17.8. 사설 토토 옵션

기본적으로 데이터베이스 사용자 암호는 MD5 해시로 저장되므로 관리자는 사용자에게 할당 된 실제 암호를 결정할 수 없습니다. MD5 사설 토토가 클라이언트 인증에 사용되는 경우, 클라이언트 MD5- 사설 토토가 네트워크를 통해 전송되기 전에 사설 토토되지 않은 암호는 일시적으로 서버에 존재하지 않습니다..

thepgcrypto모듈을 사용하면 특정 필드를 사설 토토 할 수 있습니다. 일부 데이터 만 민감한 경우 유용합니다.

해독 된 데이터와 암호 해독 키는 클라이언트와 서버간에 해독되고 통신되는 동안 서버에 짧은 시간 동안 존재합니다. 이것은 시스템 관리자와 같은 데이터베이스 서버에 완전히 액세스 할 수있는 사람이 데이터와 키를 가로 채는 짧은 순간을 나타냅니다..

스토리지 사설 토토는 파일 시스템 수준 또는 블록 레벨에서 수행 할 수 있습니다. Linux 파일 시스템 사설 토토 옵션에는 Ecryptf 및 ENCF가 포함되며 FreeBSD는 PEF를 사용합니다.

이 메커니즘은 드라이브 또는 전체 컴퓨터가 도난당한 경우 사설 토토되지 않은 데이터를 드라이브에서 읽지 못하게합니다. 파일 시스템이 장착되는 동안 공격으로부터 보호되지는 않습니다. 장착시 운영 체제는 사설 토토되지 않은 데이터를 제공하지 않기 때문입니다.

theMD5인증 방법은 서버로 보내기 전에 클라이언트의 비밀번호를 두 배로 암호화합니다. 먼저 사용자 이름을 기준으로 MD5- 암호화 한 다음 데이터베이스 연결이 만들어 졌을 때 서버에서 전송 된 임의의 소금을 기반으로 암호화합니다.

SSL Connections는 네트워크에서 전송 된 모든 데이터를 사설 토토합니다 : 비밀번호, 쿼리 및 반환 된 데이터. 그만큼pg_hba.conf파일은 관리자가 사설 토토되지 않은 연결을 사용할 수있는 호스트를 지정할 수 있습니다 (host) 및 SSL 사설 토토 연결이 필요한 (hostssl). 또한 클라이언트는 SSL을 통해서만 서버에 연결하도록 지정할 수 있습니다.Stunnel또는SSH전송을 사설 토토하는 데 사용될 수 있습니다.

클라이언트와 서버 모두 서로에게 SSL 인증서를 제공 할 수 있습니다. 양쪽에 약간의 구성이 필요하지만 이는 단순한 암호 사용보다 신분을 더 강력하게 검증합니다."중간의 남자"클라이언트와 서버 간의 컴퓨터가 서버 인 척하고 클라이언트와 서버 간의 모든 데이터를 읽고 전달하는 경우

서버 시스템의 시스템 관리자를 신뢰할 수없는 경우 클라이언트가 데이터를 사설 토토해야합니다. 이런 식으로 사설 토토되지 않은 데이터는 데이터베이스 서버에 나타나지 않습니다.