Ich gehe davon aus, dass Sie Apache verwenden.
Fügen Sie die geheimen Daten in eine Umgebungsvariable in /etc/apache2/envvars ein , setzen Sie den Eigentümer auf root und die Berechtigungen auf 400.
Ein Angreifer muss den Server kompromittieren, um an Ihren Schlüssel zu kommen.
Sie können auch ein Skript erstellen, das nach dem Geheimnis fragt, wenn Apache gestartet wird (lästig, aber noch sicherer).
Beachten Sie, dass Personen mit Root-Zugriff immer in der Lage zu sein, Ihren Schlüssel zu bekommen und zu versuchen, ihn vor ihnen zu verstecken, ist nur ein Placebo.
Placebo-Lösung:
- Halten Sie Ihre Anwendung standardmäßig im Leerlauf, bis Sie Ihren Schlüssel auf eine HTTPS-Seite innerhalb derselben Anwendung POSTEN, speichern Sie Ihren Schlüssel in einer globalen Variablen und fahren Sie mit Ihrem Geschäft fort. Sie müssen den Lebenszyklus des PHP-Prozesses berücksichtigen (wenn der Prozess beendet wird, müssen Sie Ihren Schlüssel erneut senden).
