Хранение пароля к MYSQL в хэшированном виде?

Question

[r066er]

Дано:
Некая система написанная на php. Параметры подключения к БД (логин\пароль) хранятся в файле конфигурации в открытом виде. Как можно безопасно хранить пароль для подключения к бд ?

Comments

[Alams Stoyne]

Котлеты отдельно - мухи отдельно (с)
К файлу конфигурации не должно быть прямого доступа.

Даже если допустить что ты кодируешь пароль, а при подключении к БД декодируешь обратно - то до файла подключения к БД тоже можно добраться и посмотреть как ты декодируешь.

А вообще разрешение подключения к БД напрямую из вне (тоесть не с этого же сервера) не всегда правильное решение

Answer 1

[Roman Terekhin]

Продолжать хранить в файлах конфигурации. Для безопасного хранения файлов конфигурации занимайтесь безопасностью самого сервера.
База:
- Код вашей "системы на php". Нет, серьёзно, проверяйте свой код, тестируйте.
- Отключите ssh по паролю, используйте ключ с секретом;
- Смените стандартный ssh порт на 2к+, просто чтобы китайцы логи не засоряли;
- Настройте фаервол, в идеале кроме веб сервера и ssh из внешнего мира ничего не должно быть доступно;
- Поддерживайте актуальные версии ПО на сервере (как минимум веб-сервер, php, бд не старше полугода).

Answer 2

[Dmitry Bay]

Эм, давно сайты пишете? Все хранят в открытом виде в файлах конфигурации. Другое дело, что к этим файлам доступа извне быть не должно.

И даже если вы зашифруете (не путь с кэшированием), человек, взломавший сервер все равно найдет функцию, по которой вы конвертируете шифр в пароль.

Comments

[Dmitry Bay]

Sha644, Спорно, примеров популярных не видел.

[Dmitry Bay]

Sha644, вы про пользовательские пароли и хэширование?
Я же говорю про шифрование статичных паролей, нужных для функционирования системы.

[hOtRush]

Sha644, чукча не читатель видимо

[Dmitry Bay]

Sha644, Вы извиняетесь перед парнем, у которого аватара из саус парка?)

Ладно, проехали)

Answer 3

[Максим Е]

Используйте ionCube для шифрования файлов конфигурации. Хотя если есть SSH к серверу, то не поможет.

Comments

[hOtRush]

Оо, советы за 300 подъехали)

Answer 4

[АртемЪ]

Хранение пароля к MYSQL в хэшированном виде?

Это невозможно.
Хэш пароля не содержит пароля - поэтому если вы пароль хэшировали, у вас будет только хэш.
Если вы храните только хэш пароля значит вы вообще не храните пароль.
Т.е хранить пароль в хэшированном виде значит вообще его не хранить.

Некая система написанная на php. Параметры подключения к БД (логин\пароль) хранятся в файле конфигурации в открытом виде.

Никак. Пароль в любом случае вам нужен будет для подключения.
Если не будет пароля значит вы не сможете подключится. Если вы его зашифруете - вам придется хранить там же ключ шифрования.
Единственный вариант - при каждом подключении вводить пароль вручную.