it-swarm.com.de

Verschlüsselung des in settings.php gespeicherten Datenbankkennworts

Das Datenbankkennwort in settings.php wird als einfacher Text gespeichert. Gibt es eine Möglichkeit, dieses Passwort zu verschlüsseln?

Mein Client sagt, es sei ein Sicherheitsrisiko, obwohl die Dateiberechtigungen den Anforderungen entsprechen.

5
doron

Sicherheit ist immer eine Frage von Kompromissen. Die Frage ist immer, vor welchen Bedrohungen Sie schützen möchten und welche Hindernisse Sie eingehen.

Sie können beispielsweise ein kleines Skript erstellen, das nach dem DB-Kennwort fragt, es im gemeinsam genutzten Speicher (mit APC/APCu) speichert und dann Drupal settings.php, um das DB-Passwort von dort zu lesen. Natürlich erfordert jeder Neustart von Apache jetzt die Angabe des DB-Passworts. Sie haben Ihr Passwort jedoch in keiner Datei. Kompromiss, sehen Sie?

Wenn es jemandem gelingt, beliebigen PHP Code) auszuführen, kann er sicher das Passwort erhalten, aber dann spielt es sowieso keine Rolle, oder?

1
user49

Dies ist keine spezielle Frage Drupal Frage. Abhängig von den Sicherheitsstandards OWASP , denen Sie folgen, um das Kennwort einfach zu halten settings.php kann als Risiko angesehen werden (in einer normalen, üblichen Drupal-Umgebung ist dies nicht der Fall)

Dieser Thread zu Information Security Stack Exchange behandelt das Thema, ist aber meiner Meinung nach ein wenig paranoid und die meisten Optionen werden Ihre Site verlangsamen.

5
pcambra

Dies ist möglich. Ich habe dies auf meiner Website implementiert und hier auch einen Beitrag dazu geschrieben:

http://techrappers.com/post/3508/how-secure-settingsphp-file-drupal

In den obigen Artikeln wird die schrittweise Implementierung eines verschlüsselten Kennworts in der Datei settings.php mit einem Skript PHP Skript und AES-256-CBC-Verschlüsselungsmethode) erläutert.

0
Sahil Gupta