php - 您对存储 AWS 身份验证数据有何建议？

Question

场景:用 PHP 编写的 Web 应用程序使用 Amazon Web Service并且必须随身携带访问 key ID 和 secret 访问 key 才能正常工作。目前是否有安全存储此数据的建议和/或 API？

我的想法是根据从本地服务器变量创建的 key 将其对称加密到一个文件中。这样一来，如果有人通过 FTP 获取文件副本、丢失带有复制文件的笔记本电脑等，这就是[希望]乱码。我担心的是，熟练的攻击者可以上传他们自己的脚本来解密它。

这看起来像一个 common situation还有一个我从来没有找到一个舒适的解决方案。显然我不能使用单向哈希，因为我需要原始数据来创建 HMAC 以发送到 AWS。相关 S.O. 的链接欢迎提问。

Answer 1

啊。安全问题。

我认为您在这里应该问的问题是您如何处理 php 配置文件中的 mySQL 密码等？

坦率地说，我会说，如果有人设法获得了您的文件副本，那么您的安全性无论如何都需要重新考虑。对于我自己的使用，我通常只将密码保存在一个地方(在应该使用它们的服务器上)并确保我每次都使用随机生成的密码(将其粘贴到配置文件中，瞧!)

老实说，如果不是您自己的主机，任何敏感数据都可能被泄露。

如果它是您自己的主机，我建议在 Linux 中使用适当的权限，并且 PHPSuExec确保只有您编写的脚本才能访问这些文件。

无论如何，回答你最初的问题，你的 AWS 访问/ secret key 与 MySQL 密码一样，好的，它有可能让别人访问你的服务，但它不会让他们访问你的个人细节。即使使用对称加密，如果您的脚本存在安全漏洞，也可以访问信息。

简而言之，如果您将这些 key 放在除您之外任何人都可以访问的任何地方，您就是在冒险。您有多相信亚马逊的服务器不会受到损害？

我的建议是尝试尽可能多地增加安全性，但请注意您的帐户，我通常会运行一个 cron 作业，向我发送一封电子邮件，其中包含对我的 S3 帐户的更改(上传的新文件，新桶等)，从中我可以知道发生了什么。

没有简单的解决方案，它是保护系统每个单独层的组合。我的意思是，如果您使用对称加密，那么密码必须存储在某个地方，对吗？还是每次都要输入？

希望对你有帮助