Security 是否将dotenv文件保留在服务器中？还是删除它？_Security_Web_Devops_Production_Dotenv

Security 是否将dotenv文件保留在服务器中？还是删除它？

security web

Security 是否将dotenv文件保留在服务器中？还是删除它？,security,web,devops,production,dotenv,Security,Web,Devops,Production,Dotenv,我正在构建一个flask应用程序，并使用dotenv文件将一些变量切换到环境，例如生产、开发和测试 AFAIK dotenv主要用于安全目的，因此我应该在开始运行应用程序后从服务器上删除dotenv文件吗？如果是这样，当应用程序关闭时，我需要从某个地方提取dotenv，重新运行应用程序，然后再次删除该文件。将dotenv文件留在服务器中可能不是一个好主意，但从运营角度来看，上述内容听起来有点烦人最佳做法是什么？保护此文件的正确方法是使用UNIX文件perms chmod 600 .env

我正在构建一个flask应用程序，并使用dotenv文件将一些变量切换到环境，例如生产、开发和测试

AFAIK dotenv主要用于安全目的，因此我应该在开始运行应用程序后从服务器上删除dotenv文件吗？
如果是这样，当应用程序关闭时，我需要从某个地方提取dotenv，重新运行应用程序，然后再次删除该文件。

将dotenv文件留在服务器中可能不是一个好主意，
但从运营角度来看，上述内容听起来有点烦人

最佳做法是什么？

保护此文件的正确方法是使用UNIX文件perms

chmod 600 .env

然后用

ls-l.env

检查烫发是否正确：

-rw-------  1 appuser somegroup  0 Oct 18 01:23 .env

使用此用户帐户具有shell访问权限的任何人都可以读取该文件，但也可以使用

set

命令查看所有环境变量。执行上述步骤可防止其他系统用户读取文件

dotenv

的安全性在于，它可以防止您将机密硬编码到

.py

文件中，从而将其提交给源代码管理。

谢谢v25。我认为能够访问服务器的破解者可能知道appuser信息，也就是说，他们可以以appuser的身份读取文件。但你的意思是，泄露appuser信息与dotenv安全问题是不同的，我可以使用dotenv，假设appuser信息没有泄露？