密钥管理
该标签下有 8 篇文章
用 gitleaks 在提交前拦下密钥:在 push 之前堵住 API 密钥泄露
密钥『泄露后再删』就晚了。一旦被提交,密钥就会留在 Git 历史里,被 push 后就要按已泄露处理、吊销并轮换密钥。gitleaks 是一款免费工具,用正则/熵对整个仓库和提交历史进行扫描,检出 API 密钥、私钥、token。防守的关键是两道拦截点=①用 pre-commit 钩子在本地 push 前拦住②用 CI/cron 定期抓住漏网之鱼。.gitignore 只能阻止新的追踪、无法检出=还需要单独的检测器。
密码管理器安全吗?工作原理与云端、本地的区别,以及如何选择
密码管理器比重复使用、明文保存更确实地安全。关键在于零知识加密=凭主密码只有端侧能解密,提供方只持有密文,所以提供方被攻破内容也不会泄露。真正的单点故障是主密码和金库的 MFA。云端型(Bitwarden/1Password)与本地型(KeePass)按用途选择。
个人开发 / 小规模运营的安全底线:把行业标准的对策一次配齐
最低限度的对策并非『全都一样重』。本站的优先级 = ①王国之钥(多因素认证 / 域名 / 邮箱)②密钥与代码 ③应用本体 ④补丁 / 检测 / 恢复。资源有限的个人,按这个顺序从上往下填才是正解。多数事故并非新型攻击,而是这块地基的缺口造成的。
安全资产盘点 —— 个人运维多台服务器时最易忽略的 7 项检查
个人运维多台服务器的事故,往往源于「没掌握的状态」而非「缺少防护」。要守的边界是放置密钥的电脑。2FA 按信任链分级,SSH 密钥矩阵化以清除重复・未使用・孤儿,明文密码从云端清除,整改要可逆且逐项进行,台账里不写机密。比起花哨的新工具,盘点更优先。
把密码存到 Google Drive 安全吗?正确的保管方法
把密码以明文形式集中保存在 Google 文档/电子表格里很危险。原因=一个 Google 账号会成为全部密码的单点故障,账号被盗、恶意关联应用、钓鱼都能让全部密码一次性泄露。正确答案是专用密码管理器(即使在设备间同步,内容也保持加密)。如果非要用 Drive,那只能放加密过的管理文件+为账号开启抗钓鱼的 MFA。
是否把密钥文件遗忘在了公开目录里:webroot 盘点
放进 webroot(公开目录)的文件,只要访问 URL 任何人都能取走。令牌或认证凭据的 JSON、.env、备份一旦遗忘在那里,立刻造成实害。再加上若源自共用模板,同一个洞会横向扩散到所有站点。对策=公开目录只放可以公开的东西,密钥放在 webroot 之外+权限 600,并且盘点自己的服务器、一处发现就全机排查。
自建 Git 服务器和 GitHub,从安全角度看哪个更安全
自建 Git 不是『变安全』,而是『转移风险』。误公开这一类事故确实会消失,但服务器补丁、备份、提交前密钥检测的责任会转移到你身上。满足条件就是好选择,放任不管则比 GitHub 更危险。本站视角=自建运营必须连同代价一起,否则无法成立。
Codecov 篡改事件(2021)——CI 中『被信任的工具』被劫持导致机密信息外泄的原因与防御
根源在于『在 CI 中信任并执行的工具(curl|bash 的 Bash Uploader)在上游被篡改』。由于自己的代码毫发无损,约两个月都没能察觉,CI 的机密信息因此外泄。检测靠的是校验和比对。在你的 CI 中,可用取得物的完整性校验、机密的最小权限、轮换、egress 监控来防止重演。