Rails 目录树中的系统密码存储在哪里？

Question

我的 Rails 应用程序中有许多“系统”密码，例如数据库密码和 XML feed 的单独 HTTP 身份验证密码。

我的麻烦是确切地知道如何将这些密码存储在我的目录中，以便它们尽可能安全。您对 Rails 3 有哪些具体建议？

Answer 1

加密在数据库中？

在环境配置中？

我过去都用过。事实上，HTTP 密码更像是 API 密钥。服务提供商有责任确保您不能利用访问权限做任何“邪恶”的事情。一般来说，建议不要将任何您不想公开的内容放入源代码管理中。过去，我必须在应用程序之外部署单独的密钥文件。如果您正在做真正安全的事情（例如信用卡），那么您可以这样做。只需在服务器上创建一个有权访问密钥文件的用户即可。那么您实际上是使用对 Unix 机器的访问作为您的安全模型，而不是密钥文件的密码。

Answer 2

只需确保将配置文件存储在配置文件夹中（或至少存储在公共文件夹之外；）。除此之外，您应该保护从外部对您的rails-app-user-account 的访问（强制ssh-pubkey 身份验证）。

另一个安全缺陷是使用合理的密码信息（例如数据库访问）签入的配置文件。我总是将 config/database.yml 添加到 .gitignore 并签入默认的 config/database.sample.yml 作为其他开发人员的模板。 “真正的”config/database.yml 是使用特定于环境的配置值手动创建和配置的。