一部のデータを復号化するために秘密を読む必要があるLinuxネットワークサービスがあります。また、このアプリケーションを使用すると、ユーザーは実行中に暗号化パスワードを変更できます。アプリケーションは別々のユーザーアカウントで実行され、秘密は現在そのユーザーが所有しているファイルにあります。パスワードがファイルにプレーンテキストで表示されているため、この状況を改善する方法を考えています。
アプリケーションはrootとして起動でき、その後アプリケーションユーザーに権限が付与されます。これにより、秘密ファイルをルートが所有できますが、他のデーモンをルートとして実行しないと、パスワード変更のシナリオが中断されます。
私は基本的に秘密がプレーンテキストでディスクに存在するのを防ぎたいと思います。
現在の状況を改善する方法について提案を共有できる人はいますか? keyctlはこれに対してうまくいきますか、それとも通常カーネルの秘密を保存するために使用されますか?
どんなアドバイスもありがとうございました!
この問題は、このサイトでは広範なものと見なされます。範囲を絞り込むには、カーネルキーリング(keyctlを使用)がアプリケーションの秘密を保存するのに適していますか?