密码文件混淆

Question

我正在使用 lua 来管理防火墙服务器，并希望混淆敏感变量，例如登录数据。我尝试过 luac 但变量内容仍然很容易读取。有什么方法可以加密/解密这些敏感数据吗？

Answer 1

我假设您有一个 lua 脚本，其中包含要发送的命令以及任何“秘密数据”，并且您希望能够运行该脚本而无需交互式地输入任何内容。

如果是这样，脚本本身必须能够解密您的秘密数据才能使用它 - 如果攻击者可以读取脚本，他可以执行相同的步骤来解密您的数据（或在调试器或类似程序中运行它）。因此，不可能真正隐藏脚本中的秘密数据。使用您的系统文件权限确保除了您和执行该脚本的进程之外没有人可以读取该脚本。

也就是说，如果您不想阻止真正的攻击者，而只想避免随意查看密码的人，任何编码方案都可以 - 从简单的 Rot13 over Base64 到十六进制编码。但您应该意识到这不是一种安全措施。

Answer 2

如果您被允许使用编译库（即 LuaRocks），您可以使用 Kepler MD5 库加密/解密数据 - 如果您可以让脚本提示输入密码，您甚至可以使其（相当）安全。 （如果您无法提示输入密码，正如 Paulo 所说，混淆是您所能期望的最好方法。）