암호를 암호화하거나 암호를 해싱합니다.

Question

나는 아주 평범하지도 않고 아주 어리석은 사람입니다. 데이터베이스에 일부 암호를 저장해야합니다. 제가 정말로 필요한 것을 설명해 드리겠습니다.

하루에 세 번씩 매일 액세스해야하는 서버가 있으며 일종의 논스톱 서비스이며 SSH 서비스가 각 서버에서 실행되고 있으며 하루에 3 번씩 각 서버에 대한 액세스를 요청하는 소프트웨어. 글쎄, 내가 원하는만큼 잘 작동합니다. 문제는, 암호입니다! 모든 암호를 관리하는 방법!

오늘 나는 서버에 인증하기 위해 SSH2 PHP 함수 ssh2_auth_password()을 사용하고 있기 때문에 스크립트 (실제로는 SSH 서비스를 실행하는 동일한 스크립트)에 모든 서버 암호를 가지고 있지만 일반 텍스트입니다.

이 기능에 대해 ssh2_ auth_ pubkey_ file()? 어떻게 사용해야합니까?

내 개인 스크립트에 비밀번호를 저장하는 것이 안전할까요? 나는 그렇게 생각하지 않는다 ..

그 다음 무엇을해야 하느냐? 데이터베이스에 암호를 저장하면 각 서버 요청 (cron이 실행 중임)에서 암호를 검색해야합니다. 그러면 해시 인 경우 스크립트의 다른 해시와 비교하여 내 텍스트에 대한 일반 텍스트를 반환 할 수 있습니다. 함수는 여전히 평범한 텍스트를 인증합니다. (그러나 나는 아직 좋은 해결책이 아니라고 생각합니다!).

암호를 암호화 한 다음 모든 서버 요청에서 암호를 해지 하시겠습니까 ?? 아마도 가능할 것입니다.

누군가이 상황에서 최선의 방법을 알고 있습니까?

나는 수영장에있어!

미리 감사드립니다.

[EDITED가]

내 아치 그들 중 대부분은, SaaS는 응용 프로그램 외장 (중립 서버)에서 실행 CronJobs 3 회를 실행 regurlary 있습니다 2.6 커널 리눅스 인/일의 모든 명령 라인으로 자동이다 인간과의 상호 작용은 없습니다.

는 [ONCE 편집을 할 MORE] 나는 키 쌍 ​​(들)을 생성해야

? 모든 서버에 SaaS APP 서버가 포함되어 있어도 하나의 키 쌍만 있습니까? 또는 하나씩 생성해야합니까? 조금 혼동 ..

   CRON JOBS (fire servers) 3x/day 
       ------------ 
       | SaaS APP |________________________ 
     ________------------_______    | 
    |    |    |    | 
    |    |    |    | 
----------- ----------- -----------   | 
| SERVER1 | | SERVER2 | | SERVER3 | .... SERVER4 .... 
----------- ----------- ----------- 

Thanks Again!

Answer 1

당신은 ssh2_auth_pubkey_file()과 올바른 궤도에있어.

1. ssh-keygen을 통해 공용/개인 키 쌍을 생성하십시오.
2. 각 서버의 ~/.ssh/authorized_keys에 공개 키를 추가하십시오.
3. 공개 키와 개인 키를 클라이언트 시스템에 복사하고이를 사용해야하는 계정에서만 읽을 수 있도록하십시오.
4. 은 이런 식으로 클라이언트에 인증 코드를 변경

   :

   $ssh_conn = ssh2_connect('my.server.addr', 22, array('hostkey'=>'ssh-rsa')); 
   if (ssh2_auth_pubkey_file(
       $ssh_conn, 
       'sshuser', 
       '/path/to/id_rsa.pub', 
       '/path/to/id_rsa', 
       'key_passphrase' 
   )) { 
       echo "Success"; 
   } else { 
       echo "Failure"; 
   } 
   

Answer 2

ssh를 통해 서버 내부 통신을 수행하는 경우 확실히 공개 키를 사용하십시오. 단순히 암호 기반 인증을 사용하는 경우 대상 서버가 손상되거나 SSL 튜너에 금이 가면 암호를 해독 할 수 있습니다. 문제는 매번 암호를 지정해야한다는 것입니다 (음, 암호없는 pubkeys를 사용할 수 있지만 더 좋지는 않음). 이러한 어려움을 극복하기 위해 공개 키와 인증 암호를 저장하는 ssh 에이전트를 사용할 수 있으므로 재부팅 할 때마다 한 번만 입력하면됩니다.

Pubkey auth tutorial for debian

Answer 3

당신은 당신의 암호가 자동으로이 암호를 해독하여 연결 mcrypt_encrypt PHP 기능을 사용하여 데이터베이스/파일에 암호화 된 모든 전에 저장할 수 있습니다. 물론 SSH 암호를 암호화하기 위해 다른 암호가 필요합니다.이 암호는 다른 파일에 저장하거나 앞에서 설명한 것처럼 재부팅 할 때마다이 암호를 사용하여 메모리에만 저장하면됩니다.

예 :

<?php 
$output = mcrypt_encrypt(MCRYPT_TWOFISH, $key, $plaintextPassword, MCRYPT_MODE_ECB); 
//encode to base64 for easier manipulation 
$stored = base64_encode($output); 
... 
$b64encoded = base64_decode($encryptedPassword); 
mcrypt_decrypt(MCRYPT_TWOFISH, $key, $b64encoded, MCRYPT_MODE_ECB) 
?>