Attualmente, ho molti script che devono accedere come superutente per automatizzare molte attività. (Ad esempio, creando tabelle nei database, creando altri utenti, ecc.)
Invece di avere le credenziali (specialmente le password) memorizzate direttamente nello script, le sto leggendo da un file (chiamiamolo pwds.txt), a cui si può accedere solo dall'utente root.
Alcuni dei miei colleghi dicono che un approccio più sicuro è quello di avere la password crittografata in pswds.txt, nascondere la chiave da qualche parte e decrittografare i dati crittografati nello script prima di usarlo.
Affermo che riduce il problema solo nel trovare dove si trova la chiave, che non sembra affatto difficile e avversario che può leggere lo script. Penso che questo processo complichi la programmazione senza fornire alcun vero livello di protezione.
Due domande:
- Chi è più corretto, io o loro? (e perché)
- So che la sicurezza al 100% non esiste, ma quali sono le migliori pratiche per il mio problema?