Как правильно хранить секреты C# на линуксе?

Question

[Андрей]

Есть веб-приложение Asp.Net Core.
Разработка в Windows, хостинг в Linux
Развёртывание происходит посредством FTP прямо с машины разработчика на "боевой" сервер (и последующим рестартом сервиса).
Само приложение работает как сервис.

Вопрос: как правильно хранить секреты в линуксе?
Оф.гайд предлагает хранить секреты в папке пользователя (от которого запускается проект?). Терзают сомнения, в правильности данного решения.
Более правильным видится возможность передать секреты через переменные окружения сервиса, но не удаётся нагуглить способ "слияния" этих переменных и файлов конфигураций.

Comments

[сергей кузьмин]

у докера и кубернета и шеф и папет и ансибл и терраформ есть хорошо развитые объекты класса secret
папка пользователя это для маленьких
вы бы еще мамку предложили

[Андрей]

сергей кузьмин,

докера и кубернета и шеф и папет и ансибл и терраформ

ничто из этого не использую за ненадобностью

папка пользователя это для маленьких

это в микрософте придумали

[сергей кузьмин]

Андрей и неудивительно там средний iq низкий =
это хорошо известный факт

а при какой нибудь деплоймент тул все таки надо использовать по другому не спортивно какговорится автоматизация обрывается и начинается художественная самодеятельность

[ambisinister One]

сергей кузьмин, Это Вы про ик мелкосовтовцев?
Которые придумали эти самые программы,
на которых Вы, вот прямо сейчас, их же и поливаете?
У Вас, несомненно есть все основания так говорить)

[Андрей]

сергей кузьмин, я понимаю, что если в руках молоток, то всё вокруг кажется гвоздём. Но не всем, не всегда и не везде нужна автоматизация и докеры-шмокеры с кубернетисами.
Ну а микрософты в самом начале своего гайда пишут, что он предназначен для девелопмента а не для продакшена, так что про IQ не могу согласиться.

[сергей кузьмин]

между прочим докер вовсю уже использутся в девелопменте

[сергей кузьмин]

ambisinister One, ну положим "программы которые придумали в MS" это очень маленькая часть того что и на чем люди пишут и разрабатывают .

[сергей кузьмин]

Андрей не хотите готовое решение напишите свой веб-сервис с аудентикацией раздающий после аудентикации / авторизации секрет(ы) на любом удобном языке

[Viktor T2]

Андрей ,
нагуглить способ "слияния" этих переменных и файлов конфигураций.
Посмотрите вот что:
https://github.com/cloudflare/gokey

[Андрей]

Viktor T2, спасибо. Как оказалось, дотнет сам сливает переменные окружения и конфигов. Разделитель для вложенных полей - двойное нижнее подчеркивание.
Я написал ответ к собственному вопросу обо всём об этом

[Василий Банников]

Viktor T2, зачем? Стандартный Microsoft.Extensions.Configuration и так умеет склеивать всё

[Viktor T2]

Андрей, Василий Банников,
А-а-а, ну и отлично!

Answer 1

[Андрей]

В общем, оказалось это просто
В файле сервиса просто прописать
Environment=KEY=VALUE
При этом, вложенные поля отделяются двойным подчёркиванием
К примеру, ConnectionString превращается из

{
  "ConnectionStrings": {
    "DefaultConnection": "SomeString"
  }
}

в

Environment=ConnectionStrings__DefaultConnection='SomeString'

Либо, использовать файл с переменными EnvironmentFile

Comments

[Василий Банников]

В файле сервиса просто прописать
Environment=KEY=VALUE

В смысле в systemd юните? Или имеется в виду System.Environment?
Если второе, то лучше не надо - это всё равно что захардкодить конфиг.

[Андрей]

Василий Банников, в systemd юните