专栏首页杨建荣的学习笔记运维平台里的密码管理模块建设

运维平台里的密码管理模块建设

运维管理中,我们总是会碰到各种各样的密码。其实对于密码的管理就是一个痛点。

从密码的安全性上来说,我们希望它的长度和加密算法足够复杂。

从使用效率上来说,我们希望密码的管理能够更加的透明,至少能够省事一些,如果使用密码带来了一系列的问题,那么密码反而成为了直接使用者的一个累赘。

如果是存储明文密码,显然不是个好主意。 而且从安全的角度来说,是会被喷的。这一点GitHub已经踩过坑了,国内的一些论坛也中过招,也就是以后来经常听说的撞库。

我来举一个流程,比如对于业务同学来说,他需要申请一个数据库账号,那么这个操作是技术范畴很简单的,但是密码如何管理。我们直接发给他,通过即时通讯工具还是通过邮件,如果里面都是明文密码,是很不规范的。

我们之前是这么做的。

DBA会生成一个随机密码,对于这个密码,DBA压根不去关心它的值,然后把密码交给加密专员,由专员加密,然后返回给DBA的就是一个加密串,然后这个加密串就可以发送给业务同学了,业务同学也压根不需要去了解真正的密码,直接使用即可,在配置文件里就是加密串,程序会有对应的解密方法去解密。

这种方法好处很明显,加解密是完全解耦的,而且密码其实是恢复的,而且加密可以使用多种加密算法,就算得到解密串,也不一定能够轻松得到真实密码。

但是这样有一个成本就是这个事情是不是需要专门的一个人来做,很多公司可能没有这样的专员,那么做这个事情就难有章法了。

至少从迭代的角度来说,我们可以做到的就是密码是部分发送。

这样一来这个密码就是相对安全的。

这是一种场景,还有一种是对于很多的账号信息,都有对应的密码,我们可能是用KeyPass或者KeePass来存储的。这种客户端密码管理软件有个好处是管理起来足够方便,不好的地方就是密码管理不够规范,你记录的密码信息只有你熟悉,别人没法直接参与进来。

所以对于第二个部分我做了初步的设计,就是把密码管理范围进行了限定:

目前密码管理的内容分为三个部分:

1.创建数据库权限时的用户名,密码信息

2.数据库的管理员密码

3.操作系统所需的部分账号信息,比如dba_mysql,dba_redis,dba_hadoop等

表结构设计

db_userpass_details 普通用户表

数据库类型:

IP地址:

端口号:

允许访问IP

权限

用户名

业务名

密码

密码是否过期

注释

db_adminpass_details 管理员用户表

IP地址:

端口号:

用户名

允许访问IP

业务名

密码

密码是否过期

注释

连接串名

sys_adminpass_details

IP地址:

端口号:

用户名

业务名

密码

注释

对于密码存储逻辑的一些基本需求是:

  1. 密码在数据库中是加密存储
  2. 读取时根据权限进行过滤,对指定用户开放密码查询权限
  3. 加密算法是可逆的,但是算法细节不公开
  4. 后期可以通过接口的方式来提供权限访问,而不是直接返回密码

本文分享自微信公众号 - 杨建荣的学习笔记(jianrong-notes)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-08-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 密码管理的初步实现

    之前写了一版密码管理,主要针对的是对于发送密码方面的安全考虑,今天说的这个是对于密码的统一管理。

    jeanron100
  • 数据库修改密码风险高,如何保证业务持续,这几种密码双活方案可以参考

    今天下午的时候,有个朋友(感谢Crane.Chen氵)提了一个Oracle的问题,引起了我的好奇,问题的描述如下:

    jeanron100
  • MySQL密码加密认证的简单脚本

    mysql: [Warning] Using a password on the command line interface can be insecure.

    jeanron100
  • 你的密码靠谱吗?12种方法保护账户安全

    过去和现在都不断在上演的信息泄漏事件,已是一个老生常谈的话题,可以预见在将来的一段时间内,依旧会是让人们头疼的事情。

    FB客服
  • 【Science】破解密码“AlphaGo”诞生,训练Gan破解27%LinkedIn测试集密码

    【新智元导读】一项新的研究旨在使用生成对抗网络(GAN) 来加快密码破解的速度。斯蒂文斯理工学院的研究人员用类似“AlphaGo”的方法,利用超过 4300 万...

    新智元
  • 如何应对Heartbleed安全漏洞

    ? 本周早些时候,一个名为Heartbleed的大型安全漏洞浮出水面。该漏洞可让入侵者诱使服务器泄漏你的个人数据。 Heartbleed漏洞的危险性...

    静一
  • 大数据告诉你:土豪们都用哪些密码?

    【摘要】你的密码为什么老被盗?土豪们都喜欢用哪些密码? 对于密码,我们已经知道了不少。比如,多数密码短小、简单、且容易破解。但我们对一个人选择某个密码的心理原因...

    CDA数据分析师
  • 解密千万密码:透过密码看人性

    对于密码,我们已经知道了不少。比如,多数密码短小、简单、且容易破解。但我们对一个人选择某个密码的心理原因却所知甚少。在本文中,我们分析了包括企业CEO、科学家...

    FB客服
  • 横古贯今的隐私密史:密码的前世来生

    21世纪什么最贵?密(秘)码(密)! 但陈老师高清无码教材红了,某菊订票信息玩票“脱裤”了,数以千万计的开房信息泄露了,各种社工库横行霸道,让我们不禁不去感叹...

    FB客服
  • 2019最烂密码榜单出炉,教你设置神级密码!

    近日,SplashData 公布了2019年最烂密码榜单TOP 100,123456”这个烂密码,从2013年开始连续七年夺冠!

    用户1564362

扫码关注云+社区

领取腾讯云代金券