud. Pour un mécanisme national de prévention de regarder vos informations d'identification s'ils sont dans l'ENV est une simple question de process.ENV. Si d'autre part ils sont dans un fichier, c'est beaucoup plus de travail.

    Si vos informations d'identification de fichier est la version contrôlée ou non est une autre question. Pas version le contrôle de vos informations d'identification de fichier expose à moins de personnes. Il n'est pas nécessaire pour tous les devs à savoir la production d'informations d'identification. Depuis cette vie jusqu'au principe du moindre privilège, je dirais git d'ignorer vos informations d'identification de fichier.

    InformationsquelleAutor Peter Ajtai