6 votos

El almacenamiento de claves de seguridad en Ubuntu servidor web

Estoy corriendo Ubuntu 12.04 precise, con una DUNG (Django, Unix, Nginx Y Gunicorn) medio ambiente y de mi aplicación (así como varios archivos de configuración) se almacena en un entorno virtual de python dentro de /srv, que el www-data que tiene acceso el usuario.

El nginx y gunicorn procesos se ejecutan todos como www-data.

Mi web app requiere credenciales seguras que estoy almacenar en un environment.sh archivo. Este archivo contiene varias las exportaciones y se ejecuta mediante source antes de la gunicorn procesos de ejecución.

Mi preocupación es la ubicación de la environment.sh de archivo y los permisos. Va a estar bien almacenar este archivo dentro de la /srv carpeta donde la www-data tiene acceso a ella? O debe ser almacenada y propiedad root en algún otro lugar como /var/myapp/environment.sh?

También, con respecto a la www-data usuario, si alguno de mis web de los procesos que se ejecutan como www-data) están en peligro y alguien obtiene acceso a ellos, eso no significa que el usuario podría leer cualquier archivo en el sistema, incluso si ellos no pueden escribir? Incluyendo mis claves de seguridad?

1voto

Andrei Mikhaltsov Puntos 1487

Usted puede establecer el Id de usuario y grupo en gunicorn configuración que va a ser utilizado por los procesos de trabajo. Establecer las variables de entorno en el archivo de propiedad de root y sin permisos de lectura (rw-------). Esto ahorrará su comprometida www-datos de proceso a partir de la lectura directa de datos de archivo de configuración, pero comprometida www-data proceso todavía se puede leer directamente las variables de la memoria.

ps. +1 para el ESTIÉRCOL :)

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X