機密情報がcloud-initログに印刷されないようにする

スクリプトはcloud-init秘密を含むように環境変数の値を設定する必要があります。

秘密がログに印刷さPASSれるのを防ぐために、次の特定の構文を変更できますか？PSScloud-init

現在のコード：

以下は、セキュリティ秘密がログファイルに書き込まれるようにするcloud-initスクリプトの一部の例です。

export PASS=$PSS
echo "export PASS='$PSS'" >> /etc/environment
echo "export PASS='$PSS'" >> /etc/bashrc
echo "export PASS='$PSS'" >> /etc/profile

質問：

問題は、上記の現在のコードが変数に含まれる明示的な値をcloud-initログに出力することです。言い換えれば、現在の秘密を保護する唯一の方法は、ログをロックし、秘密の循環に対してできるだけ警戒することです。

私たちに必要なもの：

機密情報が出力およびログに印刷されるのを防ぐためのLinuxの基本的な方法はありますか？

私たちはツールやクラウドにこだわらないようにしています。これは、パイプラインツールの秘密の難読化機能に依存することを避け、AWS、Azure、または他のクラウドプロバイダで実行されている場合でも秘密を隠すことができることを意味します。私たちはこの問題に移植可能でLinux/bashに拘束されないソリューションを望んでいました。

純粋な RHEL だけでなく、Amazon Linux 2 や CentOS など、すべての Linux インスタンスに RHEL ベースのイメージを使用します。

コメントへの返信

@falcajr問題によってcloud-initスクリプトが起動し、#!/bin/bashスクリプトに問題があるかどうかにかかわらず問題が解決します。set -e私たちが見る秘密ログは、cloud initスクリプトが実行されたときのコンソール出力です。間違いなくすでにどこかに保存されているので、独自の自動化システムに別々に保存する必要があります。 OPにはLinuxベースのソリューションが必要なので、ターゲットがどこにあるかは問題ではありません。たとえば、関数がある場合は、obscureFromOutput()有効な構文で構成された疑似コードの代わりに、次のようなものを要求します。

echo "export PASS='obscureFromOutput($PSS)'" >> /etc/environment

@Isaacコメントによると、PSScloud-initスクリプトの入力変数として受け取られます。PSS私たちは他のツールに切り替えてもうまく機能するLinuxベースのソリューションが欲しいので、現在のパッカーが入力変数を送信するツールであることは重要ではないと思います。この問題に対する具体的な解決策がある場合、このOPは特定の解決策を要求します。ARM templatescloud formation

@falcojrその後、各コマンドを次のように作成する2番目の提案を試しましたが、秘密はまだパッカーのコマンドライン出力に表示され、ログにプッシュされました。

echo "export PASS='$PSS'" >> /etc/environment &> /dev/null  

正しい構文を使用していますか？私が試すことができる他のものがありますか？