文件和数据库加密

虽然它没有直接解决文件/数据库加密问题，但标题表明我将热心推荐使用KeePass用于存储和检索 IS 密码和帐户数据。我的组织最近从旧的 word 文档系统转向了此产品，我们对结果感到非常满意。

虽然它是为密码设计的，但它能够添加多个附加字段。这对于笔记、多个域等非常有用。事实证明，这对于将我们的 DMZ 与内部网络等分开非常有用。我使用的是 Windows 版本，但也有适用于多个附加平台的版本。

我将创建自己的内部应用程序（Web、C#、Java 等），将所有密码以及有权使用这些密码的用户存储在一个数据库中。然后，我将通过使用公司帐户对用户进行身份验证来提供对这些密码的访问权限（我假设这存在，可以通过内部方法、Active Directory、LDAP 等方式进行）。当通过系统身份验证后，它将充当用户和他们要进行身份验证的对象之间的中介。

我知道在公司内部做这些事情有点麻烦，但通常它能够满足老板的需求，而且根据我的经验，如果记录得足够多，它将会持续很长时间。

我使用 GNU Privacy Guard (gpg) 进行文件加密。它具有免费、多平台、分散和轻量级的优点。您可以将文件加密为适合内容的密钥集。

由于每个人负责自己的密钥（分散式），因此当人们分开时，它还提供了一个方便的身份验证和加密通道。虽然我与客户的管理员一起设置它主要用于加密共享密码文件，但当我外出时，我经常会感激，并收到其中一位管理员的电子邮件，要求我（例如）重新启动服务器，我可以确定（a）它确实是由它声称的那个人发送的，（b）它在传输过程中没有被更改，并且（c）如果指令发送有误，我可以向第三方证明它没有错误我的错误。

至于数据库加密，我可能会使用（例如）dm_crypt 加密底层磁盘卷，并将数据库完全排除在循环之外。

加密数据库文件、目录或分区毫无用处。数据库软件需要加密访问，而黑客使用 SQL 连接与未加密的数据库通信。

您需要将所有相关信息以加密形式存储在数据库中，并以加密模式将其提取回软件。然后在软件内部对其进行解密。将此密码存储在何处由您决定。有些甚至在服务器启动时需要密码，但如果您将其存储在 HDD 或 USB 上，则未经授权的代码可以读取它。

在启动时，您的软件可以等待浏览器用户输入密码。然后密码将存储在内存中直到下次启动。当然，这取决于您的软件。