Сохранение пароля для входа в SQLPLUS из сценариев оболочки

Question

У меня есть несколько сценариев оболочки Unix, которые входят в SQLPLUS в пакетной среде.Для входа в SQLPLUS пользователь и пароль в настоящее время доступны для сценария оболочки в виде простого текста из текстового файла.Нехорошо !Мне нужно изменить это так, чтобы пароль был защищен и, возможно, зашифрован, но сценарий оболочки может подобрать пароль и использовать decrpyt.Я не совсем уверен, как бы я шел к достижению своих целей, кроме того, что я предполагаю, что мне нужно написать некоторый код сценария оболочки, который может быть в библиотеке и вставлен во все сценарии оболочки по мере необходимости.Любые предложения приветствуются.

Answer 1

ИМХО наилучшее из возможных решений в этом случае, например, HashiCorp Vault Vault Вы настраиваете сервер Vault в защищенной / проверенной сети / хосте и сохраняете там свой пароль (хранилище зашифрует его для вас).Затем вы создаете токен доступа к хранилищу с правами на чтение пароля БД.С Vault у вас есть http (s) API, который даст ваш секрет, если у вас есть правильный токен (скручивание внутри сценария оболочки).Примеры: API-документация

Это не лучшее решение, но с этим вы централизуете свое хранилище секретов, все зашифрованное, вы можете проверять и отзывать доступ к своим секретам.Это намного лучше, чем пароли БД в открытом тексте по всей вашей инфраструктуре.

Answer 2

Вероятно, не то, что вы хотите услышать.

Шифрование или иное обфусцирование пароля в вашем скрипте оболочки не обеспечивает никакой реальной безопасности: только «безопасность по неясности», которая на самом деле не безопасна.Это хорошее чтение о паролях в текстовом формате .

Так что, на мой взгляд, было бы лучше, чтобы как можно меньше людей имели доступ к сценарию оболочки.