Linux 安全：如何对敏感信息 (密码 / token) 进行安全存储 (加密 + 最小访问)

答案是使用加密机制与最小权限控制结合保护敏感信息。首选 Hashicorp Vault 或云 KMS 实现动态密钥管理，避免明文落盘；本地场景可用 GPG 加密并设文件权限为 600，配合 chown 限制访问；通过 systemd EnvironmentFile 或容器 Secrets 注入环境变量，禁止命令行传参；运行时解密至内存，不生成明文临时文件；启用 SELinux/AppArmor 限制进程权限，审计工具监控读取行为；核心原则是数据静态加密、访问最小化、全程避免明文暴露。

在 Linux 系统中安全存储敏感信息（如密码、API token）需要结合加密机制和严格的访问控制，防止未授权读取或泄露。核心思路是：数据静态加密 + 最小权限访问 + 避免明文暴露。

1. 使用专用密钥管理工具（推荐方案）

不要将敏感信息硬编码在脚本或配置文件中。使用专为密钥管理设计的工具，能有效实现加密存储与访问控制。

• Hashicorp Vault：提供动态密钥、加密即服务、身份认证集成。敏感数据不落盘明文，通过令牌或身份验证按需获取。
• 使用方式示例：应用运行时通过本地 Vault agent 或 API 获取临时 token，而非直接读取文件。
• KMS（如 AWS KMS / GCP Cloud KMS）：结合云环境，用托管密钥加密数据密钥（data key），本地只存加密后的密文。

2. 本地加密存储 + 文件权限控制

若无法使用 Vault 或 KMS，可对敏感文件进行本地加密，并严格限制访问权限。

• gpg 加密单个文件： gpg --cipher-algo AES256 --symmetric secrets.txt 生成加密文件 secrets.txt.gpg，解密需手动输入密码。
• 仅授权用户访问：加密文件属主设为服务账户，权限设为 600。 chmod 600 secrets.txt.gpg && chown appuser:appgroup secrets.txt.gpg
• 运行时解密到内存：脚本中用 gpg -d 在内存中解密，避免写临时明文文件。

3. 环境变量与进程隔离

避免配置文件明文存储，通过受控方式注入敏感信息。

Vinteo AI

利用人工智能在逼真的室内环境中创建产品可视化。无需设计师和产品照片拍摄

62

查看详情

• 使用 systemd 服务的 EnvironmentFile：指定一个 600 权限的环境文件，仅启动时加载。 PermissionsStartOnly=true 可提升安全性。
• Docker/容器场景：使用 --env-file 指定受保护的文件，或更优地使用 Docker Secrets（Swarm）或 Kubernetes Secrets（配合 etcd 加密）。
• 禁止进程间窥探：避免通过命令行参数传密码（ps 可见），改用环境变量或配置文件。

4. 强化访问控制（最小权限原则）

即使加密失效，也应阻止未授权访问。

• 敏感文件所属用户应为专用低权限账户，禁止 shell 登录（/usr/sbin/nologin）。
• 目录权限设为 700，文件设为 600，确保只有属主可读写。
• 使用 SELinux 或 AppArmor 限制进程读取范围，即使服务被入侵也无法读取非授权路径。
• 审计访问记录：auditctl -w /path/to/secrets.gpg -p r 监控读取行为。

基本上就这些。关键是不让敏感数据以明文长期存在，同时确保只有必要实体能在必要时访问。工具选型上，生产环境优先考虑 Vault 或云 KMS，简单场景可用 gpg + 权限控制组合。安全的核心不在加密强度，而在访问路径的收敛与监控。

以上就是Linux 安全：如何对敏感信息 (密码 / token) 进行安全存储 (加密 + 最小访问)的详细内容，更多请关注php中文网其它相关文章！