Да, а ещё можно хранить в разных хранилках типа Hashicorp Vault, Azure KeyVault и других системах менеджмента секретов, особенно если это не api ключи, а креды (юзернейм, пароль и т.п.). В гитхабе вроде есть возможность хранить секреты и вызывать их из кода в ci/cd пайплайнах
Недавно начал изучать Django и везде слышал, что пароли, учётки итд надо хранить в переменных окружения. Но никто об этом не рассказывал, а Вы сделали с примерами. Благодарю! Очень годный контент делаете.
Спасибо вам за ваш контент. Год назад я еще ничего не знал про программирование. В большей степени благодаря вашему каналу я с головой погрузился в программирование, получил первую работу джуном с хорошим окладом в одной из самых известных компаний мировых. Особая благодарочка за vim. Не знаю как я раньше без него работал. Еще раз спасибо. Один из самых интересных и полезных каналов в рунете.
Мне больше по душе хранить секюрные данные в '.env' файликах, создается два файла '.env' и '.env.example' в корене проектa, в env записываем ключи и значения а в example только ключи, .env разумеется улетает в gitignore. Теперь про то как превратить содержимое .env в переменные окружения, для этого есть библиотечка 'dotenv', к примеру в файле настроек выгружаем переменные окружения из .env файлика строчкой 'load_dotenv()', сразу же обращаемся к ним вот в таком формате BOT_TOKEN = os.getenv('BOT_TOKEN') а потому уже импортируя модуль настроек в любые файлы проекта обращаемся к значению переменой BOT_TOKEN просто по имени. Как по мне достаточно удобно и безопасно.
Не рассказал одну важную вещь: после добавления новых переменных окружения, например, в "~/.bashrc" НЕ ОБЯЗАТЕЛЬНО перелогиниваться/перезагружаться, достаточно выполнить следующую команду в терминале: "source ~/.bashrc".
Существует очень распространенная конвенция dotenv и для ее реализации есть куча библиотек для всех популярных языков. Суть заключается в том, чтобы хранить конфеденциальные данные в файле .env который зачастую находится в корне проетка, и при старте программы, библиотека выгружает эти данные из файла в окружение.
Ещё один из промежуточных вариантов - создание файлов .env и .env.example. Первый есть только локально и мы не помещаем его в гит, а второй нужен для декларирования переменных, необходимых проекту.
ibb.co/K2zpMQg Там все просто ) Но лучше, как сказали коллеги, хранить в .env файле. Кстати говоря на большом проекте таких файлов несколько. Обычно в git кладут "рыбу" с расширением txt где показывают пример .env файла. Для PROD, TEST, DEV файлы и соответственно набор переменных может быть разным. Ну и разумеется в .gitignore добавляется строчка, чтобы такие файлы не попадали в git.
Еще as option удобно хранить с помощью модуля keyring. Хранит пароли он в системном хранилище (keychain в случае макоси ит.д.). Имхо максимально удобный интерфейс. Сам юзаю во всех проектах на python =)
Также можно запихнуть переменные окружения в файл .env (не коммитится! Можно оставить схему этого файла в .env.example). С помощью пакета environ считывать его так: environ.Env.read_env( '.env'). После этого они доступны в коде.
Посмотрите на пакет decouple: Decouple helps you to organize your settings so that you can change parameters without having to redeploy your app. It also makes it easy for you to: - store parameters in ini or .env files; - define comprehensive default values; - properly convert values to the correct data type; - have only one configuration module to rule all your instances.
Xм, только малесенькая поправочка - при развороте в кибернетисе или докете, в правилах деплоя будут указаны эти переменные окружения, с паролями, и эти правила деплоя будут лежать именно в репозитории 😙 На практике - системные никто не использует, только на уровне приложения. Так что остается только хранить в репозитории конфиги для локала и теста, но без прода. А прод env есть только у одного человека.
Спасибо большое за ролик! Особенно приятно видеть как вышел ролик, который я сам просил в комментариях под записью пару дней назад. Очень классно когда ютубер реально слушает аудиторию, а не просто говорит "Вы у меня самые лучшие, ваше мнение важно для меня". Ещё раз огромное спасибо, чуть попозже обязательно кину донат, потому что благодарить одними словами - на мой взгляд, просто неуважение к автору.
возможно расскажу и про них, хотя судя по тому коду, что вижу на code review, что присылают, там до vault еще далеко, люди непосредственно в коде хардкодят пароли и ключи, даже не в настройках
А чем метод с переменными окружения лучше хранения в py-файле отдельном? Как я понимаю sh-файл и py-файл будут лежать в .gitignore. Только с пайтоновским файлом ты импортируешь модуль и используешь переменные, а с sh сначала пишешь в переменные окружения, а потом опять из программы читаешь...
@@КлинокСтальной, ошибка импорта? Так а что, если программист предусмотрел, что этого файла (пусть возьмём, что всё будет в json) может и не быть (if os.path.isfile(): json.load())... Так ещё в .gitignore можно добавлять отдельные файлы и не вижу ничего такого плохого в этом. Плюс, засорять переменные среды системы - не очень хорошая идея, имхо
@@DarkTatarin, json это уже другое, его не надо импортировать. Это не py-файл. Файлы кода всегда должны быть, а не "может есть, а может и нет". Многие ЯП, особенно компилируемые, даже не дадут тебе делать импорт модуля через if, да и в питоне это костыльно и небезопасно. И я не говорил, что надо засорять переменные среды системы. У переменных среды есть вроде бы пять уровней. На уровне системы, на уровне юзера, на уровне терминальной сессии, на уровне процесса, и еще чё то. Самый последний - это переменные среды процесса. Ты в терминале можешь перед командой написать переменные вот так: $ APP_VAR1=1 APP_VAR2=2 python3 start_app.py И эти переменные будут только у запущенной программы. И если ты в коде вызовешь что-то типа setenv("VAR1", "1"), то она будет существовать только на уровне процесса (может, дочерним процессам тоже передастся, я хз) Json тоже неплох для всяких настроек, но переменные окружения более гибки - их можно задавать разными способами. Их реально много. Сложить в файл, попросить systemd задать переменные, попросить gunicorn задать переменные. Очень гибко получается. Можно одно и то же приложение без проблем с разными значениями запускать
Если уж необходимо сохранять чувствительные данные в репозитории, например в случае с IaC, есть утилита git-secret которая использует стандартное PGP шифрования
Лично я использую configParser в своих проектах и соответственно в config.ini хранятся не только API ключи, но много других настроек. Что касается безопасности, то просто добавляю этот config.ini в .gitignore😄
Отличное видео. Жаль раньше не видел- узнал много нового. Ещё одна интересная для новичка тема - не секрет, что сложность вызывает не сам Джанго и первые упражнения по нему из учебника, а начальная настройка проекта. Я имею ввиду на каком-то удалённом сервере поднять Докер контейнер, настроить связь контейнера с внешним репозиторием и внешнего репозитория со своим проектом на локальной машине. Буду очень признателен за ссылку на видео по теме( если такие есть) или если такое видео появится на канале. Спасибо за полезные видео.
Пролистал видео, не увидел решений типа HashCorp Vault/AWS Secrets Manager. В этом случае переменные никогда не попадают на сервер в виде файлов/переменных окружения. что в целом здорово. И в случае Secrets Manager, не нужен никакой токен для доступа, просто дается к секрету доступ с конкретного сервера(или любой другой вариант настройки доступный на Амазоне).
@@oleksiilobodiev9446 yeah, I know. But anyway, this approach wasn't mentioned by author. I think it's separated approach(together with Secrets Manager, of course there are some difference between those services)
на самом деле я один сейчас делаю контент и все по каналу, но говорю МЫ, потому что рассказываю в том числе о проектах нашей команды и что-то на основе нашего общего опыта внутри команды
Передавать переменные через конфиг, который передается вида ./application application.conf плохо? Так можно тестировать и запускать сразу несколько конфигураций.
@@t0digital Возможно. Но в bash проблем не встречал. Zsh, который с недавних пор стал по умолчанию в manjaro и поэтому пришлось им попользоваться (для ознакомления, хотя бы) - у меня в принципе странно работал. Многие переменные окружения перечитывались с ошибками или вовсе не читались. Часть приложений и вовсе перестала запускаться. Вернулся на bash - проблем нет.
В первую очередь, благодарю за полезный контент канале. Очень приятно слушать, не напрягает и все по существу. По делу: Не обязательно перезагружать операционную систему или перелогиниться для подгрузки новых переменных. Это Linux, ему не нужен ребут :) По идее, достаточно выполнить source ~/.bashrc, в котором и объявляются переменные
Видел в какой-то статье в интернете, и сам пользуюсь, чтобы переменные с .bashrc применились, после сохранения файла исполняю source .bashrc, чтобы не перезаходить.
Здравствуйте, уважаемый! Спасибо за интересное видео. Расскажите пожалуйста, как обеспечить защиту данных от утечки на арендованном vps (прежде всего от владельцев vps)?
В текущем проекте подключение к бд храним в переменных окружения. А вот кучу всяких апи кей хранятся в таблице а в код подтягиваются функцией которая через справочник проверяет какой ключ какому пользователю можно выдать
Какая область видимости у переменных, добавленных через файл? Т.е. понятно, что все, что запущено в рамках этого bash процесса руками пользователя - увидит переменные, вопрос в том, могут ли какие-то демоны получить доступ к этим переменным? Тут после обновления ios выяснилось, что на мобильном очень много приложений пытаются читать все, до чего могут дотянуться, включая буфер обмена. Сразу приходит в голову то, что если переменные видны куда-то, кроме приложения, их кто-то утащит. Про продакшен с докером понятно, а как быть с компами разработчиков со всякими facebook меседжерами, и подобными пылесосами конф. данных?
В /proc//environ видны все переменные окружения, доступные запущенному процессу. Этот файл имеет права "только чтение" пользователю процесса (400). Т.е., чтобы лишние процессы не могли прочитать конфиденциальные данные из переменных окружения, нужно запускать целевой процесс от имени отдельного пользователя, под которым больше никто не входит (у него нет прав на интерактивный логин в шелл) и не запускается. Так делают все "взрослые" демоны и утилиты: postgres, nginx, ...
Товарищи. Подскажите пожалуйста, вопрос скорей всего банальный, заранее извиняюсь. Вот перенесли мы ключ в переменную окружения. отправили проект в гит (все это на компьютере на котором ведется разработка). Теперь на самом сервере клонируем данные проект, но где взять ключи? Что-то я не догнал
www.vaultproject.io/ предлагает подход к решению проблем с секретами централизованно, но для маленьких проектов это явно оверкилл. Для полной красоты можно работать с ним через библиотеку github.com/hvac/hvac
Я предпочитаю конфиг файл, добавленный в .gitignore Имхо, выглядит красивее. Если использовать yaml, можно сделать сложную структуру с тем, для чего креды, т.е. есть коннект к базе, для него хост, порт , юзернейм, пасс и есть второй коннект и для него тоже хост, порт , юзернейм, пасс. Конфиг файл, в случае необходимости легко передается на другой ПК или на сервер
те любо кто получает доступ к нашему серверу, например какая то программа, она может прочитать наш ENV и отправить пароли куда то очень далеко? Интересно есть ли более безопасный метод хранения паролей?
В итоге получается, запуская скрипт мы инициализируем переменные и имеем к ним доступ на уровне окружения сессии. Почему вы тогда рекомендуете хранить их на уровне окружения программы?
Не очень понимаю вопрос. Хранение конфиденциальных ключей в переменных окружения стандартная практика. И при запуске монолита отдельно, и для ci/cd, и для контейнеров. Есть отдельные специализированные решения для хранения ключей вроде хешикорп, судя по комментам кто-то их использует
@@t0digital Я просто на основе вашего видео составляю рекомендации для разработчиков и пытаюсь для себя разобраться, на каком действительно уровне доступа создаются и хранятся переменные. В видео вы говорите, что их нужно создавать на 4м уровне окружения программы. Однако запустив скрипт с экспортом переменных, мы по факту инициализировали их на 3м уровне окружения сессии. Получается правильно говорить, что вся конфиденциальная информация хранится на 3м уровне в переменных окружения сессии.
@@alw-3052 setenv.sh установит переменные окружения на уровне сессии, да. Я вроде не говорил в видео, что надо обязательно на 4м уровне создавать переменные окружения. Тут всё зависит от того, как будет запускаться приложение. Если без докера, то скорее всего через systemd, там переменные окружения могут прописываться в файле настройки systemd сервиса и как они там будут работать - для какой-то systemd сессии или для запускаемого файла я даже не знаю. Скорее всего для файла, то есть на 4м уровне, но это не принципиально. Мой рассказ про уровни переменных окружения это просто для понимания где и как могут задаваться эти переменные окружения, не более того.
Мой курс «Хардкорная веб-разработка» - course.to.digital
Вжух!
Вот побольше таких best practices
И музыка отличная
Спасибо!
Знаете, музыка похожа на музыку из торгового дома из Вай Сити
Прекрасно! Спасибо огромное. На старости лет, просто для себя, учу Питон (в детстве программировал на Паскале). А началось все с вашего канала. )
Рад, что полезно! Спасибо!
Четкий канал, без кривляний, тупых приколов. Только полезная и доходчивая информация, без лишней воды.
Спасибооо!
Да, а ещё можно хранить в разных хранилках типа Hashicorp Vault, Azure KeyVault и других системах менеджмента секретов, особенно если это не api ключи, а креды (юзернейм, пароль и т.п.). В гитхабе вроде есть возможность хранить секреты и вызывать их из кода в ci/cd пайплайнах
Единственный нормальный коммент) Хорошей реализацией является Hashicop Vault
а дак вот зачем нужен Vault..., до сего момента я ключи в postman хранил
Недавно начал изучать Django и везде слышал, что пароли, учётки итд надо хранить в переменных окружения. Но никто об этом не рассказывал, а Вы сделали с примерами. Благодарю! Очень годный контент делаете.
Как говорится, пришел по зову сердца
Спасибо, что прислушиваешься к запросам в комментариях! То что просил - получил 🥳 Респект.
Предыдущее видео по Джанго тоже доставило. 👍🏻
Спасибо :)!
Спасибо вам за ваш контент. Год назад я еще ничего не знал про программирование. В большей степени благодаря вашему каналу я с головой погрузился в программирование, получил первую работу джуном с хорошим окладом в одной из самых известных компаний мировых. Особая благодарочка за vim. Не знаю как я раньше без него работал. Еще раз спасибо. Один из самых интересных и полезных каналов в рунете.
Йеее, спасибо! Очень рад за вас!
Умные мысли в слух под красивую спокойную музыку. Спасибо!
Спасибо!
Спасибо тебе! Если что-то нужно узнать по python, то в начале смотрю на твоем канале. И чаще всего нахожу. Да еще в такой понятной и доступной форме.
Спасибооо!
Лайк не глядя, я в натуре думаю что ты лучше чем некоторые блогер "программист"и
Спасибо:)!
Классные видео, с удовольствием все время смотрят у меня в семье парни 12 лет.
Мне больше по душе хранить секюрные данные в '.env' файликах, создается два файла '.env' и '.env.example' в корене проектa, в env записываем ключи и значения а в example только ключи, .env разумеется улетает в gitignore. Теперь про то как превратить содержимое .env в переменные окружения, для этого есть библиотечка 'dotenv', к примеру в файле настроек выгружаем переменные окружения из .env файлика строчкой 'load_dotenv()', сразу же обращаемся к ним вот в таком формате BOT_TOKEN = os.getenv('BOT_TOKEN') а потому уже импортируя модуль настроек в любые файлы проекта обращаемся к значению переменой BOT_TOKEN просто по имени. Как по мне достаточно удобно и безопасно.
Не рассказал одну важную вещь: после добавления новых переменных окружения, например, в "~/.bashrc" НЕ ОБЯЗАТЕЛЬНО перелогиниваться/перезагружаться, достаточно выполнить следующую команду в терминале: "source ~/.bashrc".
Или "exec bash"
Существует очень распространенная конвенция dotenv и для ее реализации есть куча библиотек для всех популярных языков. Суть заключается в том, чтобы хранить конфеденциальные данные в файле .env который зачастую находится в корне проетка, и при старте программы, библиотека выгружает эти данные из файла в окружение.
Спасибо!
Знал, канеш -- но тут разложили по полочкам, можно рекомендовать начинающим коллегам.
Спасибо за классный урок) Как раз изучаю Flask и был вопрос по хранению паролей и настроек проекта, теперь он решен)
Отлично!
Супер годнота! Спасибо за контент , не останавливайся :)
Будем фигачить дальше!
Спасибо что ты есть!
Ещё один из промежуточных вариантов - создание файлов .env и .env.example. Первый есть только локально и мы не помещаем его в гит, а второй нужен для декларирования переменных, необходимых проекту.
Да. И ещё ридми всегда очень кстати
Спасибо большое!!! Как раз то, что нужно!
Ооооо огромное спасибо! Как раз просил на эту тему ролик
Концерт по заявкам:)!
Спасибо! Очень хотелось бы короткий гайд по работе с такими переменными в PyCharm. Подозреваю, что там есть какая-то автоматизация этих процессов.
ibb.co/K2zpMQg Там все просто ) Но лучше, как сказали коллеги, хранить в .env файле. Кстати говоря на большом проекте таких файлов несколько. Обычно в git кладут "рыбу" с расширением txt где показывают пример .env файла. Для PROD, TEST, DEV файлы и соответственно набор переменных может быть разным. Ну и разумеется в .gitignore добавляется строчка, чтобы такие файлы не попадали в git.
Очень понравилось, полезная информация, спасибо огромное, очень ждал
Еще as option удобно хранить с помощью модуля keyring. Хранит пароли он в системном хранилище (keychain в случае макоси ит.д.). Имхо максимально удобный интерфейс. Сам юзаю во всех проектах на python =)
Также можно запихнуть переменные окружения в файл .env (не коммитится! Можно оставить схему этого файла в .env.example). С помощью пакета environ считывать его так: environ.Env.read_env( '.env'). После этого они доступны в коде.
Как говорится не по колокольчику, а по зову сердца)
Хахах :) спасибо!
Весьма информативно, спасибо за ролик!
Звук - бомба.
Музыка - лишняя.
Cheers! ✌
Было бы замечательно сделать видос по доккеру и его настройке)
думаю, сделаю
Посмотрите на пакет decouple:
Decouple helps you to organize your settings so that you can change parameters without having to redeploy your app.
It also makes it easy for you to:
- store parameters in ini or .env files;
- define comprehensive default values;
- properly convert values to the correct data type;
- have only one configuration module to rule all your instances.
Просьба сделать видос про тестирование в django!!!
Будет такой видос:)
Xм, только малесенькая поправочка - при развороте в кибернетисе или докете, в правилах деплоя будут указаны эти переменные окружения, с паролями, и эти правила деплоя будут лежать именно в репозитории 😙
На практике - системные никто не использует, только на уровне приложения. Так что остается только хранить в репозитории конфиги для локала и теста, но без прода. А прод env есть только у одного человека.
Спасибо большое за ролик! Особенно приятно видеть как вышел ролик, который я сам просил в комментариях под записью пару дней назад. Очень классно когда ютубер реально слушает аудиторию, а не просто говорит "Вы у меня самые лучшие, ваше мнение важно для меня". Ещё раз огромное спасибо, чуть попозже обязательно кину донат, потому что благодарить одними словами - на мой взгляд, просто неуважение к автору.
Ожидал услышать что-то про vault и системы хранения паролей...
возможно расскажу и про них, хотя судя по тому коду, что вижу на code review, что присылают, там до vault еще далеко, люди непосредственно в коде хардкодят пароли и ключи, даже не в настройках
@@t0digital будем ждать!
А чем метод с переменными окружения лучше хранения в py-файле отдельном? Как я понимаю sh-файл и py-файл будут лежать в .gitignore. Только с пайтоновским файлом ты импортируешь модуль и используешь переменные, а с sh сначала пишешь в переменные окружения, а потом опять из программы читаешь...
Я подозреваю что единственное преимущество это то что в докер проще будет прокинуть переменную окружения чем файл
Если .py файла не будет, то будет ошибка импорта. Всё таки это раз это код, то теперь это часть проекта, которую нельзя добавлять в .gitignore.
@@КлинокСтальной, ошибка импорта? Так а что, если программист предусмотрел, что этого файла (пусть возьмём, что всё будет в json) может и не быть (if os.path.isfile(): json.load())...
Так ещё в .gitignore можно добавлять отдельные файлы и не вижу ничего такого плохого в этом. Плюс, засорять переменные среды системы - не очень хорошая идея, имхо
@@DarkTatarin, json это уже другое, его не надо импортировать. Это не py-файл. Файлы кода всегда должны быть, а не "может есть, а может и нет". Многие ЯП, особенно компилируемые, даже не дадут тебе делать импорт модуля через if, да и в питоне это костыльно и небезопасно.
И я не говорил, что надо засорять переменные среды системы. У переменных среды есть вроде бы пять уровней. На уровне системы, на уровне юзера, на уровне терминальной сессии, на уровне процесса, и еще чё то. Самый последний - это переменные среды процесса. Ты в терминале можешь перед командой написать переменные вот так:
$ APP_VAR1=1 APP_VAR2=2 python3 start_app.py
И эти переменные будут только у запущенной программы.
И если ты в коде вызовешь что-то типа setenv("VAR1", "1"), то она будет существовать только на уровне процесса (может, дочерним процессам тоже передастся, я хз)
Json тоже неплох для всяких настроек, но переменные окружения более гибки - их можно задавать разными способами. Их реально много. Сложить в файл, попросить systemd задать переменные, попросить gunicorn задать переменные. Очень гибко получается. Можно одно и то же приложение без проблем с разными значениями запускать
Очень полезно и хорошо рассказано!)
Спасибо!
Спасибо! А немножко про Vault?
7:36
пэсс - pass - проходить
па(тот самый звук) - path - путь
Интересно было бы дополнить материал системами типа Vault.
Возможно сделаю, спасибо
Спасибо за видео 👍
Если уж необходимо сохранять чувствительные данные в репозитории, например в случае с IaC, есть утилита git-secret которая использует стандартное PGP шифрования
Круто, оч полезно, спасибо!
Спасибо за урок!)
Спасибо за видео
По старинке пользуюсь конфигурационными файлами, и норм
Не безопасно
Лично я использую configParser в своих проектах и соответственно в config.ini хранятся не только API ключи, но много других настроек. Что касается безопасности, то просто добавляю этот config.ini в .gitignore😄
Для того что бы не перезагружать систему после добавления новых переменных окружения, можно использовать команду 'source'
Отличное видео. Жаль раньше не видел- узнал много нового. Ещё одна интересная для новичка тема - не секрет, что сложность вызывает не сам Джанго и первые упражнения по нему из учебника, а начальная настройка проекта. Я имею ввиду на каком-то удалённом сервере поднять Докер контейнер, настроить связь контейнера с внешним репозиторием и внешнего репозитория со своим проектом на локальной машине. Буду очень признателен за ссылку на видео по теме( если такие есть) или если такое видео появится на канале. Спасибо за полезные видео.
Каждый день новые видосы, я попал в рай?
Сделаем и этот мир райским:)!
Есть замечательная штука для того, чтобы можно было держать ключи в гите, Mozilla SOPS называется) ключи от него могут быть у разрабов и в CI
Применить изменения в кофиге без перезапуска сессии и перезагрузки: "source ~/.zshenv" , "source ~/.bashrc"
Да, можно так
Я просто создавал пайтон файл в котором определял переменные, и импортировал в конфиг
То, что надо. Спасибо!
Спасибо, очень жду видео по эксепшенам
Скоро будет
Был бы здорово если бы вы сделали видео про асинхронность в python. Контен огонь)
Спасибо! Про асинхронность будет!
Здорово)
Спасибо! Было познавательно
рад, что полезно!
Полезно, большое спасибо!
Рад, что полезно :)!
Пролистал видео, не увидел решений типа HashCorp Vault/AWS Secrets Manager. В этом случае переменные никогда не попадают на сервер в виде файлов/переменных окружения. что в целом здорово. И в случае Secrets Manager, не нужен никакой токен для доступа, просто дается к секрету доступ с конкретного сервера(или любой другой вариант настройки доступный на Амазоне).
HashiCorp Vault have some config file for this task
@@oleksiilobodiev9446 yeah, I know. But anyway, this approach wasn't mentioned by author. I think it's separated approach(together with Secrets Manager, of course there are some difference between those services)
"Поддержать нас". Кто входит в команду? Очень интересно, кто создаёт такой прекрасный и полезный материал))
на самом деле я один сейчас делаю контент и все по каналу, но говорю МЫ, потому что рассказываю в том числе о проектах нашей команды и что-то на основе нашего общего опыта внутри команды
Спасибо большое! Очень помогли!
Не глядя, лайк!
Круто. Спасибо большое
Передавать переменные через конфиг, который передается вида ./application application.conf плохо?
Так можно тестировать и запускать сразу несколько конфигураций.
Спасибо, было полезно. Как и всегда впрочем)
Спасибо.
Расскажи про pipenv/virtualenv ещё
Перелогиниваться не обязательно. Можно сделать:
$ source path_to_file
Переменные перечитаются из нужного файла
Это не всегда работает корректно, зависит от настроек/плагинов в используемом шелле
@@t0digital Возможно. Но в bash проблем не встречал. Zsh, который с недавних пор стал по умолчанию в manjaro и поэтому пришлось им попользоваться (для ознакомления, хотя бы) - у меня в принципе странно работал. Многие переменные окружения перечитывались с ошибками или вовсе не читались. Часть приложений и вовсе перестала запускаться. Вернулся на bash - проблем нет.
Супер!
Ничего не понял, но очень интересно
Полезное видео, спасибо!
Отличное видео.
спасибо!
Хороший канал
Спасибо!
музыка зачет
Спасибо, было полезно
Почему про dotenv не рассказал?
В первую очередь, благодарю за полезный контент канале. Очень приятно слушать, не напрягает и все по существу.
По делу: Не обязательно перезагружать операционную систему или перелогиниться для подгрузки новых переменных. Это Linux, ему не нужен ребут :)
По идее, достаточно выполнить source ~/.bashrc, в котором и объявляются переменные
Спасибо!
Видел в какой-то статье в интернете, и сам пользуюсь, чтобы переменные с .bashrc применились, после сохранения файла исполняю source .bashrc, чтобы не перезаходить.
Можно, но может приводить к ошибкам, там может быть много всего понаписано корявенького)
Диджитализируй! Окей, спасибо, потому и написал, узнать, ок или нет)
Здравствуйте, уважаемый! Спасибо за интересное видео. Расскажите пожалуйста, как обеспечить защиту данных от утечки на арендованном vps (прежде всего от владельцев vps)?
Аренда VPS по сути подразумевает доверие владельцам VPS. Не думаю, что стоит париться об этом, если арендуете машину не у ноунеймов
В текущем проекте подключение к бд храним в переменных окружения. А вот кучу всяких апи кей хранятся в таблице а в код подтягиваются функцией которая через справочник проверяет какой ключ какому пользователю можно выдать
Какая область видимости у переменных, добавленных через файл? Т.е. понятно, что все, что запущено в рамках этого bash процесса руками пользователя - увидит переменные, вопрос в том, могут ли какие-то демоны получить доступ к этим переменным? Тут после обновления ios выяснилось, что на мобильном очень много приложений пытаются читать все, до чего могут дотянуться, включая буфер обмена. Сразу приходит в голову то, что если переменные видны куда-то, кроме приложения, их кто-то утащит. Про продакшен с докером понятно, а как быть с компами разработчиков со всякими facebook меседжерами, и подобными пылесосами конф. данных?
В /proc//environ видны все переменные окружения, доступные запущенному процессу. Этот файл имеет права "только чтение" пользователю процесса (400). Т.е., чтобы лишние процессы не могли прочитать конфиденциальные данные из переменных окружения, нужно запускать целевой процесс от имени отдельного пользователя, под которым больше никто не входит (у него нет прав на интерактивный логин в шелл) и не запускается. Так делают все "взрослые" демоны и утилиты: postgres, nginx, ...
Товарищи. Подскажите пожалуйста, вопрос скорей всего банальный, заранее извиняюсь. Вот перенесли мы ключ в переменную окружения. отправили проект в гит (все это на компьютере на котором ведется разработка). Теперь на самом сервере клонируем данные проект, но где взять ключи? Что-то я не догнал
Спасибо
спасибо)
Отличный видос! А что вы скажите на счёт git-crypt?
В целом супер, но не сказал как имея этот sh скрипт пользоваться им в проекте.
Подписался на boosty
Юхууу, спасибо!
А мне нравится django-environ. =)
Спасибо! Более-менее понял. Это хороший или неочень комментарий
Что за шрифт?! Очень классный
Скорее всего Monaco
Дружище, а как то можно их получать из Маковского key-chain? И сразу второй вопрос, а есть ли библиотека на Python взаимодействующая с key-chain?
www.vaultproject.io/ предлагает подход к решению проблем с секретами централизованно, но для маленьких проектов это явно оверкилл. Для полной красоты можно работать с ним через библиотеку github.com/hvac/hvac
Awesome!
Хм, а чем не устраивает вариант с использованием пакета python-dotenv? Вроде удобнее
Я предпочитаю конфиг файл, добавленный в .gitignore Имхо, выглядит красивее. Если использовать yaml, можно сделать сложную структуру с тем, для чего креды, т.е. есть коннект к базе, для него хост, порт , юзернейм, пасс и есть второй коннект и для него тоже хост, порт , юзернейм, пасс. Конфиг файл, в случае необходимости легко передается на другой ПК или на сервер
Тоже так делаю, храню данные в json файле в виде словаря, добавляю в гитигнор и импортирую в файл конфигурации
те любо кто получает доступ к нашему серверу, например какая то программа, она может прочитать наш ENV и отправить пароли куда то очень далеко? Интересно есть ли более безопасный метод хранения паролей?
Ещё есть ~/.profile считывается с него после авторизации пользователя
Как хранить пароли, что бы админы хостов не могли их знать? Ведь даже переменные окружения не защищают от админов хостинга, которые видят все файлы.
Почему просто не хранить ключи во внешнем txt или json файле?
В итоге получается, запуская скрипт мы инициализируем переменные и имеем к ним доступ на уровне окружения сессии. Почему вы тогда рекомендуете хранить их на уровне окружения программы?
Не очень понимаю вопрос. Хранение конфиденциальных ключей в переменных окружения стандартная практика. И при запуске монолита отдельно, и для ci/cd, и для контейнеров. Есть отдельные специализированные решения для хранения ключей вроде хешикорп, судя по комментам кто-то их использует
@@t0digital Я просто на основе вашего видео составляю рекомендации для разработчиков и пытаюсь для себя разобраться, на каком действительно уровне доступа создаются и хранятся переменные.
В видео вы говорите, что их нужно создавать на 4м уровне окружения программы. Однако запустив скрипт с экспортом переменных, мы по факту инициализировали их на 3м уровне окружения сессии.
Получается правильно говорить, что вся конфиденциальная информация хранится на 3м уровне в переменных окружения сессии.
@@alw-3052 setenv.sh установит переменные окружения на уровне сессии, да. Я вроде не говорил в видео, что надо обязательно на 4м уровне создавать переменные окружения. Тут всё зависит от того, как будет запускаться приложение. Если без докера, то скорее всего через systemd, там переменные окружения могут прописываться в файле настройки systemd сервиса и как они там будут работать - для какой-то systemd сессии или для запускаемого файла я даже не знаю. Скорее всего для файла, то есть на 4м уровне, но это не принципиально.
Мой рассказ про уровни переменных окружения это просто для понимания где и как могут задаваться эти переменные окружения, не более того.
@@t0digital теперь разобрался. Спасибо! Очень полезное видео.