hyperion/10-linux/cybersec/sops exec-env.md at incoming

Rorik Star Platinum f2b07c9f30 migrations

2025-11-22 17:48:07 +03:00

7.2 KiB

Raw Permalink Blame History

Механизм работы `sops exec-env secrets.yaml`

SOPS exec-env расшифровывает зашифрованный YAML/JSON файл и передаёт все key-value пары как environment variables (переменные окружения) в child process (дочерний процесс), который вы указываете в команде.temofeev+1

Архитектура изоляции

Команда работает по следующей схеме:github

bash

sops exec-env secrets.yaml 'cargo run'

SOPS расшифровывает secrets.yaml в памяти (никогда не пишет plaintext на диск)github
Fork текущего процесса — создаётся child process через Unix fork() syscall
Устанавливает environment variables из расшифрованного файла в child process через execve() syscall
Запускает указанную команду (cargo run) с загруженными переменнымиgithub

Это стандартный Unix process isolation механизм, а не специальный container или namespace. Environment variables наследуются только в одну сторону: parent → child, но не обратно.github

Пример из документации

bash

# Проверяем содержимое $ sops decrypt out.json { "database_password": "jf48t9wfw094gf4nhdf023r", "AWS_ACCESS_KEY_ID": "AKIAIOSFODNN7EXAMPLE" } # Запускаем команду с секретами $ sops exec-env out.json 'echo secret: $database_password' secret: jf48t9wfw094gf4nhdf023r # Запускаем shell с секретами $ sops exec-env out.json 'sh' sh-3.2# echo $database_password jf48t9wfw094gf4nhdf023r # Выходим из shell sh-3.2$ exit # Секрет недоступен в parent shell $ echo your password: $database_password your password:

Уничтожение видимости переменных

Переменные уничтожаются автоматически при завершении child процесса. Это происходит в момент:github

Нормального завершения команды — cargo run выполнился и вернул exit code
Crash процесса — процесс убит сигналом (SIGTERM, SIGKILL)
Явного exit — вы вызвали exit в shell session

Kernel автоматически очищает memory space процесса при его завершении, включая environment variables. Секреты не утекают в parent shell, не попадают в /proc/<pid>/environ после завершения, не записываются в swap (если использовать mlock).github

Преимущества для вашего backend проекта

В вашем justfile используется паттерн:github

text

sops_run := "sops exec-env secrets.yaml" dev: @{{sops_run}} 'cargo run'

Это означает:

PostgreSQL credentials доступны только процессу cargo run, но не остаются в shell history
После Ctrl+C (завершения backend) переменные мгновенно уничтожаются kernel'ом
Другие терминалы не видят секреты — изоляция на уровне process ID
Docker compose внутри sops exec-env также получает переменные только на время выполненияgithub

Сравнение с альтернативами

Небезопасный способ:

bash

export DATABASE_PASSWORD=$(sops -d secrets.yaml | yq .password) cargo run

Переменная остаётся в текущем shell до unset или закрытия терминала, видна в env и /proc/self/environ.

Безопасный способ (ваш текущий):

bash

sops exec-env secrets.yaml 'cargo run'

Переменная существует только внутри cargo run процесса и автоматически умирает с ним.temofeev+1

NixOS специфика

На NixOS с вашим setup (Hyprland + Wayland) process isolation ещё более строгий через cgroups v2. Каждый терминал в Hyprland работает в отдельном systemd user slice, что даёт дополнительную изоляцию между terminal emulator instances.github

Для установки SOPS в NixOS:

bash

nix-env -iA nixpkgs.sops

Таким образом, sops exec-env использует базовый Unix механизм process forking для создания изолированного environment scope, который автоматически уничтожается kernel'ом при exit child процесса — никаких manual cleanup действий не требуется.temofeev+1

7.2 KiB Raw Permalink Blame History Unescape Escape

Механизм работы sops exec-env secrets.yaml

Архитектура изоляции

Пример из документации

Уничтожение видимости переменных

Преимущества для вашего backend проекта

Сравнение с альтернативами

NixOS специфика

7.2 KiB

Raw Permalink Blame History

Механизм работы `sops exec-env secrets.yaml`