根据已有**息,可以通过/usr/trim/etc/rsa_private_key.pem 来生成token。
token应该在内存中,不落盘,或者做好权限管理。从而减少文件泄露导致的风险。
应该改为安全的随机数来生成,
比如golang https://pkg.go.dev/crypto/rand@go1.25.7 , 或者是 /dev/urandom,不要用成 math/rand 或者是 /dev/random
对应用应该加强管控,尽可能的不适用root运行程序,同时使用比如SELinux AppArmor限制文件读取访问,
需要 尽快更新现有的/usr/trim/etc/rsa_private_key.pem文件,避免历史有人保存数据,从而再次入侵,参考如下
#!/bin/bash
# 备份老的rsa密钥对
FN_RSA_BACKUP_DIR=/usr/trim/etc/backup/fn-rsa-$(date +"%Y-%m-%dT%H-%M-%S%z")
mkdir -p "$FN_RSA_BACKUP_DIR"
mv /usr/trim/etc/rsa_private_key.pem /usr/trim/etc/rsa_public_key.pem "$FN_RSA_BACKUP_DIR"
# 重新生成rsa密钥对
openssl genrsa -out /usr/trim/etc/rsa_private_key.pem 2048
openssl rsa -in /usr/trim/etc/rsa_private_key.pem -pubout -out /usr/trim/etc/rsa_public_key.pem
# 查看已经备份 且 生成rsa密钥对
ls -lah "$FN_RSA_BACKUP_DIR"
ls -lah /usr/trim/etc/rsa_*.pem
