The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"postgres, php и пароли в plain text"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"postgres, php и пароли в plain text"
Сообщение от nobody Искать по авторуВ закладки(??) on 02-Авг-04, 00:35  (MSK)
Есть сервак где крутится сайт написанный на php используя postgres.. в конфигах от этого php сайта есть такое
$sys_dbname="mydbname";
$sys_dbuser="myuser";
$sys_dbpasswd="mypassword";
для коннекта к постгресу..
на сервере есть виртуалхостинг, юзеры могут аплоадидть свои php скрипты тоже.. но проблема.. я хоть и настроил ограничения для пользовательских пхп скриптов, но все равно думаю теоретически как-то возможно добраться до этих паролей которые хранятся в php файлах от сайта.. httpd работает как nobody, этот файл с паролями тоже принадлежит nobody..
как бы сделать так чтобы там не хранились парли в plain text?

спасибо

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "postgres, php и пароли в plain text"
Сообщение от dev emailИскать по авторуВ закладки(??) on 02-Авг-04, 13:33  (MSK)
>как бы сделать так чтобы там не хранились парли в plain text?

База на ком же компе, что и Апач?
Тогда почитай про ident-аутентификацию в Пострессе.
Но тогда любой, кто работает от имени nobody (а у тебя это наверняка все виртуальные хосты), сможет подключиться к базе.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "postgres, php и пароли в plain text"
Сообщение от nobody Искать по авторуВ закладки(??) on 02-Авг-04, 15:10  (MSK)
>База на ком же компе, что и Апач?
да база на том же компе..

>Но тогда любой, кто работает от имени nobody (а у тебя это
>наверняка все виртуальные хосты), сможет подключиться к базе.
да все хосты от nobody как и апаче.. но там на базу данных парли стоят, таким образом сделанные
ALTER USER myusers WITH ENCRYPTED PASSWORD 'mypasswd';

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "postgres, php и пароли в plain text"
Сообщение от dev emailИскать по авторуВ закладки(??) on 02-Авг-04, 16:49  (MSK)
Чтобы подключиться к БД тебе нужно себя идентифицировать. По имени системного пользователя в твоем случае не получится - все nobody.
Тогда только по имени/паролю, которые ты скажешь базе. Можно (теоретически) не хранить их в файле, а только в памяти, но тогда после каждого перезапуска сервера их надо вводить заново; не забыть подумать о том, как и кто будет получать доступ к этой информации.
Или хранить их в файле, но не давать к нему доступа остальным - на уровне системы это сделать нельзя, у небя все nobody.
Тогда остается только тот, кто знает чем один скрипт от другого отличается - php. А ему ты не доверяешь :)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "postgres, php и пароли в plain text"
Сообщение от nobody Искать по авторуВ закладки(??) on 02-Авг-04, 18:48  (MSK)
ок, чуть конкретизирую.. на серваке гоняется такая штука gforge.org, короче это fork от sourceforge.. есть 2 базы данных, одна от самого gforge, другая от jabberd2, в базе данных есть 2 пользователя, допустим сам gforge и jabberd2.. потребовалось сделать виртуалхостинг, юзеры могут аплоадить свои страницы в юзверьские www каталоги.. поначалу я запарился и не настроил php.. короче можно было написать такой скриптик
<?php
system("cat /path/to/config/file");
?>
так как конфиг файл должен быть читаем для апаче, то есть для php, то и юзвер сделавший такую херню получил бы пароль от базы данных :) а я хочу этого избежать :) пришлось пока для всех юзверей отключить php совсем..


  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "postgres, php и пароли в plain text"
Сообщение от dev emailИскать по авторуВ закладки(??) on 03-Авг-04, 11:52  (MSK)
Ок, перейдем с небес на землю :)

Из того, что я выше понаписал следует, что единственный способ в твоей ситуации - ограничения самого пхп. Тебе обязательно придется хранить пароли в открытом виде на диске и не давать к ним доступ только средствами пхп. Так что ничего не меняй :)

Есть лучший вариант (в теории): suphp, тогда контролировать доступ будет уже система. Но я его (еще) не пробовал.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "postgres, php и пароли в plain text"
Сообщение от nobody Искать по авторуВ закладки(??) on 03-Авг-04, 20:13  (MSK)
>Ок, перейдем с небес на землю :)
спасибо, мне просто было послушать чужое мнение (тех кто лучше с этим разбирается), так как это не совсем моя область, php с postgres в моей жизни - кратковременное явление.. тем не менее просто не хочется быть совсем идиотом если юзвери решат что нибудь придумать чтобы проникнуть поглубже в систему :)
вот я и просчитываю возможные комбинации сделать это :)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "postgres, php и пароли в plain text"
Сообщение от nobody Искать по авторуВ закладки(??) on 03-Авг-04, 20:14  (MSK)
>>Ок, перейдем с небес на землю :)
>спасибо, мне просто было послушать чужое мнение
читать - хотелось послушать итд..
сорри за флейм

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру