Estoy configurando un entorno de desarrollo y producción para una aplicación web. Utiliza algunas API remotas para las que necesita una clave para acceder a ellas. No desea que estén en su código, así como las credenciales de la base de datos.
He investigado un poco y he aprendido que uno podría almacenarlos en un archivo que no esté comprometido con el repositorio. ¿Es seguro hacerlo en un servidor de producción (Ubuntu 16.04)? ¿Concedido que el servidor se haya endurecido correctamente? ¿O deberían tomarse medidas adicionales? ¿O es la forma incorrecta de hacerlo todo junto?