====== Cryptage du mot de passe ======

{{indexmenu_n>8}}

Pandora FMS vous permet de crypter les mots de passe stockés dans la base de données.

La clé de chiffrement est générée à partir d'un mot de passe fourni par l'utilisateur <wrap hi>**et n'est pas stockée dans la base de données** (//ni le mot de passe ni la clé//)</wrap>, de sorte que les mots de passe ne peuvent pas être récupérés à partir d'un vidage de la base de données.

Une fois que l'utilisateur a défini le mot de passe, le cryptage fonctionne de manière transparente pour l'utilisateur.

<WRAP center round important 90%>

Si le mot de passe fourni par l'utilisateur est perdu, vous ne pourrez pas récupérer les mots de passe stockés dans la base de données de Pandora FMS. Sauvegardez dans un endroit sûr ou faites une sauvegarde (//backup//) des fichiers ''config.php'' et ''pandora_server.conf''.

</WRAP>

<wrap #ks1 />
===== Détails techniques =====

Les mots de passe sont cryptés en utilisant le cryptage Rijndael avec des blocs de 128 bits en mode ECB. Une clé de 256 bits est générée au démarrage à partir du MD5 du mot de passe défini par l'utilisateur.

<wrap #ks2 />
===== Configuration dans une nouvelle installation du Pandora FMS =====

Pour activer le cryptage des clés, **le mot de passe doit être configuré à la fois dans le serveur Pandora FMS et dans la console Web**.

Les étapes du cryptage sont les suivantes:

  * Arrêtez le serveur, à la fois dans le **Command Center (Metaconsole)** et dans les **nodes**.

  * Mise à jour des champs **encryption_passphrase** dans ''/etc/pandora/pandora_server.conf'' et ''/var/www/html/pandora_console/include/config.php'', à la fois dans **Command Center (Metaconsole)** et dans **nodes**.

<code>
$config["encryption_passphrase"]="your encryption passphrase";
</code>

  * Lancez le cryptage //script// dans le **Command Center (Metaconsole)** et les **nodes**.

<code bash>
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf
</code>

<WRAP center round tip 90%>

Le serveur Pandora FMS doit être redémarré une fois que les changements ont été effectués et que le //script// a été lancé.

</WRAP>

<wrap #ks3 />
===== Modification du mot de passe de cryptage =====

Il est possible de modifier le mot de passe de cryptage au cas où il aurait été compromis. Vous devez d'abord décrypter les mots de passe stockés dans la base de données:

<code>
/usr/bin/pandora_encrypt_db -d /etc/pandora/pandora_server.conf
</code>

Ensuite, après avoir changé le mot de passe de cryptage (comme décrit dans la section [[#ks2|configuration sur une nouvelle installation]]), vous pouvez le crypter à nouveau :

<code bash>
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf
</code>

<WRAP center round important 90%>

À partir de la version 7.0 NG 739, le [[:fr:documentation:pandorafms:management_and_operation:11_managing_and_administration#magasin_d_informations_d_identification|secure credential manager]] est inclus. **Veuillez vous référer à la section suivante pour mener à bien ce processus**.

</WRAP>

**Gestionnaire de justificatifs:**

Si vous avez une base de données cryptée, afin de continuer à utiliser le gestionnaire de justificatifs d'identité sans perdre de données //décrypter tout// sauf la table **tcredential_store**.

Pour ce faire, exécutez les commandes suivantes:

<code bash>
/usr/bin/pandora_encrypt_db -d -c /etc/pandora/pandora_server.conf
</code>

Le serveur Pandora FMS doit être redémarré une fois que les changements ont été effectués et que le //script// a été lancé.

Une fois décrypté, il sera recrypté à nouveau:

<code bash>
/usr/bin/pandora_encrypt_db /etc/pandora/pandora_server.conf
</code>

Si vous souhaitez uniquement crypter à partir de zéro, exécutez simplement la dernière commande.

<wrap #ks4 />
===== Suppression du mot de passe de cryptage =====

<WRAP center round important 90%>

Il est recommandé de crypter **tous** les mots de passe stockés dans Pandora FMS.

</WRAP>

  * Arrêtez le serveur, à la fois dans le **Command Center (Metaconsole)** et dans les **nodes**.
  * Lancez le décryptage //script// dans le **Command Center (Metaconsole)** et les **nodes**.

<code bash>
/usr/bin/pandora_encrypt_db -d /etc/pandora/pandora_server.conf
</code>

  * Commentaire **encryption_passphrase** dans ''/etc/pandora/pandora_server.conf'' et ''/var/www/html/pandora_console/include/config.php'' à la fois dans **Command Center (Metaconsole)** et dans **nodes**.

<code>
# $config["encryption_passphrase"]="your encryption passphrase";
</code>

<WRAP center round tip 90%>

Le serveur Pandora FMS doit être redémarré une fois que les changements ont été effectués et que le //script// a été lancé.

</WRAP>

[[:en:documentation:start|Retour à l'index de la documentation du Pandora FMS]]