[Cascavel-pm] CGI + Password

[Luis Campos de Carvalho]

----- Original Message -----
From: "|mouse|" <mouse em oscara.com.br>
Sent: Wednesday, March 12, 2003 3:46 PM


> Ola pessoas,

  Oi, Mouse. =-]

> fiz uns cgi's com acesso ao banco de dados e um modulo.
> Qual a maneira mais segura de guardar a senha
> do banco? Coloco nos cgi's mesmo?
> Que permissão coloco nos cgi's?

  Os CGI's devem rodar com a permissão mais restritiva que você conseguir.
Eu rodo CGI's com 0500 (-r-x------) e mantenho o ownership dos arquivos sob
a responsabilidade do meu Apache (normalmente, o usuário www-data e grupo
homônimo)

  Quanto às senhas do banco de dados, algumas considerações:

  A. Acesso ao banco de dados na sua máquina implica acesso no seu sistema.
Se o acesso é ilegal, pode ficar muito ruim para o seu lado.

  B. Normalmente, webservers podem ser corrompidos para fornecer a um
atacante o fonte de um script CGI. Isso quer dizer que tudo o que estiver no
diretorio de CGI é publico, ou muito perto disso. Mantenha suas senhas de
banco de dados longe dos diretórios publicados na web (inclusive os cgi-bin
da vida...)

  C. Eu considero que um CGI que faz acesso inteligente a um banco de dados
possui um conjunto de permissões minimo (o mais restritivo possivel). Assim,
tenha (e man-tenha) um usuario do banco de dados separado apenas para o CGI
acessar. É mais seguro e seu DBA / Sysadm vão poder dormir mais sossegados.

  D. Particularmente, eu considero que a senha de acesso a banco de dados
que um CGI utiliza é configuração do sistema. Deve ser mantido no /etc/,
preferencialmente somente para leitura, o mais restritivo possivel. Eu
recomendo 0400 (-r--------), ou menos. =-]

  Espero que isso resolva seu problema.
  Boa sorte, e cuidado com as ratoeiras... (desculpe, eu não resisti...)

  []'z!
--
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  Luis Campos de Carvalho
  Computer Science Student
  OCP DBA Oracle & Unix Sys Admin
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=