====== パスワード暗号化 ====== 
{{indexmenu_n>8}}

[[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]]

===== Pandora FMS でのパスワード暗号化 =====

Pandora FMS はデータベース上のパスワードの暗号化に対応しています。暗号化キーは、ユーザが用意するパスフレーズから生成され、(キーやパスフレーズも含め)データベースには保存されません。これにより、データベースのダンプからパスワードを再現することはできません。パスフレーズを設定すると、暗号化がユーザに透過的に動作します。

<WRAP center round important 60%>
パスフレーズを無くすと、Pandora FMS データベースに保存されたパスワードは利用できなくなります。安全な場所に置くか、''config.php'' および ''pandora_server.conf'' をバックアップしてください。
</WRAP>

==== 技術詳細 ====

パスワードは、128bit の Rijndael cipher の ECB モードを使って暗号化しています。パスフレーズの MD5 から、最初に 256bit のキーが生成されます。

===== 新規インストールの Pandora FMS での設定 =====

パスワード暗号化を有効化するには、**Pandora FMS サーバと Pandora FMS コンソール双方でパスフレーズを設定する必要があります。**

暗号化の手順は次の通りです。

  * **メタコンソール**と**ノード**サーバの両方を停止します。

  * ''/etc/pandora/pandora_server.conf'' 内の **encryption_passphrase** および、**ノード** および **メタコンソール** 双方の ''/var/www/html/pandora_console/include/config.php'' を更新します。
<code>

$config["encryption_passphrase"]="あなたの暗号化パスフレーズ";

</code>

  * **ノード** および **メタコンソール** 両方の暗号化スクリプトを起動します。

<code>
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

</code>

<WRAP center round tip 60%>設定変更後は、Pandora FMS サーバを忘れずに再起動してください。</WRAP>

===== すでにインストール済の Pandora FMS での設定 =====

<WRAP center round important 60%> この章は、バージョン 743 からバージョン 744 に更新する場合にのみです。それ以外の場合は、[[:ja:documentation:pandorafms:technical_annexes:08_password_encryption#新規インストールの_pandora_fms_での設定|新規の暗号化]]です。</WRAP>

[[:ja:documentation:pandorafms:technical_annexes:08_password_encryption#新規インストールの_pandora_fms_での設定|新規インストールの Pandora FMS の手順]]に従って暗号化パスワード設定をします。ここで、Pandora FMS コンソールで任意の新たなパスワードが設定され、データベースに暗号化したものが保存されます。ただし、既存のパスワードも暗号化する必要があります。そのためには、次の手順を実行します。

  * **メタコンソール** と **ノード** 双方を停止します。

  * **メタコンソール** および **ノード** の復号化スクリプトを実行します。

<code>

/usr/bin/pandora_encrypt_db -d -m /etc/pandora/pandora_server.conf

</code>

  * **ノード** および **メタコンソール** 双方の暗号化スクリプトを実行します。

<code>
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

</code>

  * メタコンソールおよびノードサーバを再起動します。

スクリプトは 2回実行できません。2回実行するとパスワードが破損します。

<WRAP center round important 60%> 古いパスワードを復号化するときのみ、**-m** パラメータを追加する必要があることに注意してください。暗号化されたデータベースにこのパラメータが追加されない場合、**パスワードが失われます**。</WRAP>

===== 暗号化パスワードの変更 =====

暗号化パスワードは、漏えいしてしまった場合などは変更することができます。最初に、データベース内のパスワードを復号化する必要があります。

<code>
/usr/bin/pandora_encrypt_db -d /etc/pandora/pandora_server.conf

</code>

そして、([[:ja:documentation:pandorafms:technical_annexes:08_password_encryption#新規インストールの_pandora_fms_での設定|新規 Pandora FMS インストール時の設定で説明した方法]]で)パスワードを変更後、再度暗号化します。

<code>

/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

</code>

<WRAP center round important 60%>
7.0NG 739 以降には、[[:ja:documentation:pandorafms:management_and_operation:11_managing_and_administration#認証情報ストア|安全な認証管理]]が含まれています。
</WRAP>

**認証情報管理:**

暗号化データベースがある場合、データを失うことなく認証情報管理を使い続けることができるようにするには、**tcredential_store** テーブルを除いてすべての暗号を解除します。

そのためには、以下のコマンドを実行します。

<code>

/usr/bin/pandora_encrypt_db -d -c /etc/pandora/pandora_server.conf

</code>

全ての暗号化が解除されます。

暗号化を解除したら、再度暗号化を行います。

<code>
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf

</code>

初回の暗号化では、最後のコマンドを実行します。

===== 暗号化パスワードの削除 =====

<WRAP center round important 80%> Pandora FMS に保存されているパスワードは、全体を暗号化しておくことをお勧めします。</WRAP>

  * **メタコンソール** と **ノード** 双方のサーバを停止します。
  * **メタコンソール** と **ノード** 双方の ''/etc/pandora/pandora_server.conf'' および ''/var/www/html/pandora_console/include/config.php'' の  **encryption_passphrase** をコメントアウトします。

<code>
# $config["encryption_passphrase"]="your encryption passphrase";

</code>

  * **ノード** および **メタコンソール** で復号化スクリプトを実行します。

<code>
/usr/bin/pandora_encrypt_db -d -e /etc/pandora/pandora_server.conf

</code>

<WRAP center round tip 60%> \\ 変更を加えてスクリプトを実行した後は、Pandora FMS サーバを再起動することを忘れないでください。\\ </WRAP>

[[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]]