ما هي أفضل طريقة لتأمين سلسلة اتصال قاعدة البيانات؟
https://stackoverflow.com/questions/334776
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
وأنا أكتب مجموعة من التطبيقات القائمة على قاعدة البيانات في PHP. سيتم تشغيل هذه التطبيقات على خادم لينكس كمستخدم الخاصة به. سوف باقي الأعضاء من المرجح أن تكون على النظام في بعض الأحيان، ولكن تسيطر جدا الوصول. خوادم أخرى فإنها لن يحصلون على الإطلاق. وأنا أيضا فضح حد المخزنة API الداخلي للمطورين الذين يحتاجون لكتابة البرامج النصية بيرل الوصول إلى قاعدة بيانات باستخدام DBI ومجموعة من وظائف وأنا أكتب.
وسؤالي هو ما هي أفضل وسيلة لتأمين الملفات التكوين التي لديها سلاسل اتصال بها؟
هل مستخدم آخر مع [4+] 00 الأذونات على ملف كافية؟ يجب أن تشفير لهم؟ ويبدو أن مجرد تحويل مشكلة في أي مكان آخر بحيث أنا قلق حول مكان تخزين مفتاح التشفير. وأنا أدرك أن المطورين بيرل الحاجة إلى وجود سلسلة الاتصال الخاصة بها لأنها لن يكون لها سوى تنفيذ الأذونات قاعدة البيانات.
المحلول
وإذا كان الجهاز حقا هو تدار في الأزياء يونكس التقليدي، حيث J. المستخدم عشوائي ليس من سو جي لاستئصال كل وقت، وأود أن أقول أن أذونات الملفات هي أفضل رهان. إذا شخص ما يحصل وصول الجذر غير المصرح به، أي قدر من سخافة التشفير هو الذهاب الى "تأمين" سلسلة الاتصال.
وكنت بمناسبة ملفات ث / سلسلة الاتصال كما المملوكة من قبل "المستخدم النصي" واعطائهم الصلاحية كما تصفون.
و(برافو لتحقيق ذلك تشفير سلسلة الاتصال لا يشتري لك أي شيء، في هذا المثال. الأمن من خلال الغموض يؤدي إلى نتائج عكسية.)
نصائح أخرى
وإليك وصلة إلى وحدة نمطية حرة أباتشي التي تساعد على إدارة الوصول إلى مخزن كلمة المرور:
HTTP: //uranus.it.swin. edu.au/~jn/linux/php/passwords.htm
ويبدو معقد قليلا بالنسبة لي، ويتطلب تشغيل PHP تحت mod_php. ولا يزال أنه لا يعالج احتمال أن الأشخاص غير المخولين الذين لديهم حق الوصول إلى ملقم يمكن فقط قراءة ملف كلمة المرور الخاصة بك.
وأعتقد أنك يجب أن تعتمد على أذونات الملف، والثقة بأن الناس غير المصرح به ليست لديهم القدرة على sudo لديك UID PHP التطبيق، أو إلى الجذر.
وأفضل حل بلدي تمت حتى الآن لتخزين ملفات التكوين في قسم مشفرة بحيث أن الناس مع إمكانية الوصول المباشر إلى الجهاز لا يمكن سحب كلمات السر من خلال ربط محرك الأقراص إلى كمبيوتر آخر، ومع أذونات نظام الملف بحيث يمكن للناس 'ر قراءة الملف من داخل نظام التشغيل نفسه.
وتحتاج إلى فهم، على الرغم من أن ليس هناك الكثير يمكنك القيام به ضد أحد المهاجمين مع إمكانية الوصول المباشر إلى الجهاز. اذا كان تشغيل خادم قاعدة البيانات نفسها، ثم تأمين ملفات التكوين لن يكون لها تأثير كبير اذا كان يمكن تعديل قاعدة البيانات نفسها. فقط للتأكد من أن كل شيء آمن كما أنه يمكن أن يكون وربما عليك أن تكون بخير.
