Назад | Перейти на главную страницу

зашифровать файлы базы данных mariadb

В настоящее время я настраиваю установку mediawiki на Arch Linux, используя nginx и mariadb в качестве базы данных. Поскольку это будет частная вики, я хотел бы зашифровать файлы базы данных с помощью veracrypt.

Пока что я сделал следующее:

  1. Прямая установка mediawiki
  2. Создайте контейнер veracrypt и установите его
  3. После остановки всех соответствующих служб (nginx, php-fpm, mysqld) я переместил все файлы базы данных (/ var / lib / mysql /nameofthewikidb/) в контейнер, демонтировать контейнер
  4. Удалите содержимое / var / lib / mysql /nameofthewikidb/ и смонтировать контейнер в / var / lib / mysql /nameofthewikidb/
  5. Запустите установку mediawiki (nginx, php-fpm, mysqld)

Пока все выглядит хорошо, и я смог использовать вики (вставлять / редактировать статьи). Я планирую написать простой сценарий bash для запуска / остановки вики и монтирования / размонтирования контейнеров.

Я буду использовать аналогичный подход для установки mediawiki в / usr / share / webapps / mediawiki /, поскольку он будет содержать загруженные изображения и т. Д.

Мои вопросы):

Заранее спасибо!

Я не очень хорошо знаком с Веракрипт но беглый взгляд на документацию делает его похожим на еще один инструмент для шифрования всего диска / тома.

Поскольку изначально шифрование всего диска полностью прозрачно для ваших приложений, этот класс технологий защищает только от небольшого числа угроз, в основном от несанкционированного доступа к вашим приложениям. оборудование (кража, утеря, доступ со стороны хостинг-провайдеров и т. д.). Такая технология не защитит ваши данные от любопытных администраторов или от компрометации вашей системы во время ее работы ...

Как правило, ваши данные защищены от гораздо большего количества угроз, когда приложение, сервер базы данных выполняет шифрование. Тогда вы не сможете обойти элементы управления доступом, встроенные в вашу базу данных, просто прочитав данные непосредственно из файловой системы.

MariaDB поддерживает шифрование базы данных, и у них есть хорошая статья базы знаний о защита данных в состоянии покоя с представлением на высоком уровне.

На данный момент единственными движками, полностью поддерживающими шифрование, являются XtraDB и InnoDB. Механизм хранения Aria также поддерживает шифрование, но только для таблиц, созданных с помощью ROW_FORMAT = PAGE (по умолчанию).

MariaDB позволяет пользователю гибко настраивать, что шифровать. Можно выбрать шифрование всего в XtraDB / InnoDB - всех табличных пространств (со всеми таблицами) и файлов журналов. Или отдельные столы. Или все, кроме отдельных таблиц.

Файлы журнала (mysql-bin.XXXXXX) представляют собой двоичный журнал. Он может содержать все запросы, выполненные сервером базы данных, поэтому может содержать конфиденциальную информацию.

Проблема безопасности будет

  • ключ, хранящийся в вашем файле bash для монтирования