我读过很多关于如何以最安全的方式保护服务器配置文件(其中包含密码等敏感信息)的帖子和问题。到目前为止,我发现的 3 条主要建议是:
- 不要把你的敏感信息放在源代码控制中(OK)
- 将密码和其他凭证设置为环境变量(?)
- 确保包含这些变量的文件具有正确的权限,以便没有人可以读取它们(?)
我的部署是,我为服务器创建了一个普通用户(没有特殊权限),配置文件位于其主目录中。如果我将此文件的权限设置为 600 就足够了吗??chmod 600 ~/config为什么我需要环境变量,因为它们无论如何也以纯文本形式存储在文件中?有没有比这更安全的方法?