<b>API-ключи в self-hosted: 5 мест, где секреты утекают чаще всего</b>
Секрет в self-hosted ломается не «через хакеров», а через быт: логирование, бэкапы, .env на диске, права на папки и забытые вебхуки. Под капотом всё устроено проще, чем кажется: если секрет попал в текстовый файл, он уже почти публичный.
— Храни ключи вне репозитория: .env не должен уезжать в Git, архивы и артефакты CI.
— Ограничивай права: контейнеру не нужен root и доступ ко всему тому, что видит хост.
— Разделяй секреты по сервисам: один ключ на всё — это один инцидент на всё.
— Ротируй то, что уже светилось в логах, дампах и чатах; «потом поменяю» здесь не работает.
— Маскируй секреты в логах и алертах, иначе мониторинг становится утечкой с красивой диаграммой.
Отдельно проверь бэкапы: в них часто лежат и конфиги, и токены, и приватные ключи. Если делаешь snapshot всей машины, считай, что копируешь не только данные, но и будущую точку компрометации.
Нормальная схема простая: vault или хотя бы зашифрованное хранилище, минимальные права, короткоживущие токены, запрет на секреты в логах. Контроль над стеком — это контроль над прибылью.
Self-hosted арсенал
@self_hosted_arsenal_ubt
<b>API-ключи в self-hosted: 5 мест, где секреты утекают чаще всего</b>
Этот пост опубликован в Telegram-канале Self-hosted арсенал. Подписаться можно по ссылке: @self_hosted_arsenal_ubt.