PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wie mache ich meine MySQLdb Zugangsdaten sicher auf einem Webserver?



framp
11.05.12, 23:16
Weiss nicht ob ich hier richtig bin. In einem englischsprachigen Python Forum (http://www.python-forum.org/pythonforum/viewtopic.php?f=19&t=33969&sid=33446a2f73b6c388018f2b17ff3b5b1d&p=158702#p158702) habe ich mein Problem auch schon geschildert und die Antworten erfüllen die Notwendigkeit und sind ebenso hinreichend. Der Thread drüben ist soweit beendet und ich denke ein Backlink auf diesen Thread von dort - kann ja sowieso kaum jemand lesen der nicht des Deutschen mächtig ist :D

Summary: Die Zugangsdaten in einer separaten File ablegen und per .htaccess mit
Deny from all schützen. Man kann natürlich das PWD auch noch mit base64 unlesbar machen - aber das ist mehr Verwirrung der Russen als eigentlicher Schutz der Zugangsdaten.

Für mich klingt das eigentlich sehr plausibel - aber bevor ich mein MYsql PWD auf meinem Server ablege möchte ich doch schon sehr sicher sein, dass er nicht von unbefugten gelesen werden kann.

Deshalb frage ich Euch noch zusätzlich wie Ihr das findet oder ob Ihr noch weitere Tips habt ... oder sogar der Meinung seid, dass ich das tunlichst lassen sollte.

DrunkenFreak
11.05.12, 23:23
Leg die Datei mit den Passwörtern auf eine Ebene, die nicht vom Webserver erreicht werden kann.

Sollte MySQL auf dem gleichen Server laufen, lasse nur Verbindungen von Localhost zu, ansonsten eben nur von dem Webserver. Sollte das Passwort dann trotzdem "geknackt" werden, kommt zumindest keiner von außen drauf.

framp
11.05.12, 23:30
Danke für Deine Hinweise.

Das ist eine dritte 'Sicherung': Legen der PWD Datei ausserhalb von htdoc. Hatte ich implizit im Kopf - aber es ist gut das noch mal klar zu machen.

Zu deinem Punkt das nur von localhost auf die DB zugegriffen werden soll. Den Punkt sehe ich - aber ich möchte auch weiterhin von meinem System @home sql queries absetzen können...

DrunkenFreak
11.05.12, 23:33
Dann wird es Zeit, sich mit der Rechteverwaltung von MySQL auseinanderzusetzen...

framp
12.05.12, 00:17
Nope, das ist nicht mein Punkt. Wie ich den RemoteZugriff auf MYSql einstelle weiss ich.

Es geht hier darum wie man eine Datei, die man auf einen Webserver legt, 100%ig sichert, dass keiner, ausser ein auf dem Server laufendes Script darauf zugreifen kann.

nopes
12.05.12, 01:39
100% noway, allerdings kann man sich durchaus wehren, aber das scheint dir ja klar zu sei, ich denke es kann nicht schaden das du das hier liest http://www.debian.org/doc/manuals/securing-debian-howto/
Wie auch immer letztlich zählen die Rechte des FS für den Zugriff, das PW im Klartext abzulegen ist also nicht gerade paranoid, also salze das Passwort in der Datei mehr kannst du nicht tun.
Ich glaube auch das ist nicht notwendig, außer du hast echte "gute" Feinde, Skript-Kidies sind damit außen vor, wenn du nicht gerade im falschem Breitengrad usw. hostest sehe ich eher geringe Hack-Wahrscheinlichkeit bzw. Ambitionen.
Es schadet aber bestimmt nicht dein System ordentlich zu überwachen, aber auch da liefer dir das howto viel Stoff ;)