パスワード暗号化

Pandora FMS ドキュメント一覧に戻る

Pandora FMS allows to encrypt the passwords stored in the database.

Pandora FMS はデータベース上のパスワードの暗号化に対応しています。

The encryption key is generated from a user-supplied password and is not stored in the database (neither the password nor the key), so that passwords cannot be recovered from a database dump.

暗号化キーは、ユーザが用意するパスフレーズから生成され、(キーやパスフレーズも含め)データベースには保存されません。これにより、データベースのダンプからパスワードを再現することはできません。

Once the user sets the password, the encryption works transparently to the user.

ユーザがパスワードを設定すると、暗号化はユーザーに対して透過的に機能します。

Passwords are encrypted using the Rijndael encryption with 128 bit blocks in ECB mode. A 256 bit key is generated at startup from the password MD5.

パスワードは、128bit の Rijndael cipher の ECB モードを使って暗号化しています。パスフレーズの MD5 から、最初に 256bit のキーが生成されます。

To enable key encryption, the password must be configured both in the Pandora FMS Server and in the Web Console.

キー暗号化を有効にするには、Pandora FMS サーバと Web コンソールの両方でパスワードを設定する必要があります。

The steps to follow for encryption are as follows:

暗号化の手順は次の通りです。

• Stop the server, both in Command Center (Metaconsole) and in the nodes.

• コマンドセンター (メタコンソール) と ノード の両方でサーバを停止します。

• Update the encryption_passphrase fields in /etc/pandora/pandora_server.conf and /var/www/html/pandora_console/include/config.php, both in Command Center (Metaconsole) and in nodes.

• /etc/pandora/pandora_server.conf 内の encryption_passphrase および、ノード および コマンドセンター(メタコンソール) 双方の /var/www/html/pandora_console/include/config.php を更新します。

$config["encryption_passphrase"]="your encryption passphrase";

$config["encryption_passphrase"]="あなたの暗号化パスフレーズ";

• Launch the encryption script both in Command Center (Metaconsole) and in the nodes.

• ノード および コマンドセンター(メタコンソール) 両方の暗号化スクリプトを起動します。

/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

Changing the encryption password is possible in case it gets compromised. First, passwords stored within the database must be decrypted:

暗号化パスワードは、漏えいしてしまった場合などは変更することができます。最初に、データベース内のパスワードを復号化する必要があります。

/usr/bin/pandora_encrypt_db -d /etc/pandora/pandora_server.conf

Then, after changing the encryption password (as described in the configuration in a newly installed Pandora FMS section), they can be encrypted again:

そして、(新規 Pandora FMS インストール時の設定で説明した方法で)パスワードを変更後、再度暗号化します。

/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

Credential manager:

認証情報管理:

In case of having an encrypted database available, to be able to keep using the credential manager without losing data, decrypt everything except for the table tcredential_store

暗号化データベースがある場合、データを失うことなく認証情報管理を使い続けることができるようにするには、tcredential_store テーブルを除いてすべての暗号を解除します。

For that purpose, execute the following commands:

そのためには、以下のコマンドを実行します。

/usr/bin/pandora_encrypt_db -d -c /etc/pandora/pandora_server.conf

Leave everything decrypted.

全ての暗号化が解除されます。

Once decrypted, encrypt it again:

暗号化を解除したら、再度暗号化を行います。

/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

If you only wish to encrypt from scratch, just execute the last command.

初回の暗号化では、最後のコマンドを実行します。

• Stop the server, both in Metaconsole and node.
• Comment encryption_passphrase in /etc/pandora/pandora_server.conf and /var/www/html/pandora_console/include/config.php tode in node and Metaconsole.

• メタコンソール と ノード 双方のサーバを停止します。
• メタコンソール と ノード 双方の /etc/pandora/pandora_server.conf および /var/www/html/pandora_console/include/config.php の encryption_passphrase をコメントアウトします。

# $config["encryption_passphrase"]="your encryption passphrase";

• Launch the decryption script both in node and Metaconsole.

• ノード および メタコンソール で復号化スクリプトを実行します。

/usr/bin/pandora_encrypt_db -d -e /etc/pandora/pandora_server.conf

Pandora FMS ドキュメント一覧に戻る