ja:documentation:pandorafms:technical_annexes:08_password_encryption

パスワード暗号化

Pandora FMS ドキュメント一覧に戻る

Pandora FMS allows to encrypt the passwords stored in the database.

Pandora FMS はデータベース上のパスワードの暗号化に対応しています。

The encryption key is generated from a user-supplied password and is not stored in the database (neither the password nor the key), so that passwords cannot be recovered from a database dump.

暗号化キーは、ユーザが用意するパスフレーズから生成され、(キーやパスフレーズも含め)データベースには保存されません。これにより、データベースのダンプからパスワードを再現することはできません。

Once the user sets the password, the encryption works transparently to the user.

ユーザがパスワードを設定すると、暗号化はユーザーに対して透過的に機能します。

If the password provided by the user is lost, you will not be able to recover the passwords stored in the Pandora FMS database. Save in a safe place or make a backup of the config.php and pandora_server.conf files.

ユーザが入力したパスワードが失われた場合、Pandora FMS データベースに保存されているパスワードを回復することはできません。安全な場所に保存するか、config.php および pandora_server.conf ファイルのバックアップを作成してください。

Passwords are encrypted using the Rijndael encryption with 128 bit blocks in ECB mode. A 256 bit key is generated at startup from the password MD5.

パスワードは、128bit の Rijndael cipher の ECB モードを使って暗号化しています。パスフレーズの MD5 から、最初に 256bit のキーが生成されます。

To enable key encryption, the password must be configured both in the Pandora FMS Server and in the Web Console.

キー暗号化を有効にするには、Pandora FMS サーバと Web コンソールの両方でパスワードを設定する必要があります

The steps to follow for encryption are as follows:

暗号化の手順は次の通りです。

  • Stop the server, both in Command Center (Metaconsole) and in the nodes.
  • コマンドセンター (メタコンソール)ノード の両方でサーバを停止します。
  • Update the encryption_passphrase fields in /etc/pandora/pandora_server.conf and /var/www/html/pandora_console/include/config.php, both in Command Center (Metaconsole) and in nodes.
  • /etc/pandora/pandora_server.conf 内の encryption_passphrase および、ノード および コマンドセンター(メタコンソール) 双方の /var/www/html/pandora_console/include/config.php を更新します。
$config["encryption_passphrase"]="your encryption passphrase";
$config["encryption_passphrase"]="あなたの暗号化パスフレーズ";
  • Launch the encryption script both in Command Center (Metaconsole) and in the nodes.
  • ノード および コマンドセンター(メタコンソール) 両方の暗号化スクリプトを起動します。
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

The Pandora FMS server should be restarted after making the changes and launching the script.

変更を加えてスクリプトを実行した後、Pandora FMS サーバを再起動する必要があります。

It is possible to change the encryption password in case it has been compromised. You must first decrypt the passwords stored in the database:

暗号化パスワードが漏洩した場合には、それを変更することができます。まず、データベースに保存されているパスワードを復号化する必要があります。

/usr/bin/pandora_encrypt_db -d /etc/pandora/pandora_server.conf

Then, after having changed the encryption password (as described in the section for configuration in a new installation), you can encrypt it again:

その後、暗号化パスワードを変更し(新規インストールでの設定のセクションで説明したように)、再度暗号化することができます。

/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

From 7.0 NG 739 onwards, the secure credential manager is included. Please refer to the following section to finish this process correctly.

7.0NG 739 以降には、安全な認証管理が含まれています。この処理を正しく完了するには、次の章を参照してください

Credential manager:

認証情報管理:

If you have an encrypted database, in order to continue using the credential manager without losing data decrypt everything except the tcredential_store table.

暗号化されたデータベースがある場合、データを失うことなく資格情報管理を引き続き使用するには、tcredential_store テーブルを除くすべてのデータを復号化します。

To do so, execute the following commands:

そのためには、以下のコマンドを実行します。

/usr/bin/pandora_encrypt_db -d -c /etc/pandora/pandora_server.conf

It will be deciphered.

暗号化が解除されます。

Once decrypted, it will be re-encrypted again:

暗号化を解除したら、再度暗号化を行います。

/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

If you only want to encrypt from scratch, just execute the last command.

初回の暗号化では、最後のコマンドを実行します。

It is recommended to keep every password stored in Pandora FMS encrypted.

Pandora FMS に保存される すべての パスワードを暗号化しておくことをお勧めします。

  • Stop the server, both in Command Center (Metaconsole) and in the nodes.
  • Launch the decryption script both in Command Center (Metaconsole) and in the nodes.
  • コマンドセンター(メタコンソール)ノード 双方のサーバを停止します。
  • コマンドセンター(メタコンソール)ノード の両方で復号化スクリプトを起動します。
/usr/bin/pandora_encrypt_db -d /etc/pandora/pandora_server.conf
  • Comment encryption_passphrase in /etc/pandora/pandora_server.conf and /var/www/html/pandora_console/include/config.php both in Command Center (Metaconsole) and in nodes.
  • コマンドセンター (メタコンソール)ノード の両方で、/etc/pandora/pandora_server.conf/var/www/html/pandora_console/include/config.phpencryption_passphrase をコメントアウトします。
# $config["encryption_passphrase"]="your encryption passphrase";

The Pandora FMS server should be restarted after making the changes and launching the script.

変更を加えてスクリプトを実行した後は、Pandora FMS サーバを再起動することを忘れないでください。

Pandora FMS ドキュメント一覧に戻る

This section is only relevant if you wish to update from version 743 to version 744. If that is not the case, encrypt it as if it were new.

この章は、バージョン 743 からバージョン 744 に更新する場合にのみです。それ以外の場合は、新規の暗号化です。

Configure password encryption following the steps required for a newly installed Pandora FMS. At this point, any new passwords configured in the Pandora FMS Console will be stored in the database encrypted, but already existing passwords must be encrypted too. To that end, follow these steps:

新規インストールの Pandora FMS の手順に従って暗号化パスワード設定をします。ここで、Pandora FMS コンソールで任意の新たなパスワードが設定され、データベースに暗号化したものが保存されます。ただし、既存のパスワードも暗号化する必要があります。そのためには、次の手順を実行します。

  • Stop both the Metaconsole and node servers.
  • メタコンソールノード 双方を停止します。
  • Launch the decryption script both in the Metaconsole as well as the node
  • メタコンソール および ノード の復号化スクリプトを実行します。
/usr/bin/pandora_encrypt_db -d -m /etc/pandora/pandora_server.conf
  • Launch the encryption script both in the node and the Metaconsole:
  • ノード および メタコンソール 双方の暗号化スクリプトを実行します。
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf
  • Restart the Metaconsole and node servers.
  • メタコンソールおよびノードサーバを再起動します。

The script cannot be executed twice, otherwise passwords would get corrupted.

スクリプトは 2回実行できません。2回実行するとパスワードが破損します。

It is important to keep in mind that the -m parameter must be added to decrypt only old passwords. If that parameter is not added to previously encrypted databases, passwords will be lost.

古いパスワードを復号化するときのみ、-m パラメータを追加する必要があることに注意してください。暗号化されたデータベースにこのパラメータが追加されない場合、パスワードが失われます

  • ja/documentation/pandorafms/technical_annexes/08_password_encryption.txt
  • 最終更新: 2024/06/24 05:01
  • by junichi