18.8. 무지개 토토 옵션

기본적으로 데이터베이스 사용자 암호는 MD5 해시로 저장되므로 관리자는 사용자에게 할당 된 실제 암호를 결정할 수 없습니다. MD5 무지개 토토가 클라이언트 인증에 사용되는 경우, 클라이언트 MD5- 무지개 토토가 네트워크를 통해 전송되기 전에 무지개 토토되지 않은 암호는 일시적으로 서버에 존재하지 않습니다..

the롤 토토 PostgreSQL : 문서 : 9.6 : pgcrypto모듈을 사용하면 특정 필드를 암호화 할 수 있습니다. 일부 데이터 만 민감한 경우 유용합니다. 클라이언트는 암호 해독 키를 공급하고 데이터는 서버에서 암호 해독 된 다음 클라이언트로 전송됩니다.

해독 된 데이터와 암호 해독 키는 서버에 간단한 시간 동안 해독되고 클라이언트와 서버간에 통신되는 동안 서버에 있습니다. 이것은 시스템 관리자와 같은 데이터베이스 서버에 완전히 액세스 할 수있는 사람이 데이터와 키를 가로 채는 짧은 순간을 나타냅니다..

스토리지 암호화는 파일 시스템 수준 또는 블록 레벨에서 수행 할 수 있습니다. Linux 파일 시스템 암호화 옵션에는 Ecryptf 및 ENCF가 포함되며 FreeBSD는 PEF를 사용합니다. 블록 레벨 또는 전체 디스크 암호화 옵션에는 Linux의 DM-Crypt + Luks 및 Geom 모듈 Geli 및 FreeBsd의 GBDE가 포함됩니다. 다른 많은 운영 체제는 Windows를 포함 하여이 기능을 지원합니다.

이 메커니즘은 드라이브 또는 전체 컴퓨터가 도난당한 경우 무지개 토토되지 않은 데이터를 드라이브에서 읽지 못하게합니다. 파일 시스템이 장착되는 동안 공격으로부터 보호되지는 않습니다. 장착시 운영 체제는 무지개 토토되지 않은 데이터를 제공하지 않기 때문입니다. 그러나 파일 시스템을 장착하려면 무지개 토토 키를 운영 체제로 전달할 수있는 방법이 필요하며 때로는 키가 디스크를 장착하는 호스트 어딘가에 저장됩니다..

theMD5인증 방법은 서버로 보내기 전에 클라이언트의 비밀번호를 두 배로 암호화합니다. 먼저 사용자 이름을 기준으로 MD5- 암호화 한 다음 데이터베이스 연결이 만들어 졌을 때 서버에서 전송 된 임의의 소금을 기반으로 암호화합니다. 네트워크를 통해 서버로 전송되는 것은 이중 암호화 값입니다. 이중 암호화는 비밀번호가 발견되는 것을 방지 할뿐만 아니라 다른 연결이 동일한 암호화 된 암호를 사용하여 나중에 데이터베이스 서버에 연결하는 것을 방지합니다..

SSL Connections는 네트워크에서 전송 된 모든 데이터를 무지개 토토합니다 : 비밀번호, 쿼리 및 반환 된 데이터. 그만큼pg_hba.conf파일 관리자가 무지개 토토되지 않은 연결을 사용할 수있는 호스트를 지정할 수 있습니다 (host) 및 SSL 무지개 토토 연결이 필요한 (hostssl). 또한 클라이언트는 SSL을 통해서만 서버에 연결하도록 지정할 수 있습니다.Stunnel또는SSH전송을 무지개 토토하는 데 사용될 수도 있습니다.

클라이언트와 서버 모두 서로에게 SSL 인증서를 제공 할 수 있습니다. 양쪽에 약간의 구성이 필요하지만 이는 단순한 암호 사용보다 신분을 더 강력하게 검증합니다. 컴퓨터가 클라이언트가 보낸 비밀번호를 읽을 수있을 정도로 서버 인 척하는 것을 방지합니다. 또한 예방에 도움이됩니다"중간에있는 사람"클라이언트와 서버 간의 컴퓨터가 서버 인 척하고 클라이언트와 서버 간의 모든 데이터를 읽고 전달하는 경우

서버 시스템의 시스템 관리자를 신뢰할 수없는 경우 클라이언트가 데이터를 무지개 토토해야합니다. 이런 식으로 무지개 토토되지 않은 데이터는 데이터베이스 서버에 나타나지 않습니다. 서버로 전송되기 전에 클라이언트에 데이터가 무지개 토토되며, 사용하기 전에 클라이언트에 데이터베이스 결과를 해독해야합니다.