PostgreSQL와이즈 토토를 제공합니다 여러 수준에서 데이터 보호의 유연성을 제공합니다 데이터베이스 서버 도난으로 인한 공개에서 부도덕 한 관리자 및 불안한 네트워크. 와이즈 토토도 가능합니다 의료 기록 또는 금융 거래.
기본적으로 데이터베이스 사용자 암호는 MD5로 저장됩니다 해시이므로 관리자는 실제를 결정할 수 없습니다 사용자에게 할당 된 비밀번호. MD5 암호화가 사용되는 경우 클라이언트 인증의 경우 암호화되지 않은 암호는 다음과 같습니다 이기 때문에 서버에 일시적으로 존재하지 마십시오 클라이언트 MD5는이를 암호화하기 전에 암호화합니다 회로망.
theContrib기능 라이브러리pgcrypto특정 필드를 허용합니다
암호화 된 저장. 이것은 일부 데이터 만 있으면 유용합니다
민감합니다. 클라이언트는 암호 해독 키를 제공합니다
데이터는 서버에서 해독 된 다음
고객.
해독 된 데이터와 암호 해독 키가 해독되는 동안 서버는 클라이언트와 서버간에 전달됩니다. 이것은 a 데이터와 키를 가로 채울 수있는 짧은 순간 데이터베이스 서버에 완전히 액세스 할 수있는 사람 시스템 관리자로서.
Linux에서 와이즈 토토를 파일 위에 계층화 할 수 있습니다. a를 사용하는 시스템 마운트"루프백 장치". 이를 통해 전체 파일 시스템 파티션이 가능합니다 디스크에서 와이즈 토토하고 작동에 의해 와이즈 토토됩니다 체계. FreeBSD에서 동등한 시설을 GEOM이라고합니다 기반 디스크 와이즈 토토 또는gbde.
이 메커니즘은 와이즈 토토되지 않은 데이터를 읽지 못하게합니다 드라이브에서 드라이브 또는 전체 컴퓨터가 훔친. 이것은 공격하는 동안 공격으로부터 보호하지 않습니다 파일 시스템은 장착되면 작동하기 때문에 장착됩니다 시스템은 와이즈 토토되지 않은 데이터를 제공합니다. 하지만, 파일 시스템을 마운트하려면 어떤 방법이 필요합니다. 운영 체제로 전달되는 와이즈 토토 키 및 때로는 키가 호스트 어딘가에 저장됩니다. 디스크를 마운트합니다.
theMD5인증 방법 전송하기 전에 클라이언트의 비밀번호를 이중으로 암호화합니다 서버에. 먼저 md5를 암호화합니다 사용자 이름, 그런 다음 무작위 소금을 기준으로 암호화합니다. 데이터베이스 연결이 이루어질 때 서버에 의해 그것은 네트워크를 통해 전송되는이 이중 암호화 값 서버에. 이중 암호화는 발견 된 비밀번호는 다른 것을 방지합니다 동일한 암호화 된 비밀번호를 사용하여 연결됩니다 나중에 데이터베이스 서버에 연결하십시오.
SSL Connections에서 전송 된 모든 데이터를 와이즈 토토합니다 네트워크 : 비밀번호, 쿼리 및 데이터가 반환되었습니다. 그만큼PG_HBA.conf파일 허용 관리자는 와이즈 토토되지 않은 호스트를 지정합니다 연결 (host) SSL 와이즈 토토 연결이 필요합니다 (hostssl). 또한 고객은이를 지정할 수 있습니다 SSL을 통해서만 서버에 연결합니다.Stunnel또는SSH와이즈 토토에도 사용될 수도 있습니다 전송.
클라이언트와 서버가 제공 할 수 있습니다. 서로에게 SSL 인증서. 추가가 필요합니다 양쪽의 구성이지만 더 강력합니다 단순한 암호 사용보다 신원 확인. 그것 컴퓨터가 서버 인 척하는 것을 방지합니다. 클라이언트가 보내는 비밀번호를 읽을 정도로 길다. 그것 또한 "중간에있는 사람"공격을 방지하는 데 도움이됩니다. 클라이언트와 서버 간의 컴퓨터는 서버 및 클라이언트 간의 모든 데이터를 읽고 전달합니다. 섬기는 사람.
시스템 관리자를 신뢰할 수없는 경우입니다 클라이언트가 데이터를 와이즈 토토하는 데 필요합니다. 이런 식으로 와이즈 토토되지 않은 데이터는 데이터베이스 서버에 나타나지 않습니다. 데이터 서버로 전송되기 전에 클라이언트에 와이즈 토토되며 클라이언트에서 데이터베이스 결과를 해독해야합니다. 사용하기 전에.