डेटा स्रोत के tomcat की server.xml संसाधन परिभाषा के लिए स्पष्ट में पासवर्ड संग्रहीत करने से कैसे बचें?

Question

बिल्ला के server.xml में संसाधन परिभाषा कुछ इस तरह दिखता ...

<Resource 
    name="jdbc/tox" 
    scope="Shareable" 
    type="javax.sql.DataSource" 
    url="jdbc:oracle:thin:@yourDBserver.yourCompany.com:1521:yourDBsid" 
    driverClassName="oracle.jdbc.pool.OracleDataSource" 
    username="tox" 
    password="toxbaby" 
    maxIdle="3" 
    maxActive="10" 
    removeAbandoned="true" 
    removeAbandonedTimeout="60" 
    testOnBorrow="true" 
    validationQuery="select * from dual" 
    logAbandoned="true" 
    debug="99"/> 

पासवर्ड स्पष्ट है। इससे कैसे बचें?

Answer 1

हम का उपयोग सी # के SHA1CryptoServiceProvider

print(SHA1CryptoServiceProvider sHA1Hasher = new SHA1CryptoServiceProvider(); 
     ASCIIEncoding enc = new ASCIIEncoding(); 

     byte[] arrbytHashValue = sHA1Hasher.ComputeHash(enc.GetBytes(clearTextPW)); 
     string HashData = System.BitConverter.ToString(arrbytHashValue); 
     HashData = HashData.Replace("-", ""); 
     if (HashData == databaseHashedPassWO) 
     { 
      return true; 
     } 
     else 
     { 
      return false; 
     }); 

)

Answer 2

बिलाव पता करने के लिए डेटाबेस से कनेक्ट करने के लिए कैसे की जरूरत है, तो यह सादा पाठ पासवर्ड के लिए उपयोग की जरूरत है। अगर एन्क्रिप्टेड पासवर्ड में, टोमकैट को यह जानने की जरूरत है कि इसे कैसे डिक्रिप्ट करना है, तो आप केवल समस्या को कहीं और ले जा रहे हैं।

असली समस्या यह है: टॉमकैट को छोड़कर server.xml तक कौन पहुंच सकता है? एक समाधान server.xml पर केवल रूट उपयोगकर्ता को पढ़ने की पहुंच देना है, यह आवश्यक है कि टॉमकैट रूट विशेषाधिकारों के साथ शुरू हो: यदि किसी दुर्भावनापूर्ण उपयोगकर्ता को सिस्टम पर रूट विशेषाधिकार प्राप्त होते हैं, तो डेटाबेस पासवर्ड खोना शायद एक मामूली चिंता है।

अन्यथा आपको प्रत्येक स्टार्टअप पर मैन्युअल रूप से पासवर्ड टाइप करना चाहिए, लेकिन यह शायद ही कभी एक व्यवहार्य विकल्प है।

Answer 3

पासवर्ड एन्क्रिप्ट करने से पहले कहा गया है कि कहीं और समस्या को हल कर रहा है।

वैसे भी, यह काफी आसान है। बस अपनी गुप्त कुंजी के लिए स्थिर फ़ील्ड के साथ एक वर्ग लिखें और इसी तरह, और अपने पासवर्ड को डिक्रिप्ट करने के लिए स्थैतिक विधियां। इस कक्षा का उपयोग करते हुए टॉमकैट की कॉन्फ़िगरेशन फ़ाइल (server.xml या yourapp.xml ...) में अपना पासवर्ड एन्क्रिप्ट करें।

और टोमकैट में "फ्लाई पर" पासवर्ड डिक्रिप्ट करने के लिए, डीबीसीपी के BasicDataSourceFactory का विस्तार करें और इस कारखाने का उपयोग अपने संसाधन में करें।

<Resource 
     name="jdbc/myDataSource" 
     auth="Container" 
     type="javax.sql.DataSource" 
     username="user" 
     password="encryptedpassword" 
     driverClassName="driverClass" 
     factory="mypackage.MyCustomBasicDataSourceFactory" 
     url="jdbc:blabla://..."/> 

और कस्टम कारखाने के लिए:

यह कैसा दिखेगा

package mypackage; 

.... 

public class MyCustomBasicDataSourceFactory extends org.apache.tomcat.dbcp.dbcp.BasicDataSourceFactory { 

@Override 
public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable environment) throws Exception { 
    Object o = super.getObjectInstance(obj, name, nameCtx, environment); 
    if (o != null) { 
     BasicDataSource ds = (BasicDataSource) o; 
     if (ds.getPassword() != null && ds.getPassword().length() > 0) { 
      String pwd = MyPasswordUtilClass.unscramblePassword(ds.getPassword()); 
      ds.setPassword(pwd); 
     } 
     return ds; 
    } else { 
     return null; 
    } 
} 

आशा इस मदद करता है।

Answer 4

टोमकैट a Password FAQ है जो विशेष रूप से आपके प्रश्न को संबोधित करता है। संक्षेप में: पासवर्ड को अपने सर्वर को स्पष्ट और उचित रूप से लॉक-डाउन रखें।

यह पृष्ठ ऑडिटर की चेकलिस्ट को पास करने के लिए सुरक्षा-दर-अस्पष्टता का उपयोग कैसे किया जा सकता है इसके बारे में कुछ सुझाव भी प्रदान करता है।

Answer 5

जैसा कि @Ryan का उल्लेख है, कृपया इस समाधान को लागू करने से पहले टॉमकैट के Tomcat Password FAQ पढ़ें। आप केवल अस्पष्टता को सुरक्षा नहीं जोड़ रहे हैं।

@ जेरोम डेलट्रे का उत्तर सरल जेडीबीसी डेटा स्रोतों के लिए काम करेगा, लेकिन डेटासेट निर्माण (जैसे oracle.jdbc.xa.client.OracleXADataSource) के हिस्से के रूप में कनेक्ट होने वाले अधिक जटिल लोगों के लिए नहीं।

यह वैकल्पिक दृष्टिकोण है जो मौजूदा कारखाने को कॉल करने से पहले पासवर्ड को संशोधित करता है। नीचे मूलभूत डेटासोर्स के लिए एक कारखाने का एक उदाहरण है और एक परमाणु जेटीए संगत एक्सए डेटासोर्स के लिए एक है।

बुनियादी उदाहरण:

public class MyEncryptedPasswordFactory extends BasicDataSourceFactory { 

    @Override 
    public Object getObjectInstance(Object obj, Name name, Context context, Hashtable<?, ?> environment) 
      throws Exception { 
     if (obj instanceof Reference) { 
      Reference ref = (Reference) obj; 
      DecryptPasswordUtil.replacePasswordWithDecrypted(ref, "password"); 
      return super.getObjectInstance(obj, name, context, environment); 
     } else { 
      throw new IllegalArgumentException(
        "Expecting javax.naming.Reference as object type not " + obj.getClass().getName()); 
     } 
    } 
} 

Atomikos उदाहरण:

public class MyEncryptedAtomikosPasswordFactory extends EnhancedTomcatAtomikosBeanFactory { 
    @Override 
    public Object getObjectInstance(Object obj, Name name, Context context, Hashtable<?, ?> environment) 
      throws NamingException { 
     if (obj instanceof Reference) { 
      Reference ref = (Reference) obj; 
      DecryptPasswordUtil.replacePasswordWithDecrypted(ref, "xaProperties.password"); 
      return super.getObjectInstance(obj, name, context, environment); 
     } else { 
      throw new IllegalArgumentException(
        "Expecting javax.naming.Reference as object type not " + obj.getClass().getName()); 
     } 
    } 
} 

संदर्भ में अद्यतन कर रहा है पासवर्ड मूल्य:

public class DecryptPasswordUtil { 

    public static void replacePasswordWithDecrypted(Reference reference, String passwordKey) { 
     if(reference == null) { 
      throw new IllegalArgumentException("Reference object must not be null"); 
     } 

     // Search for password addr and replace with decrypted 
     for (int i = 0; i < reference.size(); i++) { 
      RefAddr addr = reference.get(i); 
      if (passwordKey.equals(addr.getType())) { 
       if (addr.getContent() == null) { 
        throw new IllegalArgumentException("Password must not be null for key " + passwordKey); 
       } 
       String decrypted = yourDecryptionMethod(addr.getContent().toString()); 
       reference.remove(i); 
       reference.add(i, new StringRefAddr(passwordKey, decrypted)); 
       break; 
      } 
     } 
    } 
} 

एक बार .jar इन कक्षाओं युक्त फ़ाइल बिलाव के classpath में कर रहे हैं आप उनका उपयोग करने के लिए अपने server.xml अद्यतन कर सकते हैं।

<Resource factory="com.mycompany.MyEncryptedPasswordFactory" username="user" password="encryptedPassword" ...other options... /> 

<Resource factory="com.mycompany.MyEncryptedAtomikosPasswordFactory" type="com.atomikos.jdbc.AtomikosDataSourceBean" xaProperties.user="user" xaProperties.password="encryptedPassword" ...other options... /> 

Answer 6

पूर्वगामी के सभी कहा गया है, अगर आप अभी भी सादा पाठ पासवर्ड, आपको SHA-256 या (अधिमानतः) SHA-512 के रूप में एक हैशिंग एल्गोरिथ्म का उपयोग कर सकते बचना चाहते हैं। जब कोई पासवर्ड बनाया जाता है, तो हैश वैल्यू प्राप्त करें और उसे पासवर्ड के बजाय स्टोर करें। जब कोई उपयोगकर्ता लॉग इन करता है, तो पासवर्ड हैश और संग्रहीत हैश किए गए पासवर्ड से मेल खाता है। हैशिंग एल्गोरिदम एक छोटी स्ट्रिंग (या संख्या) स्थान से एक वर्ण स्ट्रिंग (या संख्या) को एक बड़े तरीके से ले जाते हैं जो कि विपरीत है।

Answer 7

Here एक चरण-दर-चरण मार्गदर्शिका है, मूल रूप से आपको डेटासेट स्रोत शुरू करते समय अपना डेटासेट कारखाना लिखना होगा और डेटाबेस प्रमाण-पत्रों को डिक्रिप्ट करना होगा, उम्मीद है कि लिंक मदद करता है।

Answer 8

काम के 4 घंटे बाद, प्रश्न और उत्तर खोजें मुझे समाधान मिला। @ जेरोम डेलैटर द्वारा दिए गए उत्तर के आधार पर यहां पूरा कोड है (जेएनडीआई डेटा स्रोत कॉन्फ़िगरेशन के साथ)।

Context.xml

<Resource 
    name="jdbc/myDataSource" 
    auth="Container" 
    type="javax.sql.DataSource" 
    username="user" 
    password="encryptedpassword" 
    driverClassName="driverClass" 
    factory="mypackage.MyCustomBasicDataSourceFactory" 
    url="jdbc:blabla://..."/> 

कस्टम डेटा स्रोत फैक्टरी:

package mypackage; 

public class MyCustomBasicDataSourceFactory extends org.apache.tomcat.dbcp.dbcp.BasicDataSourceFactory { 
    @Override 
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable environment) throws Exception { 
     Object o = super.getObjectInstance(obj, name, nameCtx, environment); 
     if (o != null) { 
      BasicDataSource ds = (BasicDataSource) o; 
      if (ds.getPassword() != null && ds.getPassword().length() > 0) { 
       String pwd = MyPasswordUtilClass.unscramblePassword(ds.getPassword()); 
       ds.setPassword(pwd); 
      } 
      return ds; 
     } else { 
      return null; 
     } 
    } 
} 

डेटा स्रोत सेम:

@Bean 
public DataSource dataSource() { 
    DataSource ds = null; 
    JndiTemplate jndi = new JndiTemplate(); 
    try { 
     ds = jndi.lookup("java:comp/env/jdbc/myDataSource", DataSource.class); 
    } catch (NamingException e) { 
     log.error("NamingException for java:comp/env/jdbc/myDataSource", e); 
    } 
    return ds; 
}