This article对加密MariaDB数据库表的主题进行了广泛的讨论.另一个优秀的资源是this one.他们没有提到的一件事是在何处定义表级加密配置.我是否正确地认为应该由此完成
>放置相关指令,例如/etc/MysqL/my.cnf系统中的plugin-load-add = file_key_management_plugin.so
>创建加密密钥
>重新启动MariaDB服务器,最后,
>发出ALTER TABLE ENCRYPTED = YES ENCRYPTION_KEY_ID = NN;在每个要加密的表上
即使这是正确的,我也会想到一个问题 – 如果攻击者同时访问加密密钥文件,这种加密如何保护受损数据?可能的解决方案是将加密密钥存储在NFS共享文件夹中,该文件夹配置为只能从指定的IP地址访问吗?
解决方法:
This article应回答有关在MariaDB中进行此设置的大部分问题.与配置加密相关的答案实质上是“你做得对”,但你也应该考虑加密日志文件(文章描述了如何).
至于后者,使用具有有限访问权限的NFS卷应该提供良好的保护,如果服务器被物理删除以窃取数据,但是对于有人在系统上线时访问系统的情况,它似乎是固体溶液少.通过访问服务器,可以轻松获得有问题的NFS卷和文件.
使用TPM(如果您的硬件允许)存储密钥可能是一个更好的解决方案 – 它旨在帮助解决此类问题.
是否可以将加密密钥链接到登录用户?考虑使用第二个数据库(或服务器)进行用户身份验证,并使用用户登录密码加密加密密钥并将其存储在那里.在成功登录时 – 提供正确的密码 – 您可以解密加密密钥,然后“解锁”第一个(加密的)数据库.这将加密密钥“存储在用户的头脑中”,可能是您最安全的选择.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
