我应该在git检查生产服务器数据库密码吗?这里的最佳实践是什么?我应该让这个密码和root linux密码不同吗?从操作系统/密码的角度来看,还有其他安全最佳实践吗?
无论您使用github还是您自己的git服务器,都不应该在git中存储生产密码。这只是另一个潜在的失败/漏洞点。如果您已经这样做了,您应该删除包含它们的文件(也从历史记录中)-有许多SO问题如何做到这一点。如果您已经将这些文件推送到远程服务器,您应该更改密码。
作为最佳实践,您可以使用dotenv gem (https://github.com/bkeepers/dotenv)通过这种方式,您可以将rails环境变量中用于生产的所有敏感数据提取到一个文件.env.production中。这个文件应该只存在于生产服务器上,并且应该添加到git ignore文件中以确保安全。
Dotenv允许您在一个名为.env.[development|production|test|whatever]的文件中为每个环境设置变量。您可以将不敏感的文件/数据推到开发、测试等,但忽略重要的文件/数据。你可以用ENV['MY_ENV_VARIABLE']访问这些变量。(在每个。env文件中,您将有一行MY_ENV_VARIABLE="some super secret password")
这种方法的一个缺点是,您必须确保编辑了.env. xml文件。