您好,登錄后才能下訂單哦!
背景
在實(shí)際項(xiàng)目實(shí)施中,會(huì)編寫(xiě)很多在服務(wù)器執(zhí)行的作業(yè)腳本。程序中凡是涉及到數(shù)據(jù)庫(kù)鏈接、操作系統(tǒng)用戶(hù)鏈接、IP地址、主機(jī)名稱(chēng)的內(nèi)容都是敏感信息。在純內(nèi)網(wǎng)系統(tǒng)中往因?yàn)殚_(kāi)發(fā)時(shí)間緊迫,往往都直接將這些敏感信息明文方式寫(xiě)在腳本中了。
稍微規(guī)范一點(diǎn)的,創(chuàng)建一個(gè)通用的config文件,將所有這類(lèi)敏感信息記錄在這個(gè)文件中,腳本以讀取文件方式獲取這些信息。這種方式的好處是腳本不用在應(yīng)用遷移、災(zāi)備部署的時(shí)候再起不同的版本,尤其是大數(shù)據(jù)平臺(tái)作業(yè)運(yùn)行的腳本,如果是需要做災(zāi)備集群,這種方式可以減少生產(chǎn)變更時(shí)的人工干預(yù)操作。但是這種方式仍不能解決安全性的問(wèn)題,只要config文件泄露,那么平臺(tái)會(huì)非常危險(xiǎn)。
因此在這個(gè)config文件的基礎(chǔ)上,對(duì)其進(jìn)行改造,實(shí)現(xiàn)對(duì)內(nèi)容的加密,而腳本使用時(shí)再對(duì)其進(jìn)行解密。因此要求有一個(gè)程序能對(duì)文本內(nèi)容進(jìn)行加密,也能進(jìn)行反向解密。
不可逆的加密方法使用最多的就是md5加密算法,我們一般用來(lái)檢驗(yàn)文件的完整和安全性,不適用這個(gè)場(chǎng)景。
使用python語(yǔ)言對(duì)文本內(nèi)容進(jìn)行加解密有多種方式,從網(wǎng)上搜索結(jié)果看主要有以下幾種:
1.方法一 使用base64轉(zhuǎn)編碼
Base64是一種用64個(gè)字符來(lái)表示任意二進(jìn)制數(shù)據(jù)的方法。
用記事本打開(kāi)exe、jpg、pdf這些文件時(shí),我們都會(huì)看到一大堆亂碼,因?yàn)槎M(jìn)制文件包含很多無(wú)法顯示和打印的字符,所以,如果要讓記事本這樣的文本處理軟件能處理二進(jìn)制數(shù)據(jù),就需要一個(gè)二進(jìn)制到字符串的轉(zhuǎn)換方法。Base64是一種最常見(jiàn)的二進(jìn)制編碼方法。
Base64的原理很簡(jiǎn)單,首先,準(zhǔn)備一個(gè)包含64個(gè)字符的數(shù)組:
['A', 'B', 'C', ... 'a', 'b', 'c', ... '0', '1', ... '+', '/
']
然后,對(duì)二進(jìn)制數(shù)據(jù)進(jìn)行處理,每3個(gè)字節(jié)一組,一共是3x8=24bit,劃為4組,每組正好6個(gè)bit,得到4個(gè)數(shù)字作為索引,然后查表,獲得相應(yīng)的4個(gè)字符,就是編碼后的字符串。
所以,Base64編碼會(huì)把3字節(jié)的二進(jìn)制數(shù)據(jù)編碼為4字節(jié)的文本數(shù)據(jù),長(zhǎng)度增加33%,好處是編碼后的文本數(shù)據(jù)可以在郵件正文、網(wǎng)頁(yè)等直接顯示。
如果要編碼的二進(jìn)制數(shù)據(jù)不是3的倍數(shù),最后會(huì)剩下1個(gè)或2個(gè)字節(jié)怎么辦?
Base64用\x00字節(jié)在末尾補(bǔ)足后,再在編碼的末尾加上1個(gè)或2個(gè)=號(hào),表示補(bǔ)了多少字節(jié),解碼的時(shí)候,會(huì)自動(dòng)去掉。
Python內(nèi)置的base64可以直接進(jìn)行base64的編解碼:
import base64 userPassword="sunlinemdp201810" unkownPassword=base64.b64encode(bytes(userPassword,'utf-8')) print("加密后:"+str(unkownPassword,'utf-8')) kownPassword=str(base64.b64decode(unkownPassword),'utf-8') print('解密后:'+kownPassword)
補(bǔ)充說(shuō)明:python3中對(duì)字符串加解密的方法 base64.encodestring('test')
不能用 因此只能采用bytes方法然后中間進(jìn)行格式轉(zhuǎn)換
由于標(biāo)準(zhǔn)的Base64編碼后可能出現(xiàn)字符+和/,在URL中就不能直接作為參數(shù),所以又有一種"url urlsafe_b64encode"的base64編碼方法,實(shí)現(xiàn)對(duì)+和/的轉(zhuǎn)碼,在現(xiàn)在使用的版本中這個(gè)功能已經(jīng)整合在b64encode方法中了
userPassword="sunlinemdp201810" unkownPassword=base64.b64encode(bytes(userPassword,'utf-8')) print("加密后:"+str(unkownPassword,'utf-8')) unkownPassword=base64.urlsafe_b64encode(bytes(userPassword,'utf-8')) print("解密后:"+str(unkownPassword,'utf-8')) base64.urlsafe_b64decode(unkownPassword)
2.方法二 win32com.client
樣例代碼如下:
import win32com.client def encrypt(key,content): # key:密鑰,content:明文 EncryptedData = win32com.client.Dispatch('CAPICOM.EncryptedData') EncryptedData.Algorithm.KeyLength = 5 EncryptedData.Algorithm.Name = 2 EncryptedData.SetSecret(key) EncryptedData.Content = content return EncryptedData.Encrypt() def decrypt(key,content): # key:密鑰,content:密文 EncryptedData = win32com.client.Dispatch('CAPICOM.EncryptedData') EncryptedData.Algorithm.KeyLength = 5 EncryptedData.Algorithm.Name = 2 EncryptedData.SetSecret(key) EncryptedData.Decrypt(content) str = EncryptedData.Content return str s1 = encrypt('sunline', 'hello world') s2 = decrypt('sunline', s1) print s1,s2
win32com是python操作windows程序的第三方包,放在服務(wù)器上使用不太合適。
3.方法三 PyCrypto
一個(gè)極好的用于信息安全的python庫(kù),包括所有主流算法。
具體可以參考:
附pycrypto調(diào)用方法
服務(wù)器文件加密實(shí)現(xiàn)
現(xiàn)在假定要對(duì)一個(gè)存儲(chǔ)各類(lèi)ip、賬戶(hù)、密碼的global.properties文件進(jìn)行加密,同時(shí),支持在讀取時(shí)進(jìn)行解密。
global.properties的內(nèi)容假定如下圖所示:
bgp.inceptor.in1.ip=10.22.179.13 bgp.inceptor.in1.default=cmr bgp.inceptor.in2.ip=10.22.179.14 bgp.inceptor.in2.default=default bdp.ldap.mdp.username=mdp bdp.ldap.mdp.password=mdp
每一行使用等號(hào)將信息分為兩段,等號(hào)左邊是信息項(xiàng)名稱(chēng),等號(hào)右邊是信息項(xiàng)具體的內(nèi)容,我們要對(duì)信息項(xiàng)的具體的內(nèi)容進(jìn)行加密。
首先做需求分析,我們的需求可以拆分為以下幾個(gè):
第二步做程序設(shè)計(jì),我是從功能上進(jìn)行拆分設(shè)計(jì):
基本功能包括:
交互操作包括:
輸入輸出設(shè)計(jì):
第三步,首先根據(jù)他人提供的方法做了一個(gè)對(duì)具體字符串進(jìn)行加解密的類(lèi),唯一多做的處理就是對(duì)加密使用的密鑰多了一個(gè)base64編碼的過(guò)程,文件保存為optcrypt.py:
#coding: utf8
'''
實(shí)現(xiàn)對(duì)指定字符串內(nèi)容基于某個(gè)密鑰的加解密內(nèi)容輸出
密鑰使用base64多加一層處理
version: v0.0.1 author: Duwj date: 2018-10-24 ''' import sys from Crypto.Cipher import AES from binascii import b2a_hex, a2b_hex import base64 class optcrypt(): def __init__(self, key): self.key = str(base64.b64decode(key)) self.mode = AES.MODE_CBC #self.iv = Random.new().read(AES.block_size) #加密函數(shù),如果text不是16的倍數(shù)【加密文本text必須為16的倍數(shù)!】,那就補(bǔ)足為16的倍數(shù) def aesencrypt(self, text): #密鑰key 長(zhǎng)度必須為16(AES-128)、24(AES-192)、或32(AES-256)Bytes 長(zhǎng)度.目前AES-128足夠用 cipher = AES.new(self.key, self.mode, self.key) #cipher=AES.new(bytes(self.key), self.mode,Random.new().read(AES.block_size)) #加密文本text必須為16的倍數(shù) add = 16 - (len(text) % 16) text = text + ('\0' * (16 - (len(text) % 16))) self.ciphertext = cipher.encrypt(text) #因?yàn)锳ES加密時(shí)候得到的字符串不一定是ascii字符集的,輸出到終端或者保存時(shí)候可能存在問(wèn)題 #所以這里統(tǒng)一把加密后的字符串轉(zhuǎn)化為16進(jìn)制字符串 return b2a_hex(self.ciphertext) #解密 def aesdecrypt(self, text): cryptor = AES.new(self.key, self.mode, self.key) #16進(jìn)制轉(zhuǎn)回后解密 plain_text = cryptor.decrypt(a2b_hex(text)) #rstrip()去掉補(bǔ)的空格 return plain_text.rstrip('\0') if __name__ == '__main__': #設(shè)置環(huán)境編碼 reload(sys) sys.setdefaultencoding('utf8') #測(cè)試 pc = optcrypt('c3VubGluZW1kcDIwMTgxMQ==') e = pc.aesencrypt("duwj") d = pc.aesdecrypt("d518cdd30b854b84f5aa7c5511e03e38") print "info:duwj,encrypt:"+e+",decrypt:"+d 然后就是依托這個(gè)基礎(chǔ)的字符串加解密類(lèi),實(shí)現(xiàn)對(duì)字符串、文件、信息項(xiàng)的加解密功能,在這個(gè)過(guò)程中沒(méi)有對(duì)復(fù)雜的properties結(jié)構(gòu)進(jìn)行解析,單純的使用=實(shí)現(xiàn)信息項(xiàng)和密文內(nèi)容的分離,文件保存為server.py: #!bin/python #-*- coding: UTF-8 -*- '''
腳本功能:
1. 實(shí)現(xiàn)對(duì)指定字符串內(nèi)容基于某個(gè)密鑰的加解密內(nèi)容輸出
2. 讀取指定加密配置文件,根據(jù)信息項(xiàng)名稱(chēng)讀取指定內(nèi)容后加解密輸出
3. 讀取指定配置文件,對(duì)文件內(nèi)每一行信息項(xiàng)的具體內(nèi)容進(jìn)行加解密后生成新的加解密后的配置文件
使用說(shuō)明:python server.py
-d [選擇方法[se 字符串加密 /sd 字符串解密/ie 信息項(xiàng)加密/id 信息項(xiàng)解密/fe 文件加密/fd 文件加密]]
-k [16位密鑰]
-c [加密內(nèi)容]
-f [文件名稱(chēng)]
-i [信息項(xiàng)名稱(chēng)]
字符串加解密必選項(xiàng): -k -c
信息項(xiàng)加解密必選項(xiàng): -k -f -i
文件加解密必選項(xiàng): -k -f
version: v0.0.1 author: Duwj date: 2018-11-05 ''' import os import sys import getopt from optcrypt import optcrypt #字符串加解密 def stringCrpyt(func_name,value): if func_name =="se": crpyt_value=pc.aesencrypt(value) else: crpyt_value=pc.aesdecrypt(value) return crpyt_value #信息項(xiàng)加解密輸出 def infoCrpyt(func_name,file_name,info_name): value="" try: pro_file = open(file_name, 'Ur') for line in pro_file.readlines(): line = line.strip().replace('\n', '') if info_name == line.split('=')[0]: value = line.split('=')[1] #print value except Exception, e: raise e finally: pro_file.close() if func_name == "ie": crpyt_value=pc.aesencrypt(value) elif func_name=="id": crpyt_value=pc.aesdecrypt(value) return crpyt_value #文件加解密 def fileCrpyt(func_name,file_name): try: read_file = open(file_name,'Ur') write_file = open(file_name+"."+func_name+"crypt",'w') if func_name == "fe": for line in read_file.readlines(): line = line.strip().replace('\n', '') if line=="": pass elif line.find("#")!=-1: write_file.write(line+"\n") else: strs=line.split('=')[0]+"="+pc.aesencrypt(line.split('=')[1]) write_file.write(strs+"\n") else: for line in read_file.readlines(): line = line.strip().replace('\n', '') if line.find("#")!=-1: write_file.write(line+"\n") else: strs=line.split('=')[0]+"="+pc.aesdecrypt(line.split('=')[1]) write_file.write(strs+"\n") except Exception, e: raise e finally: read_file.close() write_file.close() return file_name+"."+func_name+"crypt" if __name__ == "__main__": #設(shè)置環(huán)境編碼 reload(sys) sys.setdefaultencoding('utf8') msg='''使用說(shuō)明:python server.py -d [選擇方法[se 字符串加密 /sd 字符串解密/ie 信息項(xiàng)加密/id 信息項(xiàng)解密/fe 文件加密/fd 文件加密]] -k [16位密鑰] -c [加密內(nèi)容] -f [文件名稱(chēng)] -i [信息項(xiàng)名稱(chēng)] 字符串加解密必選項(xiàng): -k -c 信息項(xiàng)加解密必選項(xiàng): -k -f -i 文件加解密必選項(xiàng): -k -f ''' #獲取參數(shù) opts, args = getopt.getopt(sys.argv[1:], "d:k:c:f:i:") if len(opts)==0: print msg sys.exit(0) for op, value in opts: if op == "-d": func_name = value elif op == "-k": key_content = value elif op == "-c": txt_content = value elif op == "-f": file_name = value elif op == "-i": info_name = value #print(opts) #初始化密鑰 pc = optcrypt(key_content) #根據(jù)功能類(lèi)型執(zhí)行 if func_name in("se","sd"): print stringCrpyt(func_name,txt_content) elif func_name in ("ie","id"): print infoCrpyt(func_name,file_name,info_name) elif func_name in ("fe","fd"): print fileCrpyt(func_name,file_name) else: print("there is no function named "+func_name) sys.exit(0)
注意在項(xiàng)目文件夾中增加一個(gè)init.py文件以便于腳本能識(shí)別optcrypt模塊。
測(cè)試腳本test.sh:
#!/bin/bash #依賴(lài)python pycrypt模塊 安裝這個(gè)模塊的命令是 python setup.py install #系統(tǒng)必須現(xiàn)安裝yum install python-devel #測(cè)試加解密程序 #c3VubGluZW1kcDIwMTgxMQ== 是對(duì) sunlinemdp201811 進(jìn)行base64編碼后的值 可以修改 方法為: # 1.命令行執(zhí)行 python 進(jìn)入python編程環(huán)境 # 2.執(zhí)行以下代碼 # import base64 # print s= base64.b64encode("sunlinemdp201811") # 引號(hào)內(nèi)為想編碼的密鑰文本 #幫助 python server.py #字符串加密 python server.py -d se -k c3VubGluZW1kcDIwMTgxMQ== -c sunline #字符串解密 python server.py -d sd -k c3VubGluZW1kcDIwMTgxMQ== -c cd3f4a3b1c4a189d3fe985495f6f963b #文件加密 python server.py -d fe -k c3VubGluZW1kcDIwMTgxMQ== -f global.properties #文件解密 python server.py -d fd -k c3VubGluZW1kcDIwMTgxMQ== -f global.properties.fecrypt #信息項(xiàng)加密輸出 python server.py -d ie -k c3VubGluZW1kcDIwMTgxMQ== -f global.properties -i database.ora10g.username #信息項(xiàng)解密輸出 python server.py -d id -k c3VubGluZW1kcDIwMTgxMQ== -f global.properties.fecrypt -i database.ora10g.username #shell中獲取python輸出值的方法: outputString=`python server.py -d ie -k c3VubGluZW1kcDIwMTgxMQ== -f global.properties -i database.ora10g.username` echo outputString:${outputString} outputFile=`python server.py -d fe -k c3VubGluZW1kcDIwMTgxMQ== -f global.properties` echo outputFile:${outputFile}
輸出結(jié)果:
[root@localhost encrypt]# ./test.sh 使用說(shuō)明:python server.py -d [選擇方法[se 字符串加密 /sd 字符串解密/ie 信息項(xiàng)加密/id 信息項(xiàng)解密/fe 文件加密/fd 文件加密]] -k [16位密鑰] -c [加密內(nèi)容] -f [文件名稱(chēng)] -i [信息項(xiàng)名稱(chēng)] 字符串加解密必選項(xiàng): -k -c 信息項(xiàng)加解密必選項(xiàng): -k -f -i 文件加解密必選項(xiàng): -k -f cd3f4a3b1c4a189d3fe985495f6f963b sunline global.properties.fecrypt global.properties.fecrypt.fdcrypt d518cdd30b854b84f5aa7c5511e03e38 dw outputString:d518cdd30b854b84f5aa7c5511e03e38 outputFile:global.properties.fecrypt
續(xù)會(huì)對(duì)腳本進(jìn)行內(nèi)容補(bǔ)充,主要是增加一些之前為了功能實(shí)現(xiàn)而忽略的異常處理和日志登記的內(nèi)容。
附程序代碼地址
附加密算法介紹
總結(jié)
以上所述是小編給大家介紹的python實(shí)現(xiàn)對(duì)服務(wù)器腳本敏感信息的加密解密功能,希望對(duì)大家有所幫助,如果大家有任何疑問(wèn)請(qǐng)給我留言,小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)億速云網(wǎng)站的支持!
如果你覺(jué)得本文對(duì)你有幫助,歡迎轉(zhuǎn)載,煩請(qǐng)注明出處,謝謝!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。