python - 如何在我的版本控制系统中安全地保存我的 key 和密码？-6ren

python - 如何在我的版本控制系统中安全地保存我的 key 和密码？

转载作者：IT老高更新时间：2023-10-28 12:31:48

25

4

我将开发和生产服务器的主机名和端口等重要设置保存在我的版本控制系统中。但我知道将 secret (如私钥和数据库密码)保存在 VCS 存储库中是不好的做法。

但密码——就像任何其他设置一样——似乎应该进行版本控制。那么保持密码版本控制的正确方法是什么？

我想这将涉及将 secrets 保存在他们自己的“secrets settings”文件中，并对那个文件进行加密和版本控制。但是什么技术？以及如何正确地做到这一点？有没有更好的方法来解决这个问题？

我一般会问这个问题，但在我的具体实例中，我想使用 git 和 github 存储 Django/Python 站点的 key 和密码.

此外，当我使用 git 推/pull 时，理想解决方案会做一些神奇的事情——例如，如果加密的密码文件发生更改，则会运行一个脚本，该脚本要求输入密码并将其解密到位.

编辑:为了清楚起见，我 am 询问在哪里存储生产 secret 。

最佳答案

您希望在加密敏感设置文件的同时仍将文件保留在版本控制中，这是完全正确的。正如您所提到的，最好的解决方案是当您推送某些敏感文件时，Git 会透明地加密它们，以便在本地(即在任何拥有您的证书的机器上)您可以使用设置文件，但 Git 或 Dropbox 或任何人将文件存储在 VC 下无法读取明文信息。

推/pull 过程中的透明加密/解密教程

这个 Gist https://gist.github.com/873637展示了如何使用 Git 的 smudge/clean 过滤器驱动程序和 openssl 来透明地加密推送文件的教程。您只需要进行一些初始设置。

工作原理总结

您将创建一个包含 3 个 bash 脚本的 .gitencrypt 文件夹，

clean_filter_openssl 
smudge_filter_openssl 
diff_filter_openssl

被 Git 用于解密、加密和支持 Git diff。在这些脚本中定义了主密码和盐(已修复!)，您必须确保 .gitencrypt 永远不会被实际推送。示例 clean_filter_openssl 脚本:

#!/bin/bash

SALT_FIXED=<your-salt> # 24 or less hex characters
PASS_FIXED=<your-passphrase>

openssl enc -base64 -aes-256-ecb -S $SALT_FIXED -k $PASS_FIXED

smudge_filter_open_ssl 和 diff_filter_oepnssl 类似。请参阅 Gist 。

您的包含敏感信息的 repo 应该有一个 .gitattribute 文件(未加密并包含在 repo 中)，该文件引用 .gitencrypt 目录(其中包含 Git 透明加密/解密项目所需的所有内容)并且存在于您的本地计算机上。

.gitattribute 内容:

* filter=openssl diff=openssl
[merge]
    renormalize = true

最后，您还需要将以下内容添加到您的 .git/config 文件中

[filter "openssl"]
    smudge = ~/.gitencrypt/smudge_filter_openssl
    clean = ~/.gitencrypt/clean_filter_openssl
[diff "openssl"]
    textconv = ~/.gitencrypt/diff_filter_openssl

现在，当您将包含敏感信息的存储库推送到远程存储库时，文件将被透明地加密。当您从具有 .gitencrypt 目录(包含您的密码)的本地计算机中提取时，文件将被透明地解密。

备注

我应该注意，本教程并未描述仅加密您的敏感设置文件的方法。这将透明地加密推送到远程 VC 主机的整个存储库并解密整个存储库，使其在本地完全解密。为了实现您想要的行为，您可以将一个或多个项目的敏感文件放在一个sensitive_settings_repo 中。您可以研究这种透明加密技术如何与 Git 子模块一起使用 http://git-scm.com/book/en/Git-Tools-Submodules如果您确实需要将敏感文件放在同一个存储库中。

如果攻击者可以访问许多加密的存储库/文件，理论上使用固定密码可能会导致暴力破解漏洞。 IMO，这种可能性非常低。正如本教程底部的注释所述，不使用固定密码将导致不同机器上的本地版本的存储库始终显示“git status”发生了更改。

关于python - 如何在我的版本控制系统中安全地保存我的 key 和密码？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/11575398/

25

4

0

文章推荐： json - !e.eoo() MongoDB 查询中的错误

文章推荐： Grep表示行的开头和结尾？

文章推荐： linux - Linux中哪个实时优先级最高

hadoop - 无法使用 Hive 版本 1.1.0 HBase 版本 0.94.8 和 hadoop 版本 2.7.0 从配置单元创建 Hbase 表
无法使用 Hive 版本 1.1.0 HBase 版本 0.94.8 和 hadoop 版本 2.7.0 从 hive 创建 Hbase 表 hive (default)> CREATE TABLE
electron - 无法确定 Electron 版本。请指定一个 Electron 版本
我试图为 electron app 创建可执行文件但面临这个问题 Unable to determine Electron version. Please specify an Electron ve
python - OpenCV 中的自适应阈值(版本 1 - swig 版本)
我正在尝试让自适应阈值在 python 绑定(bind)到 opencv 中工作(swig 一个 - 无法让 opencv 2.0 工作，因为我正在使用 beagleboard 因为交叉编译还没有工作
windows - JMeter 命令行 - linux 版本 vs windows 版本
我一直在 linux 机器上使用 JMeter，在命令行下使用了一段时间。工作正常。今天，我在 Windows 机器(新客户端等)上尝试了它，它确实可以工作，但在控制台窗口中输出有很大不同。 Lin
java - 确定程序与哪个 Java 版本(或 Eclipse 版本)兼容
在我的编码环境中，我通常使用最新版本的 Java 和 Eclipse。当我编写源代码时，我不会注意我使用的 API 方法或类是否向后兼容旧版本的 Java 或 Eclipse。在 javadoc 中存
gcc - CUDA 版本 X 提示不支持 gcc 版本 Y - 该怎么办？
问题是关于版本的特定组合，但更普遍。我刚刚从 Kubuntu 12.04 升级到 14.04。现在，当我想编译 CUDA 代码(使用 CUDA 6.5)时，我得到: #error -- unsupp
macos - 如果系统上存在 Mac App Store 版本，则解锁应用程序的开发人员 ID 版本
我目前正在对我的一些应用程序进行沙箱处理，看来我必须删除一些功能才能满足 Mac App Store 沙箱(和其他)规则。显然用户不会因为失去功能而感到高兴，我担心他们不会指责苹果制定了愚蠢的规则，
javascript - 为特定的 ie 版本提供 flash 版本，否则提供 js 版本
我用 flash 和 js 版本创建了一个动画横幅。是否可以检测低于版本 9 的 ie 版本，然后提供 Flash 横幅，否则提供 js 横幅。最佳答案您可以使用条件注释来检测 IE 版本
firebird - 使用 SQL 确定 Firebird 版本(版本 < 2.1)
我有一个处理不同位置的数据库的应用程序，我想检查这些数据库是否使用 Firebird 2.5 或更高版本打开。我们最近从 Firebird 2.0 迁移到了 2.5，我们有很多数据库可以响应 sele
Java 版本，Tomcat，不支持 major.minor 版本 52.0
我正在开发一个应用程序，我使用托管在我的服务器上的 Java 和 Jersey 构建了后端部分。我在服务器上使用 Tomcat7 来调用 Web 服务。我以前有一台安装了 Ubuntu 的计算机，我
c - 如何通过名称获取 Windows 版本(对于 future 的 Windows 版本)？
我可以使用 GetVersionEx() 函数来获取 Windows 版本，但是这个函数将返回一个数字而不是一个字符串。但是没有问题，因为我可以将数字转换为字符串，例如: if (osvi.dwMaj
python - 如果我安装了 2 个 python 版本，如何在命令提示符下更改 python 版本
我已经在我的系统中安装了 Anaconda 2 & 3。 Anaconda 2 包含 python 2.7 & Anaconda 3 包含 python 3.6。我需要使用命令提示符运行我的 pyt
Android Studio Gradle 版本 - 需要 Gradle 版本 2.8
我正在尝试构建一个 Android 项目，但发生了以下错误 Error:(10, 1) A problem occurred evaluating project ':app'. > Failed t
javascript - jQuery 版本 1、版本 2 和版本 3 之间有什么区别？
关闭。这个问题需要更多focused .它目前不接受答案。想改进这个问题吗？更新问题，使其只关注一个问题 editing this post . 关闭 4 年前。 Improve this qu
c++ - CMake:不支持的 GNU 版本 -- 不支持高于 8 的 gcc 版本
在降级我的 GCC 之前，我想知道是否有办法确定我的机器中的哪些程序/框架或依赖项会中断，以及是否有更好的方法来执行 openpose 安装？ (例如，在 CMake 中更改某些内容) 有没有办法在不
qt - 无法将不兼容的 Qt 库(版本 0x50501)与此库(版本 0x50201)混合使用
我已经在终端的代码sudo apt-get install Shadowsocks-qt5中安装了Shadowsocks-Qt5，然后我可以通过搜索找到启动图标，但是它当我点击图标时打不开。然后我尝试
hl7 - 我们可以将 MLLP 版本 2 与 HL7 版本 2 一起使用吗？
在网络上找到的文档说，MLLP V2(第 2 版)是用于传输 HL7 版本 3 内容的所有消息传输协议(protocol)的要求。似乎 MLLP 第 2 版主要用于 HL7 第 3 版。我们可以/应
javascript - Protractor:chromeDriver 版本 78 抛出错误，仅支持 chrome 版本 79
我正在使用带有 selinium webdriver 的 Protractor 。我的chromeDriver版本是78.0.1，chrome版本是78.0.3904.97。两个版本都匹配，应该不会有
java - Eclipse 版本 : Mars. 1 版本 (4.5.1) 中缺少数据源资源管理器选项卡
我正在按照教程设置 mysql 数据库并做一些事情。我无法找到数据库资源管理器。我读了很多，但在 Window->show View-> Dataxxx 或右侧上部选项卡中无法正常工作。最佳答案从
python - 无法将不兼容的 Qt 库(版本 0x40801)与该库(版本 0x40805)混合使用
我已经在 KDE 桌面上安装了 Anaconda 2.0.1。当我运行 python 并看到所有已安装的模块时，我收到此消息“无法将不兼容的 Qt 库(版本 0x40801)与该库(版本 0x4080

首页

博学

6Ren·AI

商城

python - 如何在我的版本控制系统中安全地保存我的 key 和密码？