forum.opennet.ru - "postgres, php и пароли в plain text" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"postgres, php и пароли в plain text"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"postgres, php и пароли в plain text"
Сообщение от nobody (??) on 02-Авг-04, 00:35 (MSK)
Есть сервак где крутится сайт написанный на php используя postgres.. в конфигах от этого php сайта есть такое $sys_dbname="mydbname"; $sys_dbuser="myuser"; $sys_dbpasswd="mypassword"; для коннекта к постгресу.. на сервере есть виртуалхостинг, юзеры могут аплоадидть свои php скрипты тоже.. но проблема.. я хоть и настроил ограничения для пользовательских пхп скриптов, но все равно думаю теоретически как-то возможно добраться до этих паролей которые хранятся в php файлах от сайта.. httpd работает как nobody, этот файл с паролями тоже принадлежит nobody.. как бы сделать так чтобы там не хранились парли в plain text? спасибо
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

postgres, php и пароли в plain text, dev, 13:33 , 02-Авг-04, (1)
- postgres, php и пароли в plain text, nobody, 15:10 , 02-Авг-04, (2)
  - postgres, php и пароли в plain text, dev, 16:49 , 02-Авг-04, (3)
    - postgres, php и пароли в plain text, nobody, 18:48 , 02-Авг-04, (4)
      - postgres, php и пароли в plain text, dev, 11:52 , 03-Авг-04, (5)
        
        postgres, php и пароли в plain text, nobody, 20:13 , 03-Авг-04, (6)
        
        postgres, php и пароли в plain text, nobody, 20:14 , 03-Авг-04, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "postgres, php и пароли в plain text"

Сообщение от dev (??) on 02-Авг-04, 13:33  (MSK)

>как бы сделать так чтобы там не хранились парли в plain text?
База на ком же компе, что и Апач?
Тогда почитай про ident-аутентификацию в Пострессе.
Но тогда любой, кто работает от имени nobody (а у тебя это наверняка все виртуальные хосты), сможет подключиться к базе.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "postgres, php и пароли в plain text"

Сообщение от nobody (??) on 02-Авг-04, 15:10  (MSK)

>База на ком же компе, что и Апач?
да база на том же компе..
>Но тогда любой, кто работает от имени nobody (а у тебя это
>наверняка все виртуальные хосты), сможет подключиться к базе.
да все хосты от nobody как и апаче.. но там на базу данных парли стоят, таким образом сделанные
ALTER USER myusers WITH ENCRYPTED PASSWORD 'mypasswd';

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "postgres, php и пароли в plain text"

Сообщение от dev (??) on 02-Авг-04, 16:49  (MSK)

Чтобы подключиться к БД тебе нужно себя идентифицировать. По имени системного пользователя в твоем случае не получится - все nobody.
Тогда только по имени/паролю, которые ты скажешь базе. Можно (теоретически) не хранить их в файле, а только в памяти, но тогда после каждого перезапуска сервера их надо вводить заново; не забыть подумать о том, как и кто будет получать доступ к этой информации.
Или хранить их в файле, но не давать к нему доступа остальным - на уровне системы это сделать нельзя, у небя все nobody.
Тогда остается только тот, кто знает чем один скрипт от другого отличается - php. А ему ты не доверяешь :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "postgres, php и пароли в plain text"

Сообщение от nobody (??) on 02-Авг-04, 18:48  (MSK)

ок, чуть конкретизирую.. на серваке гоняется такая штука gforge.org, короче это fork от sourceforge.. есть 2 базы данных, одна от самого gforge, другая от jabberd2, в базе данных есть 2 пользователя, допустим сам gforge и jabberd2.. потребовалось сделать виртуалхостинг, юзеры могут аплоадить свои страницы в юзверьские www каталоги.. поначалу я запарился и не настроил php.. короче можно было написать такой скриптик
<?php
system("cat /path/to/config/file");
?>
так как конфиг файл должен быть читаем для апаче, то есть для php, то и юзвер сделавший такую херню получил бы пароль от базы данных :) а я хочу этого избежать :) пришлось пока для всех юзверей отключить php совсем..

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "postgres, php и пароли в plain text"

Сообщение от dev (??) on 03-Авг-04, 11:52  (MSK)

Ок, перейдем с небес на землю :)
Из того, что я выше понаписал следует, что единственный способ в твоей ситуации - ограничения самого пхп. Тебе обязательно придется хранить пароли в открытом виде на диске и не давать к ним доступ только средствами пхп. Так что ничего не меняй :)
Есть лучший вариант (в теории): suphp, тогда контролировать доступ будет уже система. Но я его (еще) не пробовал.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "postgres, php и пароли в plain text"

Сообщение от nobody (??) on 03-Авг-04, 20:13  (MSK)

>Ок, перейдем с небес на землю :)
спасибо, мне просто было послушать чужое мнение (тех кто лучше с этим разбирается), так как это не совсем моя область, php с postgres в моей жизни - кратковременное явление.. тем не менее просто не хочется быть совсем идиотом если юзвери решат что нибудь придумать чтобы проникнуть поглубже в систему :)
вот я и просчитываю возможные комбинации сделать это :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "postgres, php и пароли в plain text"

Сообщение от nobody (??) on 03-Авг-04, 20:14  (MSK)

>>Ок, перейдем с небес на землю :)
>спасибо, мне просто было послушать чужое мнение
читать - хотелось послушать итд..
сорри за флейм

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "postgres, php и пароли в plain text"
Сообщение от dev (??) on 02-Авг-04, 13:33 (MSK)
>как бы сделать так чтобы там не хранились парли в plain text? База на ком же компе, что и Апач? Тогда почитай про ident-аутентификацию в Пострессе. Но тогда любой, кто работает от имени nobody (а у тебя это наверняка все виртуальные хосты), сможет подключиться к базе.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "postgres, php и пароли в plain text"
	Сообщение от nobody (??) on 02-Авг-04, 15:10 (MSK)
	>База на ком же компе, что и Апач? да база на том же компе.. >Но тогда любой, кто работает от имени nobody (а у тебя это >наверняка все виртуальные хосты), сможет подключиться к базе. да все хосты от nobody как и апаче.. но там на базу данных парли стоят, таким образом сделанные ALTER USER myusers WITH ENCRYPTED PASSWORD 'mypasswd';
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "postgres, php и пароли в plain text"
	Сообщение от dev (??) on 02-Авг-04, 16:49 (MSK)
	Чтобы подключиться к БД тебе нужно себя идентифицировать. По имени системного пользователя в твоем случае не получится - все nobody. Тогда только по имени/паролю, которые ты скажешь базе. Можно (теоретически) не хранить их в файле, а только в памяти, но тогда после каждого перезапуска сервера их надо вводить заново; не забыть подумать о том, как и кто будет получать доступ к этой информации. Или хранить их в файле, но не давать к нему доступа остальным - на уровне системы это сделать нельзя, у небя все nobody. Тогда остается только тот, кто знает чем один скрипт от другого отличается - php. А ему ты не доверяешь :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "postgres, php и пароли в plain text"
	Сообщение от nobody (??) on 02-Авг-04, 18:48 (MSK)
	ок, чуть конкретизирую.. на серваке гоняется такая штука gforge.org, короче это fork от sourceforge.. есть 2 базы данных, одна от самого gforge, другая от jabberd2, в базе данных есть 2 пользователя, допустим сам gforge и jabberd2.. потребовалось сделать виртуалхостинг, юзеры могут аплоадить свои страницы в юзверьские www каталоги.. поначалу я запарился и не настроил php.. короче можно было написать такой скриптик <?php system("cat /path/to/config/file"); ?> так как конфиг файл должен быть читаем для апаче, то есть для php, то и юзвер сделавший такую херню получил бы пароль от базы данных :) а я хочу этого избежать :) пришлось пока для всех юзверей отключить php совсем..
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "postgres, php и пароли в plain text"
	Сообщение от dev (??) on 03-Авг-04, 11:52 (MSK)
	Ок, перейдем с небес на землю :) Из того, что я выше понаписал следует, что единственный способ в твоей ситуации - ограничения самого пхп. Тебе обязательно придется хранить пароли в открытом виде на диске и не давать к ним доступ только средствами пхп. Так что ничего не меняй :) Есть лучший вариант (в теории): suphp, тогда контролировать доступ будет уже система. Но я его (еще) не пробовал.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "postgres, php и пароли в plain text"
	Сообщение от nobody (??) on 03-Авг-04, 20:13 (MSK)
	>Ок, перейдем с небес на землю :) спасибо, мне просто было послушать чужое мнение (тех кто лучше с этим разбирается), так как это не совсем моя область, php с postgres в моей жизни - кратковременное явление.. тем не менее просто не хочется быть совсем идиотом если юзвери решат что нибудь придумать чтобы проникнуть поглубже в систему :) вот я и просчитываю возможные комбинации сделать это :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "postgres, php и пароли в plain text"
	Сообщение от nobody (??) on 03-Авг-04, 20:14 (MSK)
	>>Ок, перейдем с небес на землю :) >спасибо, мне просто было послушать чужое мнение читать - хотелось послушать итд.. сорри за флейм
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх