Jak zabezpieczyć hasła do bazy danych w PHP?

Kiedy aplikacja PHP nawiązuje połączenie z bazą danych, oczywiście musi podać login i hasło. Jeśli używam jednego loginu o minimalnym uprawnieniu do mojej aplikacji, PHP musi gdzieś znać ten login i hasło. Jaki jest najlepszy sposób zabezpieczenia tego hasła? Wygląda na to, że samo napisanie go w kodzie PHP nie jest dobrym pomysłem.

Kilka osób błędnie odczytało to jako pytanie o sposób przechowywania haseł w bazie danych. To jest złe. Chodzi o to, jak przechowywać hasło, które pozwala dostać się do bazy danych.

Zwykle rozwiązaniem jest przeniesienie hasła z kodu źródłowego do pliku konfiguracyjnego. Następnie pozostaw administrację i zabezpieczenie tego pliku konfiguracyjnego administratorom systemu. W ten sposób programiści nie muszą wiedzieć nic o hasłach produkcyjnych i nie ma zapisu hasła w kontroli źródła.

Jeśli hostujesz na serwerze innej osoby i nie masz dostępu poza katalogiem głównym, zawsze możesz umieścić hasło i / lub połączenie z bazą danych w pliku, a następnie zablokować plik za pomocą .htaccess:

<files mypasswdfile>
order allow,deny
deny from all
</files>

Najbezpieczniejszym sposobem jest całkowite wyeliminowanie informacji zawartych w kodzie PHP.

Jeśli używasz Apache, oznacza to ustawienie szczegółów połączenia w pliku httpd.conf lub pliku wirtualnego hosta. Jeśli to zrobisz, możesz wywołać mysql_connect () bez parametrów, co oznacza, że ​​PHP nigdy nie wyświetli twoich informacji.

W ten sposób określasz te wartości w tych plikach:

php_value mysql.default.user      myusername
php_value mysql.default.password  mypassword
php_value mysql.default.host      server

Następnie otwórz połączenie MySQL w następujący sposób:

<?php
$db = mysqli_connect();

Lub tak:

<?php
$db = mysqli_connect(ini_get("mysql.default.user"),
                     ini_get("mysql.default.password"),
                     ini_get("mysql.default.host"));

Przechowuj je w pliku poza katalogiem głównym.

W przypadku bardzo bezpiecznych systemów szyfrujemy hasło bazy danych w pliku konfiguracyjnym (który sam jest chroniony przez administratora systemu). Po uruchomieniu aplikacji / serwera aplikacja monituje administratora systemu o klucz deszyfrujący. Hasło bazy danych jest następnie odczytywane z pliku konfiguracyjnego, odszyfrowywane i przechowywane w pamięci do wykorzystania w przyszłości. Nadal nie jest w 100% bezpieczny, ponieważ jest przechowywany w odszyfrowanej pamięci, ale w pewnym momencie musisz nazwać go „wystarczająco bezpiecznym”!

To rozwiązanie jest ogólne, ponieważ jest przydatne zarówno w aplikacjach o otwartym, jak i zamkniętym źródle.

1. Utwórz użytkownika systemu operacyjnego dla swojej aplikacji. Zobacz http://en.wikipedia.org/wiki/Principle_of_least_privilege
2. Utwórz zmienną środowiskową systemu operacyjnego (nie sesyjnego) dla tego użytkownika, używając hasła
3. Uruchom aplikację jako ten użytkownik

Zalety:

1. Nie sprawdzisz przypadkowo swoich haseł w celu kontroli źródła, ponieważ nie możesz
2. Nie zepsujesz przypadkowo uprawnień do plików. Cóż, możesz, ale to nie wpłynie na to.
3. Może być odczytany tylko przez użytkownika root lub tego użytkownika. Root może odczytać wszystkie twoje pliki i klucze szyfrowania.
4. Jeśli korzystasz z szyfrowania, w jaki sposób bezpiecznie przechowujesz klucz?
5. Działa na X-platformie
6. Pamiętaj, aby nie przekazywać envvaru do niezaufanych procesów potomnych

Metodę tę sugerują Heroku, którzy odnoszą duże sukcesy.

jeśli możliwe jest utworzenie połączenia z bazą danych w tym samym pliku, w którym przechowywane są poświadczenia. Wstaw poświadczenia w instrukcji connect.

mysql_connect("localhost", "me", "mypass");

W przeciwnym razie najlepiej jest rozbroić poświadczenia po instrukcji connect, ponieważ poświadczeń, które nie są w pamięci, nie można odczytać z pamięci ;)

include("/outside-webroot/db_settings.php");  
mysql_connect("localhost", $db_user, $db_pass);  
unset ($db_user, $db_pass);  

Twoje wybory są w pewnym stopniu ograniczone, ponieważ, jak mówisz, potrzebujesz hasła, aby uzyskać dostęp do bazy danych. Jednym ogólnym podejściem jest przechowywanie nazwy użytkownika i hasła w osobnym pliku konfiguracyjnym zamiast w skrypcie głównym. Następnie pamiętaj, aby przechowywać to poza głównym drzewem internetowym. Tak było, jeśli istnieje problem z konfiguracją sieci, który powoduje, że pliki php są po prostu wyświetlane jako tekst, a nie wykonywane, nie ujawniono hasła.

Poza tym jesteś na właściwej linii z minimalnym dostępem do używanego konta. Dodaj do tego

• Nie używaj kombinacji nazwy użytkownika / hasła do niczego innego
• Skonfiguruj serwer bazy danych, aby akceptował połączenia z hosta WWW tylko dla tego użytkownika (localhost jest nawet lepszy, jeśli baza danych znajduje się na tym samym komputerze) W ten sposób, nawet jeśli ujawnione zostaną poświadczenia, nie będą one przydatne dla nikogo, chyba że będą mieli inny dostęp do maszyna.
• Ukryj hasło (nawet ROT13 to zrobi), nie zapewni to dużej ochrony, jeśli niektórzy uzyskają dostęp do pliku, ale przynajmniej uniemożliwi jego swobodne przeglądanie.

Piotr

Jeśli używasz PostgreSQL, ~/.pgpassautomatycznie wyszukuje hasła. Więcej informacji znajduje się w instrukcji obsługi .

Wcześniej przechowywaliśmy DB / pass użytkownika w pliku konfiguracyjnym, ale od tego czasu przeszliśmy w tryb paranoiczny - przyjmując politykę Obrony w głębi .

Jeśli aplikacja zostanie naruszona, użytkownik będzie miał dostęp do odczytu pliku konfiguracyjnego, więc cracker może odczytać te informacje. Pliki konfiguracyjne można również złapać w kontrolę wersji lub kopiować wokół serwerów.

Przełączyliśmy się na przechowywanie zmiennych użytkownika / hasła w zmiennych środowiskowych ustawionych w Apache VirtualHost. Ta konfiguracja jest możliwa do odczytania tylko przez użytkownika root - mam nadzieję, że użytkownik Apache nie działa jako użytkownik root.

Wadą tego jest to, że teraz hasło jest w zmiennej Global PHP.

Aby ograniczyć to ryzyko, stosujemy następujące środki ostrożności:

• Hasło jest szyfrowane. Rozszerzamy klasę PDO o logikę do odszyfrowywania hasła. Jeśli ktoś przeczyta kod, w którym nawiązujemy połączenie, nie będzie oczywiste, że połączenie jest ustanawiane za pomocą zaszyfrowanego hasła, a nie samego hasła.
• Zaszyfrowane hasło jest przenoszone ze zmiennych globalnych do zmiennej prywatnej . Aplikacja robi to natychmiast, aby zmniejszyć okno dostępności wartości w przestrzeni globalnej.
• phpinfo()jest niepełnosprawny. PHPInfo jest łatwym celem, aby uzyskać przegląd wszystkiego, w tym zmiennych środowiskowych.

Umieść hasło bazy danych w pliku i ustaw je jako tylko do odczytu dla użytkownika obsługującego pliki.

O ile nie masz środków pozwalających tylko procesowi serwera php na dostęp do bazy danych, to prawie wszystko, co możesz zrobić.

Jeśli mówisz o haśle bazy danych, w przeciwieństwie do hasła pochodzącego z przeglądarki, standardową praktyką jest umieszczanie hasła bazy danych w pliku konfiguracyjnym PHP na serwerze.

Musisz tylko upewnić się, że plik php zawierający hasło ma odpowiednie uprawnienia. Oznacza to, że powinien być czytelny tylko dla serwera WWW i konta użytkownika.

Zwykłe umieszczenie go w pliku konfiguracyjnym jest takie, jak zwykle. Upewnij się tylko, że:

1. nie zezwalaj na dostęp do bazy danych z serwerów znajdujących się poza siecią,
2. uważaj, aby przypadkowo nie pokazać hasła użytkownikom (w komunikacie o błędzie lub przez przypadkowe podanie plików PHP jako HTML itp.)

Rozwiązaliśmy to w ten sposób:

1. Użyj memcache na serwerze z otwartym połączeniem z innego serwera haseł.
2. Zapisz, aby zapisać w pamięci podręcznej hasło (a nawet cały plik password.php zaszyfrowany) plus klucz odszyfrowujący.
3. Strona internetowa wywołuje klucz memcache zawierający hasło pliku hasła i odszyfrowuje w pamięci wszystkie hasła.
4. Serwer haseł wysyła nowy zaszyfrowany plik hasła co 5 minut.
5. Jeśli używasz zaszyfrowanego hasła.php w swoim projekcie, przeprowadzasz audyt, który sprawdza, czy ten plik został dotknięty zewnętrznie - lub wyświetlony. Gdy tak się stanie, możesz automatycznie wyczyścić pamięć, a także zamknąć serwer w celu uzyskania dostępu.

Dodatkową sztuczką jest użycie osobnego pliku konfiguracyjnego PHP, który wygląda następująco:

<?php exit() ?>

[...]

Plain text data including password

Nie uniemożliwia to prawidłowego ustawienia reguł dostępu. Ale w przypadku włamania się do Twojej witryny „wymaganie” lub „dołączenie” po prostu wyjdzie ze skryptu w pierwszym wierszu, więc jeszcze trudniej jest uzyskać dane.

Niemniej jednak nigdy nie należy zezwalać na pliki konfiguracyjne w katalogu, do którego można uzyskać dostęp za pośrednictwem Internetu. Powinieneś mieć folder „Web” zawierający kod kontrolera, css, zdjęcia i js. To wszystko. Wszystko inne trafia do folderów offline.

Najlepszym sposobem jest w ogóle nie przechowywać hasła!
Na przykład, jeśli korzystasz z systemu Windows i łączysz się z SQL Server, możesz użyć zintegrowanego uwierzytelnienia, aby połączyć się z bazą danych bez hasła, używając tożsamości bieżącego procesu.

Jeśli musisz połączyć się z hasłem, najpierw zaszyfruj je, używając silnego szyfrowania (np. Za pomocą AES-256, a następnie chroń klucz szyfrowania lub za pomocą szyfrowania asymetrycznego i system operacyjny chroni certyfikat), a następnie przechowuj w plik konfiguracyjny (poza katalogiem WWW) z silnymi listami ACL .