Python、密码和安全性

Python, password and security

提问人:Damien Pageot 提问时间:3/14/2023 最后编辑:Damien Pageot 更新时间:3/14/2023 访问量:96

问:

在 python 脚本中,我使用子进程库制作一个 curl(带参数)以从保险箱中检索密码。在这一部分,我没有选择,我只有这个选项来检索密码。

然后使用此密码在其他服务器上进行连接(仍使用 python)。

该脚本安装在 VM 上的文件夹 (/opt/apps) 中,该文件夹需要比授予用户的权限更高的权限。该脚本可由可以连接到 VM 的任何用户执行。

问题是此密码在 curl 响应中以明文形式显示。我被要求至少隐藏它,以便没有用户可以访问它。

我已经咨询了几个专门用于安全的 python 模块,但我并不真正了解它们。

我该怎么做?我不是开发人员,我的安全知识几乎为零。

def get_credentials():
    """Get credentials (username and password) from cyberark"""
    ocurl = sp.check_output(
        "curl --interface eth0 -k 'https://cyberark.some-organization:8200/WebService/api/Accounts?   AppID=FAKE_APP_ID&Safe=FAKE_SAFE&Object=fakeobject'",
        shell=True,
        )
    dcurl = json.loads(ocurl)
    return dcurl["Content"] # Password here....in clear text...
    )

def check(username, password):
    management = ManagementRoot(server_name, username, password)
    # Some process ....
    return some_data

password = get_credentials()
some_data = check(generic_user_name, password)
...

注意:我把这两个函数放在一起。事实上,它们与处理检索到的数据的其他函数位于 python 包中。它是使用用户启动的包的可执行脚本。

注 2:虚拟机是 SLES 15 的修改映像(由我公司修改),只有 python 3.6

python-3.x 安全 密码

评论


答: 暂无答案