個人用ツール

Pandora:Documentation ja:Password Encryption

提供: Pandora FMS Wiki JP

移動先: 案内, 検索

Pandora FMS ドキュメント一覧に戻る

Pandora FMS でのパスワード暗号化

Pandora FMS supports the encryption of passwords stored in the database. The encryption key is generated from a user provided passphrase and is not stored in the database (neither the key nor the passphrase) so that passwords cannot be recovered from a database dump. Once the passphrase is configured, encryption works transparently for the user.

Pandora FMS はデータベース上のパスワードの暗号化に対応しています。暗号化キーは、ユーザが用意するパスフレーズから生成され、(キーやパスフレーズも含め)データベースには保存されません。これにより、データベースのダンプからパスワードを再現することはできません。パスフレーズを設定すると、暗号化がユーザに透過的に動作します。

Template warning.png

If you lose the passphrase you will not be able to retrieve passwords stored in the Pandora FMS Database. Keep it in a safe place or backup the files config.php and pandora_server.conf.


Template warning.png

パスフレーズを無くすと、Pandora FMS データベースに保存されたパスワードは利用できなくなります。安全な場所に置くか、config.php および pandora_server.conf をバックアップしてください。


技術詳細

Passwords are encrypted using the Rijndael cipher with 128 bit blocks in ECB mode. A 256 bit key is generated at startup from the MD5 of the passphrase.

パスワードは、128bit の Rijndael cipher の ECB モードを使って暗号化しています。パスフレーズの MD5 から、最初に 256bit のキーが生成されます。

新規インストールの Pandora FMS での設定

To enable password encryption the passphrase has to be configured in both the Pandora FMS Server and the Pandora FMS Console:

パスワード暗号化を有効化するには、Pandora FMS サーバと Pandora FMS コンソール双方でパスフレーズを設定する必要があります。

  • Edit the pandora_console/include/config.php file and add the following line:
$config["encryption_passphrase"]="your encryption passphrase";
  • pandora_console/include/config.php ファイルを編集し、次の行を加えます。
$config["encryption_passphrase"]="あなたの暗号化パスフレーズ";
  • Edit the /etc/pandora/pandora_server.conf file and add the following option (note that there are no quotes around the passphrase):
encryption_passphrase your encryption passphrase
  • /etc/pandora/pandora_server.conf ファイルを編集し、次のオプションを追加します。(パスフレーズはクォーテーションでくくらないでください)
encryption_passphrase あなたの暗号化パスフレーズ

Do not forget to restart the Pandora FMS Server after the changes have been made.

設定変更後は、Pandora FMS サーバを忘れずに再起動してください。

すでにインストール済の Pandora FMS での設定

Configure password encryption following the steps required for a newly installed Pandora FMS. At this point any new passwords configured in the Pandora FMS Console will be stored in the database encrypted, but already existing passwords must be encrypted too. To achieve that run the script:

新規インストールの Pandora FMS の手順に従って暗号化パスワード設定をします。ここで、Pandora FMS コンソールで任意の新たなパスワードが設定され、データベースに暗号化したものが保存されます。ただし、既存のパスワードも暗号化する必要があります。そのためには、スクリプトを実行します。

/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

The script will refuse to run a second time, otherwise passwords would become corrupted.

このスクリプトは二度実行してはいけません。そうしてしまうとパスワードが壊れます。

暗号化パスワードの変更

Changing the encryption password is possible in case it gets compromised. First, passwords stored within the database must be decrypted:

暗号化パスワードは、漏えいしてしまった場合などは変更することができます。最初に、データベース内のパスワードを複合化する必要があります。

/usr/bin/pandora_encrypt_db -d /etc/pandora/pandora_server.conf

Then, after changing the encryption password (as described in the configuration in a newly installed Pandora FMS section), they can be encrypted again:

そして、(新規 Pandora FMS インストール時の設定で説明した方法で)パスワードを変更後、再度暗号化します。

/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

Template warning.png

From 7.0NG.739 onwards, safe credential management is included.


Template warning.png

7.0NG 739 以降には、安全な認証管理が含まれています。


In case of having an encrypted database available, decrypt everything except for the table tcredential_store

暗号化データベースがある場合は、tcredential_store テーブルを除いてすべての暗号を解除します。

For that purpose, execute the following commands:

そのためには、以下のコマンドを実行します。

/usr/bin/pandora_encrypt_db -d -c /etc/pandora/pandora_server.conf

So leave everything decrypted.

全ての暗号化が解除されます。

Once decrypted, encrypt it again:

暗号化を解除したら、再度暗号化を行います。

/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

If you only wish to encrypt from scratch, just execute the last command.

初回の暗号化では、最後のコマンドを実行します。