Wie sichere Datenbankkennwörter in PHP?

Wenn eine PHP-Anwendung eine Datenbankverbindung herstellt, muss sie im Allgemeinen natürlich ein Login und ein Passwort übergeben. Wenn ich für meine Anwendung ein einziges Login mit Mindestberechtigung verwende, muss das PHP dieses Login und Passwort irgendwo kennen. Was ist der beste Weg, um dieses Passwort zu sichern? Es scheint, als wäre es keine gute Idee, es nur in den PHP-Code zu schreiben.

Einige Leute haben dies als Frage zum Speichern von Passwörtern in einer Datenbank falsch verstanden . Das ist falsch. Hier geht es darum, wie Sie das Kennwort speichern, mit dem Sie zur Datenbank gelangen.

Die übliche Lösung besteht darin, das Passwort aus dem Quellcode in eine Konfigurationsdatei zu verschieben. Überlassen Sie dann die Verwaltung und Sicherung dieser Konfigurationsdatei Ihren Systemadministratoren. Auf diese Weise müssen Entwickler nichts über die Produktionskennwörter wissen, und es gibt keine Aufzeichnung des Kennworts in Ihrer Quellcodeverwaltung.

Wenn Sie auf einem anderen Server hosten und keinen Zugriff außerhalb Ihrer Webroot haben, können Sie Ihr Kennwort und / oder Ihre Datenbankverbindung jederzeit in eine Datei einfügen und die Datei dann mit einem .htaccess sperren:

<files mypasswdfile>
order allow,deny
deny from all
</files>

Am sichersten ist es, die in Ihrem PHP-Code angegebenen Informationen überhaupt nicht zu haben.

Wenn Sie Apache verwenden, bedeutet dies, dass Sie die Verbindungsdetails in Ihrer httpd.conf- oder virtuellen Hosts-Dateidatei festlegen. Wenn Sie dies tun, können Sie mysql_connect () ohne Parameter aufrufen, was bedeutet, dass PHP Ihre Informationen niemals ausgeben wird.

So geben Sie diese Werte in diesen Dateien an:

php_value mysql.default.user      myusername
php_value mysql.default.password  mypassword
php_value mysql.default.host      server

Dann öffnen Sie Ihre MySQL-Verbindung wie folgt:

<?php
$db = mysqli_connect();

Oder so:

<?php
$db = mysqli_connect(ini_get("mysql.default.user"),
                     ini_get("mysql.default.password"),
                     ini_get("mysql.default.host"));

Speichern Sie sie in einer Datei außerhalb des Webstamms.

Für extrem sichere Systeme verschlüsseln wir das Datenbankkennwort in einer Konfigurationsdatei (die selbst vom Systemadministrator gesichert wird). Beim Start der Anwendung / des Servers fordert die Anwendung den Systemadministrator zur Eingabe des Entschlüsselungsschlüssels auf. Das Datenbankkennwort wird dann aus der Konfigurationsdatei gelesen, entschlüsselt und zur zukünftigen Verwendung im Speicher gespeichert. Immer noch nicht 100% sicher, da es entschlüsselt im Speicher gespeichert ist, aber Sie müssen es irgendwann als "sicher genug" bezeichnen!

Diese Lösung ist insofern allgemein, als sie sowohl für Open- als auch für Closed-Source-Anwendungen nützlich ist.

1. Erstellen Sie einen Betriebssystembenutzer für Ihre Anwendung. Siehe http://en.wikipedia.org/wiki/Principle_of_least_privilege
2. Erstellen Sie für diesen Benutzer eine (Nicht-Sitzungs-) Betriebssystemumgebungsvariable mit dem Kennwort
3. Führen Sie die Anwendung als dieser Benutzer aus

Vorteile:

1. Sie werden Ihre Passwörter nicht versehentlich in die Quellcodeverwaltung einchecken, weil Sie dies nicht können
2. Sie werden die Dateiberechtigungen nicht versehentlich vermasseln. Nun, Sie könnten, aber es wird dies nicht beeinflussen.
3. Kann nur von root oder diesem Benutzer gelesen werden. Root kann sowieso alle Ihre Dateien und Verschlüsselungsschlüssel lesen.
4. Wie speichern Sie den Schlüssel sicher, wenn Sie Verschlüsselung verwenden?
5. Funktioniert x-Plattform
6. Stellen Sie sicher, dass die envvar nicht an nicht vertrauenswürdige untergeordnete Prozesse übergeben wird

Diese Methode wird von Heroku vorgeschlagen, die sehr erfolgreich sind.

Wenn es möglich ist, die Datenbankverbindung in derselben Datei zu erstellen, in der die Anmeldeinformationen gespeichert sind. Fügen Sie die Anmeldeinformationen in die connect-Anweisung ein.

mysql_connect("localhost", "me", "mypass");

Andernfalls ist es am besten, die Anmeldeinformationen nach der connect-Anweisung zu deaktivieren, da Anmeldeinformationen, die sich nicht im Speicher befinden, nicht aus dem Speicher gelesen werden können ;)

include("/outside-webroot/db_settings.php");  
mysql_connect("localhost", $db_user, $db_pass);  
unset ($db_user, $db_pass);  

Ihre Auswahlmöglichkeiten sind begrenzt, da Sie das Kennwort für den Zugriff auf die Datenbank benötigen. Ein allgemeiner Ansatz besteht darin, den Benutzernamen und das Kennwort in einer separaten Konfigurationsdatei und nicht im Hauptskript zu speichern. Stellen Sie dann sicher, dass Sie das außerhalb des Hauptwebbaums speichern. Wenn es ein Problem mit der Webkonfiguration gibt, bei dem Ihre PHP-Dateien einfach als Text angezeigt und nicht ausgeführt werden, haben Sie das Kennwort nicht offengelegt.

Ansonsten sind Sie mit minimalem Zugriff auf das verwendete Konto in der richtigen Linie. Dazu noch etwas

• Verwenden Sie die Kombination aus Benutzername und Passwort für nichts anderes
• Konfigurieren Sie den Datenbankserver so, dass nur Verbindungen vom Webhost für diesen Benutzer akzeptiert werden (localhost ist sogar noch besser, wenn sich die Datenbank auf demselben Computer befindet) Maschine.
• Verschleiern Sie das Passwort (selbst ROT13 reicht aus), es wird nicht viel Schutz bieten, wenn einige Zugriff auf die Datei erhalten, aber es verhindert zumindest das gelegentliche Anzeigen.

Peter

Wenn Sie PostgreSQL verwenden, sucht es ~/.pgpassautomatisch nach Passwörtern. Weitere Informationen finden Sie im Handbuch .

Zuvor haben wir DB-Benutzer / Pass in einer Konfigurationsdatei gespeichert, sind jedoch seitdem in den paranoiden Modus übergegangen - und haben eine Richtlinie zur Tiefenverteidigung übernommen .

Wenn Ihre Anwendung gefährdet ist, hat der Benutzer Lesezugriff auf Ihre Konfigurationsdatei, sodass ein Cracker diese Informationen möglicherweise lesen kann. Konfigurationsdateien können auch von der Versionskontrolle erfasst oder auf Servern kopiert werden.

Wir haben auf das Speichern von Benutzer- / Pass-Umgebungsvariablen umgestellt, die im Apache VirtualHost festgelegt wurden. Diese Konfiguration kann nur von root gelesen werden - hoffentlich wird Ihr Apache-Benutzer nicht als root ausgeführt.

Der Nachteil dabei ist, dass sich das Passwort jetzt in einer globalen PHP-Variablen befindet.

Um dieses Risiko zu minimieren, haben wir die folgenden Vorsichtsmaßnahmen:

• Das Passwort ist verschlüsselt. Wir erweitern die PDO-Klasse um Logik zum Entschlüsseln des Passworts. Wenn jemand den Code liest, mit dem wir eine Verbindung herstellen, ist es nicht offensichtlich, dass die Verbindung mit einem verschlüsselten Kennwort und nicht mit dem Kennwort selbst hergestellt wird.
• Das verschlüsselte Kennwort wird von den globalen Variablen in eine private Variable verschoben. Die Anwendung führt dies sofort aus, um das Fenster zu verkleinern, in dem der Wert im globalen Bereich verfügbar ist.
• phpinfo()ist behindert. PHPInfo ist ein einfaches Ziel, um einen Überblick über alles zu erhalten, einschließlich Umgebungsvariablen.

Fügen Sie das Datenbankkennwort in eine Datei ein und machen Sie es für den Benutzer, der die Dateien bereitstellt, schreibgeschützt.

Dies ist so ziemlich alles, was Sie tun können, es sei denn, Sie haben nur die Möglichkeit, dem PHP-Serverprozess den Zugriff auf die Datenbank zu ermöglichen.

Wenn Sie über das Datenbankkennwort sprechen, im Gegensatz zu dem Kennwort, das von einem Browser stammt, scheint die Standardpraxis darin zu bestehen, das Datenbankkennwort in einer PHP-Konfigurationsdatei auf dem Server abzulegen.

Sie müssen nur sicherstellen, dass die PHP-Datei, die das Passwort enthält, über die entsprechenden Berechtigungen verfügt. Dh es sollte nur vom Webserver und von Ihrem Benutzerkonto lesbar sein.

Nur irgendwo in eine Konfigurationsdatei zu legen, ist die übliche Vorgehensweise. Stellen Sie einfach sicher, dass Sie:

1. Datenbankzugriff von Servern außerhalb Ihres Netzwerks nicht zulassen,
2. Achten Sie darauf, dass Sie das Kennwort nicht versehentlich den Benutzern anzeigen (in einer Fehlermeldung oder durch PHP-Dateien, die versehentlich als HTML usw. bereitgestellt werden).

Wir haben es folgendermaßen gelöst:

1. Verwenden Sie Memcache auf dem Server mit offener Verbindung von einem anderen Kennwortserver.
2. Speichern Sie das Kennwort (oder sogar die gesamte verschlüsselte Datei password.php) sowie den Entschlüsselungsschlüssel im Memcache.
3. Die Website ruft den Memcache-Schlüssel auf, der die Passphrase der Kennwortdatei enthält, und entschlüsselt alle Kennwörter im Speicher.
4. Der Passwortserver sendet alle 5 Minuten eine neue verschlüsselte Passwortdatei.
5. Wenn Sie in Ihrem Projekt verschlüsselte password.php verwenden, führen Sie eine Prüfung durch, bei der überprüft wird, ob diese Datei extern berührt oder angezeigt wurde. In diesem Fall können Sie den Speicher automatisch bereinigen und den Server für den Zugriff schließen.

Ein zusätzlicher Trick besteht darin, eine separate PHP-Konfigurationsdatei zu verwenden, die folgendermaßen aussieht:

<?php exit() ?>

[...]

Plain text data including password

Dies hindert Sie nicht daran, die Zugriffsregeln richtig festzulegen. Wenn Ihre Website jedoch gehackt wird, wird das Skript in der ersten Zeile durch ein "Erfordernis" oder ein "Einschließen" beendet, sodass es noch schwieriger ist, die Daten abzurufen.

Lassen Sie jedoch niemals Konfigurationsdateien in einem Verzeichnis zu, auf das über das Web zugegriffen werden kann. Sie sollten einen "Web" -Ordner haben, der Ihren Steuerungscode, CSS, Bilder und JS enthält. Das ist alles. Alles andere wird in Offline-Ordnern abgelegt.

Der beste Weg ist, das Passwort überhaupt nicht zu speichern!
Wenn Sie sich beispielsweise auf einem Windows-System befinden und eine Verbindung zu SQL Server herstellen, können Sie mithilfe der integrierten Authentifizierung eine Verbindung zur Datenbank ohne Kennwort unter Verwendung der Identität des aktuellen Prozesses herstellen.

Wenn Sie eine Verbindung mit einem Kennwort herstellen müssen, verschlüsseln Sie es zuerst mit einer starken Verschlüsselung (z. B. mit AES-256 und schützen Sie dann den Verschlüsselungsschlüssel oder verwenden Sie eine asymmetrische Verschlüsselung, und lassen Sie das Betriebssystem das Zertifikat schützen) und speichern Sie es dann in einem Konfigurationsdatei (außerhalb des Webverzeichnisses) mit starken ACLs .