Архив автора: admin

Шифрование в состоянии покоя в MariaDB

Неактивное шифрование предотвращает доступ злоумышленника к зашифрованным данным, хранящимся на диске, даже если у него есть доступ к системе. Базы данных с открытым исходным кодом MySQL и MariaDB теперь поддерживают функцию шифрования в состоянии покоя, которая отвечает требованиям нового законодательства ЕС о защите данных. Шифрование MySQL в состоянии покоя немного отличается от MariaDB, поскольку MySQL обеспечивает шифрование только для таблиц InnoDB. В то время как MariaDB также предоставляет возможность шифровать файлы, такие как журналы повторного выполнения, журналы медленных операций, журналы аудита, журналы ошибок и т. д. Однако оба они не могут зашифровать данные в ОЗУ и защитить их от вредоносного корня.

В этой статье мы научимся настраивать шифрование на уровне базы данных для MariaDB.

 

Начиная

Для шифрования данных в состоянии покоя требуется плагин шифрования вместе с управлением ключами. Плагин шифрования отвечает за управление ключом шифрования, а также за шифрование/дешифрование данных.

MariaDB предоставляет три решения для управления ключами шифрования, поэтому то, как ваши базы данных управляют ключом шифрования, зависит от используемого вами решения. В этом руководстве будет продемонстрировано шифрование на уровне базы данных с помощью решения MariaDB File Key Management. Однако этот плагин не поддерживает функцию ротации ключей.

Если вы используете сервер LAMP, файлы для добавления этого плагина находятся в каталоге «/opt/lamp». В противном случае изменения вносятся в папку «/etc/mysql/conf.d».

 

Создание ключей шифрования

Перед шифрованием базы данных с помощью плагина управления ключами файлов нам необходимо создать файлы, содержащие ключи шифрования. Мы создадим файл с двумя частями информации. Это ключ шифрования в шестнадцатеричном формате вместе с 32-битным идентификатором ключа.

Мы создадим новую папку «keys» в каталоге « /etc/mysql/» и воспользуемся утилитой OpenSSL для случайной генерации трех шестнадцатеричных строк и перенаправления вывода в новый файл в папке ключей. Введите следующие команды:

ubuntu@ubuntu:~$ sudo mkdir /etc/mysql/keys

ubuntu@ubuntu:~$ echo -n "1;"$openssl rand hex 32 > /etc/mysql/keys/enc_keys"

ubuntu@ubuntu:~$ echo -n "2;"$openssl rand hex 32 > /etc/mysql/keys/enc_keys"

ubuntu@ubuntu:~$ echo -n "3;"$openssl rand hex 32 > /etc/mysql/keys/enc_keys"

 

Где 1,2,3 — ключевые идентификаторы; мы включаем их, чтобы создать ссылку на ключи шифрования, используя переменную innodb_default_encryption_key_id в MariaDB. Выходной файл будет выглядеть так:

1;01495ba35e1c9602e14e40bd6de41bb8

2;3cffa4a5d288e90108394dbf639664f8

3;9953297ed1a58ae837486318840f5f1d

Шифрование ключевого файла

Мы можем легко установить системную переменную file_key_management_filename с соответствующим путем внутри плагина File Key Management. Но оставлять ключи в виде обычного текста небезопасно. Мы можем до некоторой степени снизить риск, назначив права доступа к файлам, но этого недостаточно.

Теперь мы зашифруем ранее созданные ключи, используя случайно сгенерированный пароль. Напротив, размер ключа может варьироваться от 128/192/256 бит.

ubuntu@ubuntu:~$ openssl rand -hex 192> /etc/mysql/keys/enc_paswd.key

 

Поэтому мы будем использовать OpenSSL ENC команду в терминале для шифрования enc_key.txt файл enc_key.enc, с помощью ключа шифрования , созданного выше. Кроме того, MariaDB поддерживает только режим CBC AES для шифрования ключей шифрования.

ubuntu@ubuntu:~$ openssl enc -aes-256-cbc -md sha1 -pass file:/etc/mysql/keys/enc_paswd.key -in /etc/mysql/keys/enc_key.txt -out /etc/mysql/keys/enc_key.enc && sudo rm /etc/mysql/keys/enc_key.txt

 

Мы также удаляем наш файл enc_keys.txt, поскольку он больше не нужен. Кроме того, мы всегда можем расшифровать наши данные в MariaDB, если наш файл паролей в безопасности.

 

Настройка плагина управления файловыми ключами

Теперь мы настроим MariaDB с помощью плагина File Key Management, добавив следующие переменные в файл конфигурации. Файлы конфигурации обычно находятся в ‘/etc/mysql’ и по умолчанию читают все файлы .cnf. Или вы можете создать новый файл конфигурации «mariadb_enc.cnf» в каталоге /etc/mysql/conf.d/.

Теперь ваш файл конфигурации может выглядеть совершенно иначе. Однако добавьте эти переменные шифрования в [sqld]. Если ключ зашифрован, плагину требуется настроить две системные переменные, то есть file_key_management_filename и file_key_management_filekey.

[sqld]



#File Key Management Plugin

plugin_load_add=file_key_management

file_key_management = ON file_key_management_encryption_algorithm=aes_cbc file_key_management_filename = /etc/mysql/keys/enc_keys.enc

file_key_management_filekey = /etc/mysql/keys/enc_paswd.key



# InnoDB/XtraDB Encryption Setup

innodb_default_encryption_key_id = 1

innodb_encrypt_tables = ON

innodb_encrypt_log = ON

innodb_encryption_threads = 4



# Aria Encryption Setup

aria_encrypt_tables = ON



# Temp & Log Encryption

encrypt-tmp-disk-tables = 1

encrypt-tmp-files = 1

encrypt_binlog = ON

 

Вы можете найти подробную информацию о каждой системной переменной на официальном сайте MariaDB.

 

Защита файла паролей

Мы изменим права доступа к каталогу MySQL, чтобы защитить пароль и другие конфиденциальные файлы. Право собственности на MariaDB будет изменено на текущего пользователя, которым в Ubuntu является mysql.

sudo chown -R mysql:root /etc/mysql/keys

sudo chmod 500 /etc/mysql/keys/

 

Теперь мы изменим пароль и права доступа к зашифрованным файлам на

sudo chown mysql:root /etc/mysql/keys/enc_paswd.key /etc/mysql/keys/enc_key.enc



sudo chmod 600 /etc/mysql/keys/enc_paswd.key /etc/mysql/keys/enc_key.enc

 

Теперь перезапустите службу базы данных.

sudo service mysql restart

Вывод

В этой статье мы узнали, как шифрование на уровне базы данных является актуальной задачей и как мы можем настроить шифрование в состоянии покоя в MariaDB. Единственным недостатком плагина File Key Management является то, что он не поддерживает ротацию ключей. Однако, помимо этого подключаемого модуля, существует множество других решений для шифрования управления ключами, например подключаемый модуль AWS Key Management и подключаемый модуль Eperi Key Management. Вы можете найти более подробную информацию об этих плагинах на официальном сайте MariaDB.



2021-02-25T04:45:11
MariaDB

Как создать набор иконок [+ ресурсы]

Иконы были впервые использованы древними греками для изображения религиозных божеств и святых фигур на нарисованных вручную картинах.

Грамотность была редкостью, поэтому проще всего распространять религиозное учение с помощью изображений, а не письменного текста. Были тысячи знаковых изображений Девы Марии, где она изображена с использованием тех же узнаваемых характеристик. Это было преднамеренное действие, чтобы создать ощущение близости и узнаваемости для тех, кто был религиозен. Читать

Применяем Python на практике: книги по прикладному использованию языка, изданные в 2020 году

Сегодня программирование — очень популярная сфера деятельности. Но чтобы пользоваться преимуществами программирования на прикладном уровне, не обязательно становиться разработчиком. Есть целый ряд книг, ориентированных как на питонистов, так и на специалистов в других сферах, которые хотели бы использовать Python в своей работе.

Например, есть книги по применению Python в анализе данных, администрировании сетей, математических вычислениях. И это мы еще не берем в расчет книги о глубоком обучении, нейронных сетях, искусственном интеллекте, где тоже очень широко применяется Python. Читать

Как включить виртуализацию на ПК в ОС Windows

Виртуализация — технология, позволяющая создавать на компьютере виртуальную среду, в которой можно запускать различные рабочие процессы, изолированные от основной операционной системы. Эта среда отделена от ОС таким образом, что процессы, происходящие внутри виртуальной среды, не затрагивают Windows.

Благодаря этой технологии, внутри операционной системы Windows можно запустить другие операционные системы: различные версии Windows, Linux, Android, macOS и т. д. Виртуальная среда использует ресурсы ПК одновременно с основной системой. Читать

MikroTik – подключение флэшки.

Рассмотрим способ организации общей сетевой папки небольшого размера, расположенной на флэшке. Для этих целей используется роутер MikroTik Rb750Gr3 с прошивкой 6.47.7 и самая обычная флэшка на 8Gb.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Базовая настройка роутера выполнена по этой инструкции.

Вставляем флэшку в USB разъем на корпусе роутера.

 

Входим в меню MikroTik через WinBox и переходим на вкладку Files.

В списке файлов видим все содержимое флэшки. Кирилический алфавит не воспроизводится.

Переходим в раздел меню System >> Disks

Видим отсутствие дисков.

 

Вводим команду в терминале.



Видим, что диск все таки есть, но не отображается.

Можно вывести список файлов на диске



 

Отформатируем флэшку в Fat32. Для этого сперва нужно отсоединить ее, указав номер диска, в данном случае 0.



Далее вводим команду.



Начнется форматирование флэшки.

Когда мы увидим надпись formatted: 100% можно еще раз вывести список дисков командой



После этих действий флэшка начала корректно отображаться в графическом интерфейсе.

Для форматирования в графическом интерфейсе последовательность такая же, как и в командном терминале: сперва нажимаем Eject Drive, затем Format Drive. Далее выбираем диск, файловую систему, метку и нажимаем старт.

*форматирование не является обязательным действием если файловая система fat32 или ext3

 

Общий доступ через SMB.

 Активация SMB.

Переходим в 1 IP >> 2 SMB

Выполняем следующие настройки:

3.Enable – отмечаем галочкой (активация SMB).

4.Domain: WORKGROUP имя локальной сети или домена.

5.Comment: комментарий.

6.Allow Guests: разрешение для доступа гостей (в нашем случае отключено, т.к. папка нужна для админов).

7.Interfaces: bridge1 (мост в котором 4 порта локальной сети).

8.Нажимаем кнопку Apply для сохранения настроек.

Через командную строку терминала:



 

Настройка общей папки.

В окне SMB Settings нажимаем кнопку Shares и на + создаем новую общую папку.

1.Name: share1 – имя латинскими буквами, можно оставить по умолчанию.

2.Directory: disk1/PC360 путь к будущей общей папке и ее название.

(Max Sessions – максимальное количество подключений.)

3.Нажимаем кнопку ОК.

Через командную строку терминала:



В списке файлов появится созданная папка.

 

Настройка пользователей.

В окне SMB Settings нажимаем кнопку Users и выполняем настройки.

1.Нажимаем +

2.Name: admin111 (имя пользователя латинскими буквами)

3.Password: 12345Password (пароль доступа)

4.Read Only – убираем галочку (будет разрешено чтение и запись).

5.Нажимаем ОК.

Через командную строку терминала:



 

Проверим наличие общей папки в сети.  В адресной строке ПК вводим IP-адрес роутера в локальной сети. Папка видна в общем доступе.

К общей папке имеют доступ только те пользователи, которые правильно введут учетные данные.

Так же к папке можно подключиться по ftp. Вводим в адресной строке IP-адрес роутера с ftp префиксом ftp://192.168.111.1  затем вводим логин и пароль администратора роутера (НЕ от созданного пользователя SMB). Видим общую папку. Для доступа можно использовать сторонние программы, например Total Commander.

*в меню роутера должен быть активирован доступ по ftp (IP >> Services >> ftp), обычно он активирован по умолчанию

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.



2021-02-21T13:20:44
Настройка ПО

Как выйти из редактора vim

Многие пользователи интересуются вопросами из разряда: «Как выйти из редактора vim?» или «Как сохранить изменения и закрыть vim?». Перед тем, как удовлетворить любопытство новичков, следует разобраться, о каком инструменте в принципе идет речь.

Редактор Vim работает в терминале устройств с ОС Linux. Его высокую популярность среди обычных пользователей и программистов легко объяснить богатым функционалом и наличием «горячих» клавиш. Порой те и другие юзеры ПК не могут нормально работать со сложным интерфейсом программы. Новичкам и вовсе не привычно использовать новые сочетания клавиш, предложенных в редакторе Vim. Это вызывает немало путаницы и мелких проблем.

Читать