Tôi đang phát triển một ứng dụng máy chủ tùy chỉnh sẽ truy cập cơ sở dữ liệu. Tôi cần phải quyết định nơi tôi sẽ lưu trữ các thông tin đăng nhập (và địa chỉ) cho máy chủ đó.Thực tiễn tốt nhất để lưu trữ mật khẩu cơ sở dữ liệu
Một giải pháp phổ biến là đặt chứng chỉ vào tệp cấu hình. Tuy nhiên, tôi không muốn một máy chủ bị xâm phạm có nghĩa là hacker có quyền truy cập vào DB (được lưu trữ trên một máy chủ riêng).
Tôi có thể lưu trữ thông tin xác thực trong môi trường, nhưng đó chỉ là bảo mật thông qua sự tối tăm. Ông Evil chỉ có thể nhìn vào môi trường để tìm nó.
Mã hóa người được đề xuất. Tuy nhiên, nếu tôi lưu trữ khóa trong tệp thực thi, việc giải nén nhanh (chúng tôi đang sử dụng Java) và tôi vẫn phải chịu số phận.
Tôi cũng muốn tránh phải nhập một lời diễn giải mỗi lần tôi khởi động máy chủ.
Mọi đề xuất? Tôi cảm thấy như tôi đang thiếu một cái gì đó đơn giản.
Cảm ơn
Vì vậy, bạn muốn ứng dụng của mình có quyền truy cập vào thông tin đăng nhập nhưng một hacker đã truy cập root vào máy đó bị từ chối truy cập? – liquorvicar
Nếu bạn không nhập cụm từ mật khẩu ** mỗi khi bạn khởi động máy chủ thì Mr. Evil sẽ không làm như vậy, có nghĩa là bất kỳ ai có quyền truy cập vào vị trí thực tế của máy chủ đều có thể truy cập. – byrondrossos