Как плюс-минус безопасно хранить данные для подключения к mysql базе?

Question

[AlessandrIT]

Имеется скрипт на хостинге. Надо наладить безопасное подключение к базе данных.

Comments

[Максим Федоров]

Через переменные окружения достаточно безопасно

Answer 1

[Андрей]

как вариант - отключить ftp, запускать скрипты от иного пользователя, чем тот, которым логинишься по ssh (по ключу с паролем на ключ, разумеется, и двухфакторной авторизацией).

условно, ты по ssh заходишь пользователем updater, а скрипты и вся конфигурация хранятся как worker:worker с правами 700 и запускаются от пользователя worker.

Answer 2

[FulTupFul]

Можешь заюзать dotenv и загружать конфиг из файла. А права на этот конфиг поставь так, чтобы только пользователь запускающий скрипт имел право на чтение. Так сразу отпадает проблема с ключами которые попадают в git и другие репо.
https://pypi.org/project/python-dotenv/

Comments

[Андрей]

а главное, этот пользователь не должен иметь возможности войти снаружи!

Answer 3

[Владимир Куц]

https

Comments

[AlessandrIT]

Речь про сохранённый на том же хостинге конфиг с данными.
Ведь негоже прямо в той же директории хранить логины и пароли?

[Андрей]

AlessandrIT, если права правильно настроены - почему нет?
ну увидишь ты файл, на который нет прав никаких, дальше что? =)

[Владимир Куц]

AlessandrIT, обезопасить хостинг. Про права доступа уже упомянули. Доступ к конфигу закрыт простым смертным. А если кто-то несанкционированно может зайти на сервер и прочитать ваш конфиг - то проблемы у вас не только с mysql