AI 助理
备案控制台
开发者社区 数据库 文章 正文

干掉配置文件中的明文,提升应用安全!

2022-08-24 546
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 几乎所有应用都会配置一些敏感信息,比如生产环境mysql数据库的用户名和密码,生产redis的密码,生产机器es的密码,甚至于服务器的root密码等等。试想如果是一个发布在互联网的应用,假如这些配置信息被恶意劫持,用户信息被随意泄露,企业有可能因此被摁在地上摩擦,

几乎所有应用都会配置一些敏感信息,比如生产环境mysql数据库的用户名和密码,生产redis的密码,生产机器es的密码,甚至于服务器的root密码等等。试想如果是一个发布在互联网的应用,假如这些配置信息被恶意劫持,用户信息被随意泄露,企业有可能因此被摁在地上摩擦,除了跑路还有其它的选择吗?


通常情况下,除了防止直接在生产上暴露真实密码,还有内部用户误操作,研发的同学会将关键信息进行加密,防止恶意偷窥。本文将以springoot为例,讲解如何在springboot中将配置文件的敏感信息进行加密。


加解密技术是一门精妙的数学艺术,本文不在加解密算法上进行深入讲解,只从工程应用的层面,阐述jasypt加解密技术在springboot项目中的应用,jasypt不局限与springboot,也可以在传统spring项目中引用。跟随下面的步骤来加密你的应用。


第一步:jasypt maven引用

<dependency><groupId>com.github.ulisesbocchio</groupId><artifactId>jasypt-spring-boot-starter</artifactId><version>2.0.0</version></dependency>

用starter的方式集成最简单,在springboot项目启动时会自动集成加解密功能,无需在启动函数上定义相关注解,是最简单的一种集成方式。

第二步:在yml中定义秘钥

#jasypt加解密jasypt:  encryptor:    password = xxx@yelangking

注意,以上秘钥要特别注意保密,jasypt 是对称加密,这个秘钥一定要保存好,可以设置得比较复杂。

第三步:关键信息加密

master:    url: jdbc:mysql://localhost:3306/ry0320?useUnicode=true&characterEncoding=utf8&zeroDateTimeBehavior=convertToNull&useSSL=true&serverTimezone=GMT%2B8
    username: ENC(cj0tF0M9/cFdu69HL2EyAQ==)
    password: ENC(G2EMSuKtH3sBA5bHrjmtZg==)

所有需要加密的关键信息都冠以ENC(XXX),XXX为加密后的密文。

通过以上步骤就可以完成关键信息加密,直接启动应用就可以了。是不是很简单,通过这些简单的集成,可以有效避免这些配置信息在机器上裸奔。

启动日志如下:

09:55:22.154 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [lambda$new$2,33] - String Encryptor custom Bean not found with name 'jasyptStringEncryptor'. Initializing Default String Encryptor
09:55:22.185 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.algorithm, using default value: PBEWithMD5AndDES
09:55:22.186 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.keyObtentionIterations, using default value: 100009:55:22.188 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.poolSize, using default value: 109:55:22.189 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.providerName, using default value: null
09:55:22.190 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.providerClassName, using default value: null
09:55:22.191 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.saltGeneratorClassname, using default value: org.jasypt.salt.RandomSaltGenerator
09:55:22.194 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.stringOutputType, using default value: base64

上述日志是因为没有配置相关参数,springboot帮我们生成了默认的bean,在生产中可以引入更复杂的参数,让你的应用更安全。

后话一:如何生成密文

BasicTextEncryptortextEncryptor=newBasicTextEncryptor();
// 加密所需的salttextEncryptor.setPassword("xxx@yelangking");
// 要加密的数据(数据库的用户名或密码)Stringusername=textEncryptor.encrypt("root");
Stringpassword=textEncryptor.encrypt("mysql");
System.out.println("username:"+username);
System.out.println("password:"+password);
// 要解密的数据(数据库的用户名或密码)username=textEncryptor.decrypt(username);
password=textEncryptor.decrypt(password);
System.out.println("username:"+username);
System.out.println("password:"+password);

以上代码可以用main方法运行,也可以使用junit完成。

后话二:springboot深入集成jasypt关键代码:

publicclassEnableEncryptablePropertiesBeanFactoryPostProcessorimplementsBeanFactoryPostProcessor, ApplicationListener<ApplicationEvent>, Ordered {
@OverridepublicvoidpostProcessBeanFactory(ConfigurableListableBeanFactorybeanFactory) throwsBeansException {
// 得到加密字符串的处理类(已经加密的密码通过它来解密)EncryptablePropertyResolverpropertyResolver=beanFactory.getBean(RESOLVER_BEAN_NAME, EncryptablePropertyResolver.class);
// springboot下的Environment里包含了所有我们定义的属性, 也就包含了application.properties中所有的属性MutablePropertySourcespropSources=environment.getPropertySources();
// 核心,PropertySource的getProperty(String)方法委托给EncryptablePropertySourceWrapperconvertPropertySources(interceptionMode, propertyResolver, propSources);
    }
}

convertPropertySources中实现了具体的解密方法:

@OverridepublicStringresolvePropertyValue(Stringvalue) {
StringactualValue=value;
// 如果value是加密的value,则进行解密。if (detector.isEncrypted(value)) {
try {
actualValue=encryptor.decrypt(detector.unwrapEncryptedValue(value.trim()));
        } catch (EncryptionOperationNotPossibleExceptione) {
thrownewDecryptionException("Decryption of Properties failed,  make sure encryption/decryption passwords match", e);
        }
    }
returnactualValue;
}

在这里,解释器通过判断是否包含关键字ENC来作为是否加密的标识,如果包含ENC则会进行解密,反之则直接返回明文。

文章标签:
密钥管理服务
Java
关系型数据库
NoSQL
数据安全/隐私保护
MySQL
Redis
Spring
安全
算法
数据库
夜郎king
目录
相关文章
潇湘信安
|
安全 Java 应用服务中间件
Tomcat绕过某数字抓明文密码
Tomcat绕过某数字抓明文密码
潇湘信安
81 0
刘悦的技术博客
|
存储 安全 Linux
别让你的服务器(vps)沦为肉鸡(ssh暴力破解),密钥验证、双向因子登录值得拥有
如果你购买了阿里云、腾讯云或者华为云等国内云服务上的服务器,默认登录都是以密码的方式,这就给潜在的渗透带来了机会,因为当你的linux服务器暴露在外网当中时,服务器就极有可能会遭到互联网上的扫描软件进行扫描,然后试图连接ssh端口进行暴力破解(穷举扫描),如果你不采取相对应的措施,迟早有一天服务器会被渗透者攻陷,这也就解释了为什么google cloud(谷歌云)和aws(亚马逊云)默认都是以秘钥的方式登录服务器。
刘悦的技术博客
553 0
别让你的服务器(vps)沦为肉鸡(ssh暴力破解),密钥验证、双向因子登录值得拥有
跳楼梯企鹅
|
机器学习/深度学习 网络协议 安全
【网络安全】利用samba服务绕过未开启文件包含配置
利用samba服务绕过未开启文件包含配置
跳楼梯企鹅
165 0
【网络安全】利用samba服务绕过未开启文件包含配置
cnbird
|
安全 Windows
Resin远程信息泄露漏洞
受影响系统:   Caucho Technology Resin v3.1.0 for Windows   Caucho Technology Resin v3.
cnbird
1684 0
夕阳丶丶丶
|
安全 数据安全/隐私保护
服务器远程的安全管理办法
远程登录进行服务器的管理和维护是管理员的日常工作之一,如何保障远登录的安全性也是大家必须要考虑的问题。本文将从帐户管理和登录工具的安全部署两个方面入手,壹基比小喻教你如何实现服务器的安全登录。一、严密设置加强帐户安全1、帐户改名Administrator和guest是Server 2003默认的系统帐户,正因如此它们是最可能被利用,攻击者通过破解密码而登录服务器。
夕阳丶丶丶
1938 0
技术小胖子
|
安全 应用服务中间件 Apache
一个伪黑客的成功的秘密1:tomcat入侵
技术小胖子
2192 0
技术小胖子
|
安全 Java 应用服务中间件
一个伪黑客的成功的秘密2:Jboss入侵
技术小胖子
1392 0
最美的回忆
|
安全 算法 程序员
程序员之网络安全系列(二):如何安全保存用户密码及哈希算法
最美的回忆
1607 0
科技小能手
|
网络安全 数据安全/隐私保护 Windows
网络安全系列之四十六 在IIS6中配置目录安全性
科技小能手
1091 0
技术小胖子
|
安全 Linux 数据安全/隐私保护
用OSSIM检查出Grub2登录验证绕过0Day漏洞
技术小胖子
935 0

热门文章

最新文章

  • 1
    【实战】锐捷AC+AP配置WLAN基本服务系列
  • 2
    丰富、连接、待集成—MaxCompute 生态再出发
  • 3
    Tomcat 7.0 64位免安装解压版 安装及配置
  • 4
    securecrt克隆会话与sshd 的 MaxSessions
  • 5
    安卓支持RISC-V架构的技术剖析
  • 6
    生成文件的另一种思路——共享文件同步
  • 7
    高阶自定义View --- 粒子变幻、隧道散列、组合文字
  • 8
    奇虎团队不到1分钟攻破谷歌Pixel 斩获12万美元奖金
  • 9
    npm使用指南
  • 10
    Visual Studio 2010快捷键大全
  • 1
    Smolagents:三行代码就能开发 AI 智能体,Hugging Face 开源轻量级 Agent 构建库
    116
  • 2
    Cognita:小白也能搭建 RAG 系统,提供交互界面的开源模块化 RAG 框架,支持多种文档检索技术
    27
  • 3
    SocraticLM:通过 AI 提问引导学生主动思考,中科大与科大讯飞联合推出苏格拉底式教育大模型
    26
  • 4
    SoulChat2.0:低成本构建 AI 心理咨询师,华南理工开源心理咨询师数字孪生大语言模型
    25
  • 5
    TryOffAnyone:快速将模特服装图还原为平铺商品图,生成标准化的服装展示效果
    28
  • 6
    VITRON:开源像素级视觉大模型,同时满足图像与视频理解、生成、分割和编辑等视觉任务
    26
  • 7
    Memory Layers:如何在不增加算力成本的情况下扩大模型的参数容量?Meta 开源解决方法
    24
  • 8
    ImBD:复旦联合华南理工推出 AI 内容检测模型,快速辨别文本内容是否为 AI 生成
    21
  • 9
    《量子硬件制造:降低退相干率与错误率的策略》
    22
  • 10
    《量子计算硬件:关键指标对人工智能应用性能的影响》
    89

    • 相关电子书

    更多
  • 代码未写,漏洞已出——谈谈设计不当导致的安全问题
  • 低代码开发师(初级)实战教程
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    阿里云无影云电脑免费试用,最长可试用3个月