na most ha egy hacker belepett a gepedre es full root joga van, akkor korulbelul mindegy is mit es hol titkositasz. Hiszen akkor arrol beszelunk, hogy akar egy adminisztrator mit tud csinalni. Na most akkor erre egyszeru a megoldas, senki sem ferhet hozza a gephez, a release stb minden kodbol megy. Persze feltorhetik a gitlab-otokat is es akkor a hacker indihta egy release-t a sajat verziojaval. :D
Azt modod, hogy ha az adatot tikositod a DB-ben, akkor ahhoz a hacker nem fer hozza, ha feltori a kliens oldalon a gepet es mindent lekerdezhet/megszerezhet? Miert is nem?
Szoval eljuthatunk odaig, hogy a legjobb, ha kihuzod az arambol es leontod gyrsan szarado betonnal az egeszet.
Amit itt tudni kellene, hogy mi is a cel es mit hol lehet auditalni es azonnal lecsapni, ha valami baj van.
Peldaul a fenti peldaban ha az alkalmazas fer csak hozza a DB-hez es egyikhez sem fer hozza elo ember (ami alegge nehezitheti a munkat, hiszen tuti hogy a DBA-knak azert ezt azt varazsolniuk kell, szoval lehet time-limit hozzaferes esetleg nekik audittal es alerttel), akkor biozny egy csomo vektort meg is szuntettunk.
Masreszt nem valami scriptben tarolod el a tokenhez szukseges adatot, hanem jon az magatol protokollokon. Pl.: az appod egy API-t hiv meg OIDC-vel (oke meg mindig kell a client secret, plusz magahoz az apphoz is kell a felhsznalonak autholnia magat) de az API kizarolag a GET_TOKEN-t engedi ennek a client-nek es semmi mast. Amire visszadob egy tokent, amivel az tud authenticalni a DB-hez kb 5 percig. A DB-ben RBAC alapon engedjuk csak a kliensnek azt lekerdezni amit o lekerdezhet (a penisz meretet mondjuk pont nem) auditaljuk a query-ket es monitorizzuk ki mit szeretne, es alertelunk, esetleg azonnal lecsapjuk a klienst/kitiltjuk a felhasznalot (nem loginolhat be az app-ba).
A fenti esetben a geprol nem tud a hacker semmit sem inditani, csak is az alkalmazas kepes arra, hogy barmilyen muveletet vegezzen, ahhoz meg a hackernek authentikalnia kell magat. Szoval itt ket dolgora is szuksege van. Hiaba van bent root-kent a gepen, kell neki egy munkatars username/jelszava es az MFA push uzenet elkapasa is