L'autenticazione del socket del dominio come in MySQL e PostgreSQL è sicura?

1

I meccanismi di autenticazione basati su socket di dominio UNIX (Linux) sono sicuri? E più specificamente, le rispettive implementazioni MySQL e PostgreSQL su Linux sono sicure?

Lo sfondo per la mia domanda è: voglio sbarazzarmi di dover gestire tutte le password utente del database utilizzate da varie applicazioni web quando si accede ai database MySQL e PostgreSQL. In tutti i casi in cui il DB e le App si trovano sullo stesso host, l'autenticazione del socket di dominio sembra essere il modo migliore per collegarle, assumendo che ogni app venga eseguita come utente separato.

Questo meccanismo sembra essere usato molto raramente. La maggior parte delle app web fornisce istruzioni di installazione che propongono l'autenticazione della password, la maggior parte delle distribuzioni Linux utilizzano le password per impostazione predefinita (infame password di root MySQL) anche se i database sono preconfigurati solo per l'accesso locale.

Mi chiedo se ci sia una buona ragione per attenersi alle password che sembrano avere solo svantaggi (se impersonate come utente si ottiene la password dai file di configurazione e quindi si può accedere al database senza dover riconquistare l'accesso a l'account utente).

    
posta Michael 04.11.2014 - 16:25
fonte

1 risposta

0

L'autenticazioneSO_PEERCRED di MySQL% è abbastanza recente, è stata aggiunta in versione 5.5.10 , marzo 2011. L'analoga autenticazione Postgres è molto più vecchio (Si noti che Postgres supporta anche ident , RFC 1413, autenticazione, MySQL no, sarebbe un altro plugin, forse qualcuno lo scriverà.) La novità relativa della funzionalità in MySQL sarebbe una ragione per cui non si vede un molte app Web che lo utilizzano.

L'altro motivo è che, una volta che l'app viene utilizzata a sufficienza, la prima cosa che devi fare per prestazioni o affidabilità è spostare il database su un host diverso, dopodiché dovrai impostare una password (o alcuni altro metodo di autenticazione)

Per quanto riguarda la sicurezza, tuttavia, direi che questo metodo è molto sicuro. Dipende dal kernel per la garanzia di sicurezza, questo è tutto.

    
risposta data 06.12.2014 - 00:20
fonte

Leggi altre domande sui tag