Как избежать хранения паролей в открытом виде для определения ресурса tomcat server.xml источника данных?

Как было сказано ранее, шифрование паролей просто перемещает проблему в другое место.

Во всяком случае, это довольно просто. Просто напишите класс со статическими полями для вашего секретного ключа и так далее, и статические методы для шифрования, расшифровки ваших паролей. Зашифруйте свой пароль в файле конфигурации Tomcat (server.xml или yourapp.xml...), используя этот класс.

А чтобы расшифровать пароль "на лету" в Tomcat, расширьте BasicDataSourceFactory DBCP и используйте эту фабрику в своем ресурсе.

Это будет выглядеть так:

    <Resource
        name="jdbc/myDataSource"
        auth="Container"
        type="javax.sql.DataSource"
        username="user"
        password="encryptedpassword"
        driverClassName="driverClass"
        factory="mypackage.MyCustomBasicDataSourceFactory"
        url="jdbc:blabla://..."/>

И для пользовательской фабрики:

package mypackage;

....

public class MyCustomBasicDataSourceFactory extends org.apache.tomcat.dbcp.dbcp.BasicDataSourceFactory {

@Override
public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable environment) throws Exception {
    Object o = super.getObjectInstance(obj, name, nameCtx, environment);
    if (o != null) {
        BasicDataSource ds = (BasicDataSource) o;
        if (ds.getPassword() != null && ds.getPassword().length() > 0) {
            String pwd = MyPasswordUtilClass.unscramblePassword(ds.getPassword());
            ds.setPassword(pwd);
        }
        return ds;
    } else {
        return null;
    }
}

Надеюсь это поможет.

У Tomcat есть Часто задаваемые вопросы о паролях, в которых конкретно рассматривается ваш вопрос. Короче говоря: держите пароль в чистоте и правильно заблокируйте свой сервер.

На этой странице также предлагаются некоторые предложения о том, как безопасность за счет неясности может быть использована для прохождения контрольного списка аудитора.

Tomcat должен знать, как подключиться к базе данных, поэтому ему нужен доступ к текстовому паролю. Если пароль зашифрован, Tomcat должен знать, как его расшифровать, поэтому вы только перемещаете проблему в другое место.

Настоящая проблема заключается в следующем: кто может получить доступ к server.xml, кроме Tomcat? Решение состоит в том, чтобы предоставить доступ для чтения к server.xml только пользователю root, требуя, чтобы Tomcat был запущен с привилегиями root: если злонамеренный пользователь получает привилегии root в системе, потеря пароля базы данных, вероятно, не будет проблемой.

В противном случае вам придется вводить пароль вручную при каждом запуске, но это редко бывает приемлемым вариантом.

Как упоминал @Ryan, перед внедрением этого решения прочитайте Tomcat Password FAQ. Вы только добавляете неясности, а не безопасности.

Ответ @Jerome Delattre будет работать для простых источников данных JDBC, но не для более сложных, которые подключаются как часть конструкции источника данных (например, oracle.jdbc.xa.client.OracleXADataSource).

Это альтернативный подход, который изменяет пароль перед вызовом существующей фабрики. Ниже приведен пример фабрики для базового источника данных и фабрики для источника данных XA, совместимого с Atomikos JTA.

Основной пример:

public class MyEncryptedPasswordFactory extends BasicDataSourceFactory {

    @Override
    public Object getObjectInstance(Object obj, Name name, Context context, Hashtable<?, ?> environment)
            throws Exception {
        if (obj instanceof Reference) {
            Reference ref = (Reference) obj;
            DecryptPasswordUtil.replacePasswordWithDecrypted(ref, "password");
            return super.getObjectInstance(obj, name, context, environment);
        } else {
            throw new IllegalArgumentException(
                    "Expecting javax.naming.Reference as object type not " + obj.getClass().getName());
        }
    }
}

Пример атомикоса:

public class MyEncryptedAtomikosPasswordFactory extends EnhancedTomcatAtomikosBeanFactory {
    @Override
    public Object getObjectInstance(Object obj, Name name, Context context, Hashtable<?, ?> environment)
            throws NamingException {
        if (obj instanceof Reference) {
            Reference ref = (Reference) obj;
            DecryptPasswordUtil.replacePasswordWithDecrypted(ref, "xaProperties.password");
            return super.getObjectInstance(obj, name, context, environment);
        } else {
            throw new IllegalArgumentException(
                    "Expecting javax.naming.Reference as object type not " + obj.getClass().getName());
        }
    }
}

Обновление значения пароля в справочнике:

public class DecryptPasswordUtil {

    public static void replacePasswordWithDecrypted(Reference reference, String passwordKey) {
        if(reference == null) {
            throw new IllegalArgumentException("Reference object must not be null");
        }

        // Search for password addr and replace with decrypted
        for (int i = 0; i < reference.size(); i++) {
            RefAddr addr = reference.get(i);
            if (passwordKey.equals(addr.getType())) {
                if (addr.getContent() == null) {
                    throw new IllegalArgumentException("Password must not be null for key " + passwordKey);
                }
                String decrypted = yourDecryptionMethod(addr.getContent().toString());
                reference.remove(i);
                reference.add(i, new StringRefAddr(passwordKey, decrypted));
                break;
            }
        }
    }
}

Как только файл .jar, содержащий эти классы, окажется в пути к классам Tomcat, вы можете обновить свой server.xml, чтобы использовать их.

<Resource factory="com.mycompany.MyEncryptedPasswordFactory" username="user" password="encryptedPassword" ...other options... />

<Resource factory="com.mycompany.MyEncryptedAtomikosPasswordFactory" type="com.atomikos.jdbc.AtomikosDataSourceBean" xaProperties.user="user" xaProperties.password="encryptedPassword" ...other options... />

После 4 часов работы, поиска вопросов и ответов я получил решение. Основываясь на ответе @Jerome Delattre, вот полный код (с конфигурацией источника данных JNDI).

Контекст.xml

<Resource
    name="jdbc/myDataSource"
    auth="Container"
    type="javax.sql.DataSource"
    username="user"
    password="encryptedpassword"
    driverClassName="driverClass"
    factory="mypackage.MyCustomBasicDataSourceFactory"
    url="jdbc:blabla://..."/>

Фабрика пользовательских источников данных:

package mypackage;

public class MyCustomBasicDataSourceFactory extends org.apache.tomcat.dbcp.dbcp.BasicDataSourceFactory {
    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable environment) throws Exception {
        Object o = super.getObjectInstance(obj, name, nameCtx, environment);
        if (o != null) {
            BasicDataSource ds = (BasicDataSource) o;
            if (ds.getPassword() != null && ds.getPassword().length() > 0) {
                String pwd = MyPasswordUtilClass.unscramblePassword(ds.getPassword());
                ds.setPassword(pwd);
            }
            return ds;
        } else {
            return null;
        }
    }
}

Компонент источника данных:

@Bean
public DataSource dataSource() {
    DataSource ds = null;
    JndiTemplate jndi = new JndiTemplate();
    try {
        ds = jndi.lookup("java:comp/env/jdbc/myDataSource", DataSource.class);
    } catch (NamingException e) {
        log.error("NamingException for java:comp/env/jdbc/myDataSource", e);
    }
    return ds;
}

Примечание.

Вы можете использовать WinDPAPI для шифрования и расшифровки данных.

public class MyDataSourceFactory extends DataSourceFactory{

private static WinDPAPI winDPAPI;

protected static final String DATA_SOURCE_FACTORY_PROP_PASSWORD = "password";

@Override
public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable environment) throws Exception{

    Reference ref = (Reference) obj;
    for (int i = 0; i < ref.size(); i++) {
        RefAddr ra = ref.get(i);
        if (ra.getType().equals(DATA_SOURCE_FACTORY_PROP_PASSWORD)) {

            if (ra.getContent() != null && ra.getContent().toString().length() > 0) {
                String pwd = getUnprotectedData(ra.getContent().toString());
                ref.remove(i);
                ref.add(i, new StringRefAddr(DATA_SOURCE_FACTORY_PROP_PASSWORD, pwd));
            }

            break;
        }
    }

    return super.getObjectInstance(obj, name, nameCtx, environment);
  }
}

Проблема. Как уже отмечалось, шифрование учетных данных в context.xml при сохранении ключа дешифрования в следующем файле буквально только устраняет проблему. Поскольку пользователю, обращающемуся к context.xml, также потребуется доступ к ключу дешифрования, все учетные данные по-прежнему будут скомпрометированы, если скомпрометировано приложение или пользователь ОС.

Решение. Единственное решение, которое повысит безопасность, — это полное удаление ключа дешифрования из всей установки. Этого можно добиться, попросив кого-то ввести пароль в вашем приложении при запуске, который затем используется для расшифровки всех учетных данных.

Дополнительная отсрочка решения. В большинстве случаев такой пароль, скорее всего, должен быть известен нескольким администраторам и/или разработчикам. Используя решение для совместного использования паролей, которое позволяет совместно использовать пароли (например, 1Password), безопасность затем откладывается до индивидуального мастер-пароля каждого администратора/разработчика, используемого для разблокировки его личного хранилища паролей.

Возможная деградация решения/сарказм. В худшем случае при такой настройке кто-то просто сохранит свой мастер-пароль на стикере, прикрепленном к монитору. Является ли это более безопасным, чем наличие ключа дешифрования в файле рядом с зашифрованными значениями, вероятно, должно быть отдельным вопросом SO или, возможно, будущим исследованием.

С учетом всего вышесказанного, если вы все же хотите избежать простых текстовых паролей, вы можете использовать алгоритм хеширования, такой как SHA-256 или (предпочтительно) SHA-512. При создании пароля получите хешированное значение и сохраните его, а не пароль. Когда пользователь входит в систему, хешируйте пароль и убедитесь, что он соответствует сохраненному хешированному паролю. Алгоритмы хеширования переносят строку символов (или число) из небольшого пространства строки (или числа) в пространство гораздо большего размера таким способом, который требует больших затрат для реверсирования.

Мы используем SHA1CryptoServiceProvider C#.

print(SHA1CryptoServiceProvider sHA1Hasher = new SHA1CryptoServiceProvider();
        ASCIIEncoding enc = new ASCIIEncoding();

        byte[] arrbytHashValue = sHA1Hasher.ComputeHash(enc.GetBytes(clearTextPW));
        string HashData = System.BitConverter.ToString(arrbytHashValue);
        HashData = HashData.Replace("-", "");
        if (HashData == databaseHashedPassWO)
        {
            return true;
        }
        else
        {
            return false;
        });

)