我们的客户在 Tomcat 服务器上的 server.xml 或 context.xml 文件中以纯文本形式显示数据库信息时遇到了问题。我查看了几个网站,例如开放Web服务计划似乎没有明显的解决方案。我也见过类似的事情这个 WordPress 博客描述了如何实现自定义 Tomcat 扩展来实现这一点。必须存在一些已经有了标准实现,无需自己动手。有没有人有这样的解决方案的经验?
答案1
密码目前以明文形式存储在配置文件中。另一种方法(通常用于 DES 加密的 SSL 私钥)是使用对称算法来加密敏感数据。
这将是不再安全而不仅仅是将密码以明文形式存储在 .xml 文件中。服务将配置加密密钥的加密密钥(除非您要求每次服务启动时有人在键盘前输入密码),攻击者可以使用该密钥获取加密数据。这提供了一层隐蔽性,但没有一层安全性。
答案2
加密密码比将其作为文本略好。CVS 会对其纯文本密码进行字符替换,以防止在浏览文件时意外泄露。无论采用何种形式,包含密码的文件都需要得到妥善保护。
标准加密方法比纯文本密码略胜一筹。这是一个公认的安全风险。CVS 使用的简单方法确实可以防止意外泄露给有权访问该文件的管理员。
MySQL 允许基于原始主机的限制,如果这是您的数据库,我会实施此限制。任何类型的数据库服务器都应具有有限的访问权限。
一旦有人获得了你主机的访问权,这场战斗基本上就失败了。