答案是使用加密机制与最小权限控制结合保护敏感信息。首选 Hashicorp Vault 或云 KMS 实现动态密钥管理,避免明文落盘;本地场景可用 GPG 加密并设文件权限为 600,配合 chown 限制访问;通过 systemd EnvironmentFile 或容器 Secrets 注入环境变量,禁止命令行传参;运行时解密至内存,不生成明文临时文件;启用 SELinux/AppArmor 限制进程权限,审计工具监控读取行为;核心原则是数据静态加密、访问最小化、全程避免明文暴露。
在 Linux 系统中安全存储敏感信息(如密码、API token)需要结合加密机制和严格的访问控制,防止未授权读取或泄露。核心思路是:数据静态加密 + 最小权限访问 + 避免明文暴露。
1. 使用专用密钥管理工具(推荐方案)
不要将敏感信息硬编码在脚本或配置文件中。使用专为密钥管理设计的工具,能有效实现加密存储与访问控制。
- Hashicorp Vault:提供动态密钥、加密即服务、身份认证集成。敏感数据不落盘明文,通过令牌或身份验证按需获取。
- 使用方式示例:应用运行时通过本地 Vault agent 或 API 获取临时 token,而非直接读取文件。
- KMS(如 AWS KMS / GCP Cloud KMS):结合云环境,用托管密钥加密数据密钥(data key),本地只存加密后的密文。
2. 本地加密存储 + 文件权限控制
若无法使用 Vault 或 KMS,可对敏感文件进行本地加密,并严格限制访问权限。
- gpg 加密单个文件: gpg --cipher-algo AES256 --symmetric secrets.txt 生成加密文件 secrets.txt.gpg,解密需手动输入密码。
- 仅授权用户访问:加密文件属主设为服务账户,权限设为 600。 chmod 600 secrets.txt.gpg && chown appuser:appgroup secrets.txt.gpg
- 运行时解密到内存:脚本中用 gpg -d 在内存中解密,避免写临时明文文件。
3. 环境变量与进程隔离
避免配置文件明文存储,通过受控方式注入敏感信息。
- 使用 systemd 服务的 EnvironmentFile:指定一个 600 权限的环境文件,仅启动时加载。 PermissionsStartOnly=true 可提升安全性。
- Docker/容器场景:使用 --env-file 指定受保护的文件,或更优地使用 Docker Secrets(Swarm)或 Kubernetes Secrets(配合 etcd 加密)。
- 禁止进程间窥探:避免通过命令行参数传密码(ps 可见),改用环境变量或配置文件。
4. 强化访问控制(最小权限原则)
即使加密失效,也应阻止未授权访问。
- 敏感文件所属用户应为专用低权限账户,禁止 shell 登录(/usr/sbin/nologin)。
- 目录权限设为 700,文件设为 600,确保只有属主可读写。
- 使用 SELinux 或 AppArmor 限制进程读取范围,即使服务被入侵也无法读取非授权路径。
- 审计访问记录:auditctl -w /path/to/secrets.gpg -p r 监控读取行为。
基本上就这些。关键是不让敏感数据以明文长期存在,同时确保只有必要实体能在必要时访问。工具选型上,生产环境优先考虑 Vault 或云 KMS,简单场景可用 gpg + 权限控制组合。安全的核心不在加密强度,而在访问路径的收敛与监控。
