AI 助理
备案控制台
开发者社区 数据库 文章 正文

干掉配置文件中的明文,提升应用安全!

2022-08-24 478
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 几乎所有应用都会配置一些敏感信息,比如生产环境mysql数据库的用户名和密码,生产redis的密码,生产机器es的密码,甚至于服务器的root密码等等。试想如果是一个发布在互联网的应用,假如这些配置信息被恶意劫持,用户信息被随意泄露,企业有可能因此被摁在地上摩擦,

几乎所有应用都会配置一些敏感信息,比如生产环境mysql数据库的用户名和密码,生产redis的密码,生产机器es的密码,甚至于服务器的root密码等等。试想如果是一个发布在互联网的应用,假如这些配置信息被恶意劫持,用户信息被随意泄露,企业有可能因此被摁在地上摩擦,除了跑路还有其它的选择吗?


通常情况下,除了防止直接在生产上暴露真实密码,还有内部用户误操作,研发的同学会将关键信息进行加密,防止恶意偷窥。本文将以springoot为例,讲解如何在springboot中将配置文件的敏感信息进行加密。


加解密技术是一门精妙的数学艺术,本文不在加解密算法上进行深入讲解,只从工程应用的层面,阐述jasypt加解密技术在springboot项目中的应用,jasypt不局限与springboot,也可以在传统spring项目中引用。跟随下面的步骤来加密你的应用。


第一步:jasypt maven引用

<dependency><groupId>com.github.ulisesbocchio</groupId><artifactId>jasypt-spring-boot-starter</artifactId><version>2.0.0</version></dependency>

用starter的方式集成最简单,在springboot项目启动时会自动集成加解密功能,无需在启动函数上定义相关注解,是最简单的一种集成方式。

第二步:在yml中定义秘钥

#jasypt加解密jasypt:  encryptor:    password = xxx@yelangking

注意,以上秘钥要特别注意保密,jasypt 是对称加密,这个秘钥一定要保存好,可以设置得比较复杂。

第三步:关键信息加密

master:    url: jdbc:mysql://localhost:3306/ry0320?useUnicode=true&characterEncoding=utf8&zeroDateTimeBehavior=convertToNull&useSSL=true&serverTimezone=GMT%2B8
    username: ENC(cj0tF0M9/cFdu69HL2EyAQ==)
    password: ENC(G2EMSuKtH3sBA5bHrjmtZg==)

所有需要加密的关键信息都冠以ENC(XXX),XXX为加密后的密文。

通过以上步骤就可以完成关键信息加密,直接启动应用就可以了。是不是很简单,通过这些简单的集成,可以有效避免这些配置信息在机器上裸奔。

启动日志如下:

09:55:22.154 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [lambda$new$2,33] - String Encryptor custom Bean not found with name 'jasyptStringEncryptor'. Initializing Default String Encryptor
09:55:22.185 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.algorithm, using default value: PBEWithMD5AndDES
09:55:22.186 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.keyObtentionIterations, using default value: 100009:55:22.188 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.poolSize, using default value: 109:55:22.189 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.providerName, using default value: null
09:55:22.190 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.providerClassName, using default value: null
09:55:22.191 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.saltGeneratorClassname, using default value: org.jasypt.salt.RandomSaltGenerator
09:55:22.194 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.stringOutputType, using default value: base64

上述日志是因为没有配置相关参数,springboot帮我们生成了默认的bean,在生产中可以引入更复杂的参数,让你的应用更安全。

后话一:如何生成密文

BasicTextEncryptortextEncryptor=newBasicTextEncryptor();
// 加密所需的salttextEncryptor.setPassword("xxx@yelangking");
// 要加密的数据(数据库的用户名或密码)Stringusername=textEncryptor.encrypt("root");
Stringpassword=textEncryptor.encrypt("mysql");
System.out.println("username:"+username);
System.out.println("password:"+password);
// 要解密的数据(数据库的用户名或密码)username=textEncryptor.decrypt(username);
password=textEncryptor.decrypt(password);
System.out.println("username:"+username);
System.out.println("password:"+password);

以上代码可以用main方法运行,也可以使用junit完成。

后话二:springboot深入集成jasypt关键代码:

publicclassEnableEncryptablePropertiesBeanFactoryPostProcessorimplementsBeanFactoryPostProcessor, ApplicationListener<ApplicationEvent>, Ordered {
@OverridepublicvoidpostProcessBeanFactory(ConfigurableListableBeanFactorybeanFactory) throwsBeansException {
// 得到加密字符串的处理类(已经加密的密码通过它来解密)EncryptablePropertyResolverpropertyResolver=beanFactory.getBean(RESOLVER_BEAN_NAME, EncryptablePropertyResolver.class);
// springboot下的Environment里包含了所有我们定义的属性, 也就包含了application.properties中所有的属性MutablePropertySourcespropSources=environment.getPropertySources();
// 核心,PropertySource的getProperty(String)方法委托给EncryptablePropertySourceWrapperconvertPropertySources(interceptionMode, propertyResolver, propSources);
    }
}

convertPropertySources中实现了具体的解密方法:

@OverridepublicStringresolvePropertyValue(Stringvalue) {
StringactualValue=value;
// 如果value是加密的value,则进行解密。if (detector.isEncrypted(value)) {
try {
actualValue=encryptor.decrypt(detector.unwrapEncryptedValue(value.trim()));
        } catch (EncryptionOperationNotPossibleExceptione) {
thrownewDecryptionException("Decryption of Properties failed,  make sure encryption/decryption passwords match", e);
        }
    }
returnactualValue;
}

在这里,解释器通过判断是否包含关键字ENC来作为是否加密的标识,如果包含ENC则会进行解密,反之则直接返回明文。

文章标签:
密钥管理服务
Java
关系型数据库
NoSQL
数据安全/隐私保护
MySQL
Redis
Spring
安全
算法
数据库
夜郎king
目录
相关文章
潇湘信安
|
安全 Java 应用服务中间件
Tomcat绕过某数字抓明文密码
Tomcat绕过某数字抓明文密码
潇湘信安
65 0
GG2020gg
|
2月前
|
安全 Java 应用服务中间件
Tomcat弱口令+后端getshell漏洞
Tomcat弱口令+后端getshell漏洞
GG2020gg
44 6
GG2020gg
|
22天前
|
SQL 开发框架 安全
Web安全-IIS短文件名泄露
Web安全-IIS短文件名泄露
GG2020gg
32 2
游客az7yd3cqma4aw
|
存储 应用服务中间件 Apache
常见的Nginx配置错误原理分析及其危害
常见的Nginx配置错误原理分析及其危害
游客az7yd3cqma4aw
535 0
常见的Nginx配置错误原理分析及其危害
跳楼梯企鹅
|
机器学习/深度学习 网络协议 安全
【网络安全】利用samba服务绕过未开启文件包含配置
利用samba服务绕过未开启文件包含配置
跳楼梯企鹅
144 0
【网络安全】利用samba服务绕过未开启文件包含配置
技术小甜
|
数据安全/隐私保护 Windows 算法
如何为配置文件加密
技术小甜
2086 0
云栖大讲堂
|
安全 jenkins 持续交付
Jenkins弱口令扫描器
云栖大讲堂
3449 0
清山
|
安全 网络安全 数据安全/隐私保护
IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性 处理办法
清山
7744 0
cnbird
|
安全 Windows
Resin远程信息泄露漏洞
受影响系统:   Caucho Technology Resin v3.1.0 for Windows   Caucho Technology Resin v3.
cnbird
1661 0
游客pjff74zls2kpw
|
安全 Linux Shell
Linux服务器总是被猜测密码怎么办?这个脚本帮你简单加固
Linux服务器总是被猜测密码怎么办?这个脚本帮你简单加固
游客pjff74zls2kpw
274 0
Linux服务器总是被猜测密码怎么办?这个脚本帮你简单加固