Мне нужно передать учетные данные через curl в базу данных из нескольких тысяч систем, поскольку каждая из них обновляется. Команда, которой не будут разрешены учетные данные, будет выполнять скрипт. Поэтому я хочу скрыть имя пользователя/пароль от команды обновления.
решение1
Команда, которой не будут предоставлены полномочия, будет исполнять сценарий.
По сути, невозможно. Если этой команде не будет разрешен доступ к учетным данным, то скрипт, который они запускают под своей учетной записью, также не сможет получить доступ к учетным данным. Или, если скрипт может это сделать, то и люди тоже могут, повторяя то, что делает скрипт.
Рассматривали ли вы возможность предоставить им доступ к RPC на сервер, который слушает и имеет доступ к учетным данным, которые делают все, что им нужно (и только то, что им нужно)? Или использовать sudoвозможность запустить этот скрипт, и только этот скрипт, под привилегированной учетной записью (в этом случае убедитесь, что скрипт не может сделать ничего неправильного, передав ему другие аргументы)?