Sono in procinto di creare una piccola piattaforma blog e ho riscontrato un argomento piuttosto controverso di archiviazione di stringhe di connessione su un DB in modo sicuro su un host. Ecco una domanda di riferimento: Come crittografare il database credenziali di connessione su un server web? .
Alla mia domanda: ho pensato di archiviare le credenziali nel file gpg-encrypted da qualche parte nella cartella /etc dell'host di Ubuntu 14.04. Ogni volta che il server viene avviato, viene richiesto a un sysadmin (me) di decrittografare un file e quindi è necessario un servizio che venga eseguito in background in attesa di un back-end del sito per interrogarlo per una stringa di connessione. Quindi restituirebbe tutto il necessario per le informazioni sulla connessione DB e il back-end procederebbe con l'interrogazione di un DB stesso.
IMO con questo approccio l'unico posto in cui è memorizzata una password sul server attivo è la RAM. Ogni volta che il server si arresta in modo anomalo a causa di attacchi o attacchi malintenzionati riusciti a eseguire il dump della web root, non è ancora possibile ottenere la password poiché il servizio di concessione della password funziona a livello di sistema.
È un buon piano di sicurezza? Quali alternative proporresti (Python Flask, MySQL e peewee)? Inoltre, se la mia idea non è così negativa, come posso implementare quel "servizio" per l'esecuzione in background e attendere una richiesta di credenziali (preferibilmente una sorta di script bash)?
Grazie in anticipo!