일부 데이터를 해독하기 위해 비밀을 읽어야 하는 Linux 네트워크 서비스가 있습니다. 또한 이 애플리케이션을 사용하면 사용자는 실행 중에 암호화 비밀번호를 변경할 수 있습니다. 애플리케이션은 별도의 사용자 계정으로 실행되며 비밀은 현재 해당 사용자가 소유한 파일에 있습니다. 비밀번호가 파일에 일반 텍스트로 표시되어 있으므로 이 상황을 개선할 수 있는 방법을 고민 중입니다.
애플리케이션은 루트로 시작할 수 있으며 그런 다음 애플리케이션 사용자에게 권한이 부여됩니다. 이렇게 하면 비밀 파일을 루트가 소유할 수 있지만 다른 데몬을 루트로 실행하지 않으면 암호 변경 시나리오가 중단됩니다.
나는 기본적으로 비밀이 일반 텍스트로 디스크에 존재하는 것을 방지하고 싶고, 루프에서 암호화 프로세스를 안내할 사람이 없는 경우 할 수 있는 최선의 방법은 누군가 코드를 실행하더라도 이를 더 어렵게 만드는 것입니다.
현재 상황을 개선하는 방법에 대한 제안을 공유할 수 있는 사람이 있습니까? keyctl이 이에 대해 작동합니까, 아니면 일반적으로 커널 비밀을 저장하는 데 사용됩니까?
어떤 조언이라도 대단히 감사하겠습니다!
이 문제는 이 사이트에서 광범위한 것으로 간주됩니다. 범위를 좁히려면 커널 키링(keyctl 사용)이 애플리케이션 비밀을 저장하는 데 적합합니까?