Зашифровать пароль в файлах конфигурации? [закрыто]
Даже если я не рекомендую помещать Laravel в корневую папку, есть некоторые случаи, когда этого избежать нельзя; для этих случаев вышеуказанные методы не работают для активов, поэтому я сделал быстрое исправление, изменяя htaccess: после копирования server.php на index.php отредактируйте файл .htaccess следующим образом:
<IfModule mod_rewrite.c>
<IfModule mod_negotiation.c>
Options -MultiViews
</IfModule>
RewriteEngine On
### fix file rewrites on root path ###
#select file url
RewriteCond %{REQUEST_URI} ^(.*)$
#if file exists in /public/<filename>
RewriteCond %{DOCUMENT_ROOT}/public/$1 -f
#redirect to /public/<filename>
RewriteRule ^(.*)$ public/$1 [L]
###############
# Redirect Trailing Slashes If Not A Folder...
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)/$ /$1 [L,R=301]
# Handle Front Controller...
#RewriteCond %{REQUEST_FILENAME} -d # comment this rules or the user will read non-public file and folders!
#RewriteCond %{REQUEST_FILENAME} -f #
RewriteRule ^ index.php [L]
</IfModule>
Это было быстрое решение, которое я должен был сделать, чтобы кто-нибудь мог его обновить.
5 ответов
Простой способ сделать это - использовать шифрование на основе пароля в Java. Это позволяет вам зашифровать и расшифровать текст с помощью пароля.
Это в основном означает инициализацию javax.crypto.Cipher с алгоритмом «AES / CBC / PKCS5Padding» и получение ключ из javax.crypto.SecretKeyFactory с алгоритмом «PBKDF2WithHmacSHA512» .
Вот пример кода (обновленный для замены менее безопасного варианта на основе MD5):
import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.security.AlgorithmParameters;
import java.security.GeneralSecurityException;
import java.security.NoSuchAlgorithmException;
import java.security.spec.InvalidKeySpecException;
import java.util.Base64;
import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.PBEKeySpec;
import javax.crypto.spec.SecretKeySpec;
public class ProtectedConfigFile {
public static void main(String[] args) throws Exception {
String password = System.getProperty("password");
if (password == null) {
throw new IllegalArgumentException("Run with -Dpassword=<password>");
}
// The salt (probably) can be stored along with the encrypted data
byte[] salt = new String("12345678").getBytes();
// Decreasing this speeds down startup time and can be useful during testing, but it also makes it easier for brute force attackers
int iterationCount = 40000;
// Other values give me java.security.InvalidKeyException: Illegal key size or default parameters
int keyLength = 128;
SecretKeySpec key = createSecretKey(password.toCharArray(),
salt, iterationCount, keyLength);
String originalPassword = "secret";
System.out.println("Original password: " + originalPassword);
String encryptedPassword = encrypt(originalPassword, key);
System.out.println("Encrypted password: " + encryptedPassword);
String decryptedPassword = decrypt(encryptedPassword, key);
System.out.println("Decrypted password: " + decryptedPassword);
}
private static SecretKeySpec createSecretKey(char[] password, byte[] salt, int iterationCount, int keyLength) throws NoSuchAlgorithmException, InvalidKeySpecException {
SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA512");
PBEKeySpec keySpec = new PBEKeySpec(password, salt, iterationCount, keyLength);
SecretKey keyTmp = keyFactory.generateSecret(keySpec);
return new SecretKeySpec(keyTmp.getEncoded(), "AES");
}
private static String encrypt(String property, SecretKeySpec key) throws GeneralSecurityException, UnsupportedEncodingException {
Cipher pbeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
pbeCipher.init(Cipher.ENCRYPT_MODE, key);
AlgorithmParameters parameters = pbeCipher.getParameters();
IvParameterSpec ivParameterSpec = parameters.getParameterSpec(IvParameterSpec.class);
byte[] cryptoText = pbeCipher.doFinal(property.getBytes("UTF-8"));
byte[] iv = ivParameterSpec.getIV();
return base64Encode(iv) + ":" + base64Encode(cryptoText);
}
private static String base64Encode(byte[] bytes) {
return Base64.getEncoder().encodeToString(bytes);
}
private static String decrypt(String string, SecretKeySpec key) throws GeneralSecurityException, IOException {
String iv = string.split(":")[0];
String property = string.split(":")[1];
Cipher pbeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
pbeCipher.init(Cipher.DECRYPT_MODE, key, new IvParameterSpec(base64Decode(iv)));
return new String(pbeCipher.doFinal(base64Decode(property)), "UTF-8");
}
private static byte[] base64Decode(String property) throws IOException {
return Base64.getDecoder().decode(property);
}
}
Остается одна проблема: где хранить пароль, который вы используете для шифрования паролей? Вы можете сохранить его в исходном файле и затемнить, но найти его снова не так уж и сложно. В качестве альтернативы вы можете указать его как системное свойство при запуске процесса Java ( -DpropertyProtectionPassword = ... ).
Та же проблема остается, если вы используете KeyStore, который также защищен паролем. В общем, вам понадобится где-то один мастер-пароль, и его довольно сложно защитить.
Обратите внимание на jasypt , библиотеку, предлагающую базовые возможности шифрования с минимальными усилиями.
Я думаю, что лучший подход - убедиться, что ваш файл конфигурации (содержащий ваш пароль) доступен только для определенной учетной записи пользователя . Например, у вас может быть конкретный пользователь приложения appuser , для которого только доверенные лица имеют пароль (и к которому они su ].
Таким образом, не будет раздражающей криптографии накладные расходы, и у вас все еще есть пароль, который является безопасным.
РЕДАКТИРОВАТЬ: Я предполагаю, что вы не экспортируете конфигурацию своего приложения за пределы доверенной среды (что, я не уверен, будет иметь смысл, учитывая вопрос )
Да, определенно не пишите свой собственный алгоритм. В Java есть множество криптографических API.
Если ОС, на которую вы устанавливаете, имеет хранилище ключей, вы можете использовать его для хранения своих криптографических ключей, которые вам понадобятся для шифрования и дешифрования конфиденциальных данных в вашей конфигурации или других файлах.
Посмотрите, что доступно в Jetty для хранения пароля (или хэшей) в файлах конфигурации, и подумайте, может ли кодировка OBF быть полезной для вас. Затем посмотрите в источнике, как это делается.
http://www.eclipse.org/jetty/documentation/current/configuring-security-secure-passwords.html