Здравствуйте! Возник вопрос о хранении паролей в скриптах и насколько это может быть безопасным. При выполнении скрипта единожды можно спросить пользователя (getpass), а если необходимо выполнять скрипт, например, по вызову cron'а? Как лучше поступить в этом случае?

Первое, что приходит на ум, это хранить пароль в скомпилированном модуле. Хотя я в эту сторону долго не думал, по-моему, решение совсем не безопасное.

Второе, использование приватных ключей для доступа к ssh-серверу. Однако, ключ тоже может быть шифрован паролем (его опять же придётся как-то хранить), а держать приватный ключ в открытом виде… Хм… (Думаю, что можно завести пользователя на ssh-сервере с минимальными правами и проходить аутентификацию по открытому приватному ключу.)

И вообще, как вы поступали в таких случаях, если последние случались?

И вообще, как вы поступали в таких случаях, если последние случались?

Вот так:

Второе, использование приватных ключей для доступа к ssh-серверу. Однако, ключ тоже может быть шифрован паролем (его опять же придётся как-то хранить), а держать приватный ключ в открытом виде… Хм… (Думаю, что можно завести пользователя на ssh-сервере с минимальными правами и проходить аутентификацию по открытому приватному ключу.)

т.е. аутентификация по ключу, закрытый ключ не запаролен, на удаленной стороне – пользователь с минимально необходимыми привилегиями без пароля. Как вариант, можно удаленному пользователю какой-нибудь restricted shell указать.