Re: [HanoiLUG] HanoiLUG Digest, Vol 67, Issue 79

Mon, 29 Nov 2010 03:21:48 -0800

Rõ ràng là để 2 máy vật lý khác nhau rồi
Vấn đề là SSL mới chỉ ngăn chặn được kẻ gian bên ngoài xâm nhập nhưng chưa ngăn được kẻ gian người nhà
Nếu dùng SSL được thì cho mình hỏi 1 câu là nếu admin copy toàn bộ folder /var/lib/mysql ra 1 server khác mà người đó có quyền làm chủ, tạo 1 CSDL trùng tên với CSDL mà anh ta đang muốn đánh cắp, sau đó copy content của CSDL gốc vào thì hoàn toàn có thể đọc được luôn vì MySQL chỉ kiểm soát access thôi, đã access được thì đọc được tất.
Bài toán đặt ra là nếu anh ta copy folder /var/lib/mysql ra thì nó phải là dữ liệu chết thì mới an toàn được, nghĩa là các file phải được encrypt bên trong và chỉ có tool đứng giữa đường từ php sang MySQL để giải mã mới đọc được CSDL thì mới ngăn chặn được việc đánh cắp vật lý.
Cám ơn sự giúp đỡ.
Quang


Ngày 29/11/2010 16:27, [email protected] viết:
Tiêu đề:
Re: [HanoiLUG] Nhu cầu giải pháp mã hoá MySQL
Từ:
Nguyen Vu Hung <[email protected]>
Ngày:
Mon, 29 Nov 2010 16:26:57 +0700
Tới:
Hanoi Linux Users Group <[email protected]>		 

Anh Quang,

Giả sử rằng MySQL và application server (PHP, Java) ở 2 máy vật lý khác nhau.

2010/11/29 Le Ngoc Quang <[email protected]>:
  
> Chào cả nhà
> Hiện nay tôi đang có nhu cầu mã hoá và giải mã các CSDL MySQL với các yêu
> cầu sau đây:
>
> Mã hoá bằng 1 hoặc 2 chìa khoá (mỗi CSDL đã có 1 password cho CSDL đó)
    
Mã hóa bằng ssl ở phía application server, key sẽ store ở server này
(Không tồn tại ở DB server)

  
> Giải mã nhanh
    
Điều này em chưa kiểm chứng, tất nhiên tùy thuộc vào lượng dữ liệu và
tình hình cụ thể.

  
> Chống mọi khả năng copy CSDL kể cả đối với root
    
Việc này không làm được nếu DB server và application server cài chung
trên 1 máy.
Nhưng làm được nếu cài riêng.

  
> Chống đón lõng dữ liệu
    
Man in the middle attack: Có thể. Và độ an toàn của giải pháp này bằng
độ an toàn của số bit
mà ssl sử dụng.

  
> Anh em nào có giải pháp tốt và đã kiểm định xin mách nước giúp nhé
    
Em chưa kiểm định, nhưng phải build/wrap lại DB adaptor layer ở phía
application server.

Tham khảo:
http://php.net/manual/ja/function.openssl-public-encrypt.php
(Anh đọc các comment ở đó)

  


-- 
This mail was scanned by BitDefender
For more information please visit http://www.bitdefender.com

_______________________________________________
POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines
_______________________________________________
HanoiLUG mailing lists: http://lists.hanoilug.org/
HanoiLUG wiki: http://wiki.hanoilug.org/
HanoiLUG blog: http://blog.hanoilug.org/

Trả lời cho