Difference between revisions of "Pandora: Documentation es: Cifrado Contraseñas"
Edu.corral (talk | contribs) |
|||
Line 38: | Line 38: | ||
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf | /usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf | ||
+ | |||
+ | == Encriptación durante la actualización por OUM == | ||
+ | |||
+ | Para no exponer los datos durante la actualización, se recomienda cifrar el almacén de credenciales. | ||
+ | |||
+ | En caso de disponer de una base de datos encriptada, será necesario desencriptar todo menos la tabla <b>tcredential_store</b>: | ||
+ | |||
+ | /usr/bin/pandora_encrypt_db -d -c /etc/pandora/pandora_server.conf | ||
+ | |||
+ | A continuación se volverá a encriptar de nuevo: | ||
+ | |||
+ | /usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf | ||
+ | |||
+ | Si no se dispone de base de datos encriptada, bastará con ejecutar el último comando. | ||
+ | |||
+ | |||
+ | |||
+ | |||
[[Category:Documentation]] | [[Category:Documentation]] |
Revision as of 13:39, 30 September 2019
Contents
1 Cifrado de contraseñas en Pandora FMS
Pandora FMS permite cifrar las contraseñas que almacena en la base de datos. La clave de cifrado se genera a partir de una contraseña proporcionada por el usuario y no se guarda en la base de datos (ni la contraseña ni la clave) de modo que las contraseñas no se puedan recuperar de un volcado de la base de datos. Una vez el usuario configura la contraseña, el cifrado funciona de forma transparente para el usuario.
Si pierde la contraseña proporcionada por el usuario no podrá recuperar las contraseñas almacenadas en la base de datos de Pandora FMS. Guárdela en un lugar seguro o haga un backup de los ficheros config.php y pandora_server.conf. |
|
1.1 Detalles técnicos
Las contraseñas se cifran utilizado el cifrado Rijndael con bloques de 128 bits en modo ECB. Una clave de 256 bits se genera en el arranque a partir del MD5 de la contraseña configurada por el usuario.
1.2 Configuración en una instalación nueva de Pandora FMS
Para habilitar el cifrado de claves, la contraseña se debe configurar tanto en el Servidor de Pandora FMS como en la Consola:
- Edite el fichero pandora_console/include/config.php y añada la siguiente línea:
$config["encryption_passphrase"]="your encryption passphrase";
- Edite el fichero /etc/pandora/pandora_server.conf y añada la siguiente opción (observe que no hay comillas alrededor de la contraseña):
encryption_passphrase your encryption passphrase
No olvide reiniciar el servidor de Pandora FMS después de efectuar los cambios.
1.3 Configuración en una instalación existente de Pandora FMS
Configure el cifrado de contraseñas siguiendo los pasos descritos para una instalación nueva. Desde este momento las nuevas contraseñas que se introduzcan en la consola de Pandora FMS se guardarán cifradas en la base de datos. Sin embargo, deberá cifrar las contraseñas ya existentes. Para ello ejecute el siguiente script:
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf
El script no permitirá ejecutarse una segunda vez; de lo contrario se corromperían las contraseñas.
1.4 Cambiando la contraseña de cifrado
Es posible cambiar la contraseña de cifrado en caso de que se haya visto comprometida. Primero, debe descifrar las contraseñas almacenadas en la base de datos:
/usr/bin/pandora_encrypt_db -d /etc/pandora/pandora_server.conf
A continuación, después de haber cambiado la contraseña de cifrado (como se describe en la sección para la configuración en una instalación nueva), se pueden cifrar de nuevo:
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf
1.5 Encriptación durante la actualización por OUM
Para no exponer los datos durante la actualización, se recomienda cifrar el almacén de credenciales.
En caso de disponer de una base de datos encriptada, será necesario desencriptar todo menos la tabla tcredential_store:
/usr/bin/pandora_encrypt_db -d -c /etc/pandora/pandora_server.conf
A continuación se volverá a encriptar de nuevo:
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf
Si no se dispone de base de datos encriptada, bastará con ejecutar el último comando.