Wie vermeidet man das Speichern von Passwörtern im Klartext für tomcat's server.xml Ressourcendefinition einer DataSource?

Die Ressourcen-definition in der tomcat server.xml so aussieht...

<Resource
    name="jdbc/tox"
    scope="Shareable"
    type="javax.sql.DataSource"
    url="jdbc:oracle:thin:@yourDBserver.yourCompany.com:1521:yourDBsid"
    driverClassName="oracle.jdbc.pool.OracleDataSource"
    username="tox"
    password="toxbaby"
    maxIdle="3"
    maxActive="10"
    removeAbandoned="true"
    removeAbandonedTimeout="60"
    testOnBorrow="true"
    validationQuery="select * from dual"
    logAbandoned="true"
    debug="99"/>

Wird das Passwort im Klartext. Wie um dies zu vermeiden?

InformationsquelleAutor der Frage dacracot | 2008-09-24

  1. 37

    Wie gesagt, vor der Verschlüsselung der Passwörter ist nur das verschieben das problem woanders.

    Sowieso, es ist ganz einfach.
    Schreiben Sie einfach eine Klasse mit statischen Felder, die für Ihren geheimen Schlüssel und so weiter, und statische Methoden zum verschlüsseln, entschlüsseln Sie Ihre Passwörter.
    Verschlüsseln Sie Ihr Passwort in der Tomcat-Konfigurationsdatei (server.xml oder yourapp.xml...) die Verwendung dieser Klasse.

    - Und entschlüsseln des Kennworts "on the fly" in Tomcat, verlängern Sie das DBCP - BasicDataSourceFactory und verwenden Sie diese Fabrik in Ihrem Ressource.

    Wird es so Aussehen:

        <Resource
        name="jdbc/myDataSource"
        auth="Container"
        type="javax.sql.DataSource"
        username="user"
        password="encryptedpassword"
        driverClassName="driverClass"
        factory="mypackage.MyCustomBasicDataSourceFactory"
        url="jdbc:blabla://..."/>

    Und für die custom factory:

    package mypackage;

....

public class MyCustomBasicDataSourceFactory extends org.apache.tomcat.dbcp.dbcp.BasicDataSourceFactory {

@Override
public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable environment) throws Exception {
    Object o = super.getObjectInstance(obj, name, nameCtx, environment);
    if (o != null) {
        BasicDataSource ds = (BasicDataSource) o;
        if (ds.getPassword() != null && ds.getPassword().length() > 0) {
            String pwd = MyPasswordUtilClass.unscramblePassword(ds.getPassword());
            ds.setPassword(pwd);
        }
        return ds;
    } else {
        return null;
    }
}

    Hoffe, das hilft.

    InformationsquelleAutor der Antwort Jerome Delattre

  2. 9

    Tomcat hat ein Passwort FAQdie speziell für Adressen Ihre Frage. Kurz gesagt: Bewahren Sie das Kennwort an, die klar und korrekt Sperrung Ihres Servers.

    Diese Seite bietet auch einige Anregungen, wie security-by-obscurity könnte verwendet werden, um pass ein auditor Checkliste.

    InformationsquelleAutor der Antwort Ryan

  3. 5

    Tomcat muss wissen, wie die Verbindung zu der Datenbank, so braucht es Zugriff auf das Klartext-Passwort. Wenn das Passwort in verschlüsselter, Tomcat muss wissen, wie es zu entschlüsseln, so sind Sie nur verschieben das problem woanders.

    Das eigentliche problem ist: wer kann Zugriff server.xml außer für Tomcat? Eine Lösung ist, um schreib-Zugriff auf server.xml nur für root-Benutzer, die erfordern, dass Tomcat gestartet ist mit root-rechten: wenn ein böswilliger Benutzer erhält root-Rechte auf dem system, verlieren Sie eine Datenbank-Passwort ist wahrscheinlich eine kleinere Sorge.

    Andernfalls geben Sie das Passwort manuell bei jedem Start, aber dies ist selten eine sinnvolle option.

    InformationsquelleAutor der Antwort gameame

  4. 3

    Als @Ryan erwähnt, bitte Lesen Sie Tomcat Tomcat Passwort FAQ vor der Implementierung dieser Lösung. Sie sind nur das hinzufügen von obscurity keine security.

    @Jerome Delattre Antwort funktioniert für einfache JDBC-Datenquellen, aber nicht für komplizierter diejenigen, die eine Verbindung als Teil des datasource-Konstruktion (z.B. oracle.jdbc.xa.client.OracleXADataSource).

    Dies ist der alternative Ansatz, der ändert das Passwort vor dem aufrufen der bestehenden Fabrik. Unten ist ein Beispiel einer Fabrik, die für eine grundlegende Datenquelle und eines für eine Atomikos JTA-kompatiblen XA-datasource.

    Einfaches Beispiel:

    public class MyEncryptedPasswordFactory extends BasicDataSourceFactory {

    @Override
    public Object getObjectInstance(Object obj, Name name, Context context, Hashtable<?, ?> environment)
            throws Exception {
        if (obj instanceof Reference) {
            Reference ref = (Reference) obj;
            DecryptPasswordUtil.replacePasswordWithDecrypted(ref, "password");
            return super.getObjectInstance(obj, name, context, environment);
        } else {
            throw new IllegalArgumentException(
                    "Expecting javax.naming.Reference as object type not " + obj.getClass().getName());
        }
    }
}

    Atomikos Beispiel:

    public class MyEncryptedAtomikosPasswordFactory extends EnhancedTomcatAtomikosBeanFactory {
    @Override
    public Object getObjectInstance(Object obj, Name name, Context context, Hashtable<?, ?> environment)
            throws NamingException {
        if (obj instanceof Reference) {
            Reference ref = (Reference) obj;
            DecryptPasswordUtil.replacePasswordWithDecrypted(ref, "xaProperties.password");
            return super.getObjectInstance(obj, name, context, environment);
        } else {
            throw new IllegalArgumentException(
                    "Expecting javax.naming.Reference as object type not " + obj.getClass().getName());
        }
    }
}

    Update-password-Wert in Referenz:

    public class DecryptPasswordUtil {

    public static void replacePasswordWithDecrypted(Reference reference, String passwordKey) {
        if(reference == null) {
            throw new IllegalArgumentException("Reference object must not be null");
        }

        //Search for password addr and replace with decrypted
        for (int i = 0; i < reference.size(); i++) {
            RefAddr addr = reference.get(i);
            if (passwordKey.equals(addr.getType())) {
                if (addr.getContent() == null) {
                    throw new IllegalArgumentException("Password must not be null for key " + passwordKey);
                }
                String decrypted = yourDecryptionMethod(addr.getContent().toString());
                reference.remove(i);
                reference.add(i, new StringRefAddr(passwordKey, decrypted));
                break;
            }
        }
    }
}

    Einmal die .jar-Datei, die diese Klassen sind in der Tomcat-classpath können Sie aktualisieren Sie Ihre server.xml um Sie zu benutzen.

    <Resource factory="com.mycompany.MyEncryptedPasswordFactory" username="user" password="encryptedPassword" ...other options... />

<Resource factory="com.mycompany.MyEncryptedAtomikosPasswordFactory" type="com.atomikos.jdbc.AtomikosDataSourceBean" xaProperties.user="user" xaProperties.password="encryptedPassword" ...other options... />

    InformationsquelleAutor der Antwort JustinKSU

  5. 2

    Hinweis:

    Können Sie WinDPAPI zum verschlüsseln und entschlüsseln von Daten

    public class MyDataSourceFactory extends DataSourceFactory{

private static WinDPAPI winDPAPI;

protected static final String DATA_SOURCE_FACTORY_PROP_PASSWORD = "password";

@Override
public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable environment) throws Exception{

    Reference ref = (Reference) obj;
    for (int i = 0; i < ref.size(); i++) {
        RefAddr ra = ref.get(i);
        if (ra.getType().equals(DATA_SOURCE_FACTORY_PROP_PASSWORD)) {

            if (ra.getContent() != null && ra.getContent().toString().length() > 0) {
                String pwd = getUnprotectedData(ra.getContent().toString());
                ref.remove(i);
                ref.add(i, new StringRefAddr(DATA_SOURCE_FACTORY_PROP_PASSWORD, pwd));
            }

            break;
        }
    }

    return super.getObjectInstance(obj, name, nameCtx, environment);
  }
}

    InformationsquelleAutor der Antwort Gawri Edussuriya

  6. 1

    Nach 4 Stunden Arbeit, suchen, Fragen und Antworten ich habe die Lösung.
    Auf der Grundlage der Antwort von @Jerome Delattre hier ist der komplette code (mit dem JNDI Data-source-Konfiguration).

    Context.xml

    <Resource
    name="jdbc/myDataSource"
    auth="Container"
    type="javax.sql.DataSource"
    username="user"
    password="encryptedpassword"
    driverClassName="driverClass"
    factory="mypackage.MyCustomBasicDataSourceFactory"
    url="jdbc:blabla://..."/>

    Custom Data Source Factory:

    package mypackage;

public class MyCustomBasicDataSourceFactory extends org.apache.tomcat.dbcp.dbcp.BasicDataSourceFactory {
    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable environment) throws Exception {
        Object o = super.getObjectInstance(obj, name, nameCtx, environment);
        if (o != null) {
            BasicDataSource ds = (BasicDataSource) o;
            if (ds.getPassword() != null && ds.getPassword().length() > 0) {
                String pwd = MyPasswordUtilClass.unscramblePassword(ds.getPassword());
                ds.setPassword(pwd);
            }
            return ds;
        } else {
            return null;
        }
    }
}

    Datenquelle bean:

    @Bean
public DataSource dataSource() {
    DataSource ds = null;
    JndiTemplate jndi = new JndiTemplate();
    try {
        ds = jndi.lookup("java:comp/env/jdbc/myDataSource", DataSource.class);
    } catch (NamingException e) {
        log.error("NamingException for java:comp/env/jdbc/myDataSource", e);
    }
    return ds;
}

    InformationsquelleAutor der Antwort HolloW

  7. -2

    Allen vorhergehenden wurde gesagt, wenn Sie immer noch wollen, um zu vermeiden, nur-text-Kennwörter, die Sie verwenden können, die einen Hash-Algorithmus wie SHA-256 oder (vorzugsweise) SHA-512. Wenn ein Passwort erstellt wird, erhalten Sie den Hash-Wert, und speichern Sie es eher als das Kennwort. Wenn sich ein Benutzer anmeldet, hash das Passwort ein und sehen es entspricht dem gespeicherten Hash das Passwort.
    Hashing-algorithmen nehmen eine Zeichenkette (oder Anzahl) von einem kleinen Buchstaben (oder Zahl) den Raum in ein viel größeres, in einer Weise, die teuer in umgekehrter.

    InformationsquelleAutor der Antwort stuartw

  8. -8

    Verwenden wir C#'s SHA1CryptoServiceProvider 

    print(SHA1CryptoServiceProvider sHA1Hasher = new SHA1CryptoServiceProvider();
        ASCIIEncoding enc = new ASCIIEncoding();

        byte[] arrbytHashValue = sHA1Hasher.ComputeHash(enc.GetBytes(clearTextPW));
        string HashData = System.BitConverter.ToString(arrbytHashValue);
        HashData = HashData.Replace("-", "");
        if (HashData == databaseHashedPassWO)
        {
            return true;
        }
        else
        {
            return false;
        });

    )

    InformationsquelleAutor der Antwort Brad8118

Schreibe einen Kommentar