사람들이 조직 전체의 애플리케이션 비밀번호를 저장하고 검색하는 데 사용할 수 있는 보안 로컬 서비스가 있습니까? 대부분의 경우 일부 서비스를 실행하려면 스크립트에 인증 정보를 제공해야 합니다.
따라서 보안 저장소/버킷에서 비밀번호를 동적으로 검색하고 이를 스크립트에 하드코딩하는 대신 인증 정보의 변수로 전달하는 방법이 필요합니다.
답변1
짧은 대답은 아닙니다. 문제는 어느 시점에서 스크립트가 중앙 저장소에서 비밀번호를 가져와야 한다는 것입니다. 어떻게 이루어 집니까? 대부분의 비밀번호 저장 시스템은 마스터 비밀번호를 사용하여 전체 저장소를 보호합니다. 스크립트에서 애플리케이션 비밀번호를 얻으려면 이 마스터 비밀번호가 필요합니다. 방금 변경한 문제는 해결되지 않았습니다.
제가 취하는 접근 방식은 스크립트에 애플리케이션 설정에 대한 특정 액세스가 필요한 경우 사용자는 스크립트에 필요한 특정 작업만 수행할 수 있다는 것입니다. 그런 다음 해당 비밀번호를 스크립트 자체와 함께 저장할 수 있습니다. 스크립트를 호스팅하는 서버가 손상된 경우 공격자는 스크립트에 권한을 부여한 작업만 수행할 수 있습니다. 또한 사용자의 비밀번호를 변경하여 공격자의 액세스 권한을 취소할 수 있습니다. 해당 사용자를 사용하는 유일한 것은 문제의 스크립트이므로 다른 문제는 없습니다.
답변2
어쩌면 oauth를 설정할 수 있을까요?
Python 구현도 있습니다(태그에 Python이 표시됨).https://github.com/joestump/python-oauth2
나머지 부분에 대해서는 정보가 충분하지 않기 때문에 가능하다면 질문에 반대표를 던질 것입니다. 하지만 내 생각에는 내가 방금 제안한 것과 같은 것이 필요하다고 생각합니다.