Hallo,
bei der Standardinstallation von WAPT 2.5 sind die Benutzer „postgres“ und „wapt“ nicht passwortgeschützt.
Aus Sicherheitsgründen möchte ich das Passwort ändern, die Änderung wird jedoch nicht übernommen.
Ich bin folgendermaßen vorgegangen:
Datenbankverbindung hergestellt: `.\psql.exe -U postgres -d wapt`;
Passwort geändert: `\password wapt` und `\password postgres`;
Ab- und erneutes Anmelden versucht, aber das Passwort wird nicht immer abgefragt.
Falls ein Passwort erforderlich ist, muss es laut meiner Recherche in der Datei `C:\wapt\waptserver\waptserver.ini` eingetragen werden. Wie kann ich das Passwort in diesem Fall verschlüsseln, um Datenlecks zu verhindern oder aus Sicherheitsgründen?
[GELÖST] PostgreSQL-Passwortänderung - WAPT
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
-
dcardon
- WAPT-Experte
- Nachrichten: 1953
- Anmeldung: 18. Juni 2014 - 09:58 Uhr
- Ort: Saint Sébastien sur Loire
- Kontakt:
Hallo Tchoko,
Der WAPT-Server muss auf einem dedizierten Rechner installiert werden. Er ist so konfiguriert, dass er nur lokal lauscht (unter Linux ausschließlich über Unix-Sockets mit `auth ident`). Sobald also auf Ihre Postgres-Datenbank zugegriffen wird, ist Ihr Server bereits kompromittiert. Dies mag für umfassende Sicherheitsmaßnahmen sinnvoll sein, ist aber in der Praxis für die allermeisten Anwendungsfälle übertrieben (es sei denn, Sie sind bereit, bei jedem Serverstart ein Passwort einzugeben, die Festplatte zu verschlüsseln usw.)
Und der erste Schritt zu einer sichereren Umgebung ist der Wechsel zu einem Linux-Server
...
Aufrichtig,
Denis
Version, Betriebssystem usw. (siehe oben stehende Forenregeln)
Es handelt sich um eine Standard-PostgreSQL-Installation; ich denke, Sie sollten sich die Datei pg_hba usw. ansehen. Es ist kein WAPT-Problem an sich.Vorgehensweise:
Verbindung zur Datenbank: .\psql.exe -U postgres -d wapt
Passwortänderung: \password wapt und \password postgres
Trennung und erneuter Verbindungsversuch, aber das Passwort wird nicht immer abgefragt.
Wenn die PostgreSQL-Datenbank passwortgeschützt ist, muss das Passwort in der Konfigurationsdatei enthalten sein. Wenn Sie das Passwort in der Konfigurationsdatei verschlüsseln möchten, benötigen Sie zusätzlich ein separates Passwort, um die Konfigurationsdatei beim Start des Dienstes zu entschlüsseln. Soll der Dienst beim Systemstart automatisch starten, ist das Entschlüsselungspasswort selbst lesbar – Sie verlagern das Problem also nur.Wenn das Passwort kompromittiert wurde, muss es meinen Recherchen zufolge in der Datei C:\wapt\waptserver\waptserver.ini eingetragen werden. Wie könnte das Passwort in diesem Fall verschlüsselt werden, um Datenlecks zu verhindern oder aus Sicherheitsgründen?.
Der WAPT-Server muss auf einem dedizierten Rechner installiert werden. Er ist so konfiguriert, dass er nur lokal lauscht (unter Linux ausschließlich über Unix-Sockets mit `auth ident`). Sobald also auf Ihre Postgres-Datenbank zugegriffen wird, ist Ihr Server bereits kompromittiert. Dies mag für umfassende Sicherheitsmaßnahmen sinnvoll sein, ist aber in der Praxis für die allermeisten Anwendungsfälle übertrieben (es sei denn, Sie sind bereit, bei jedem Serverstart ein Passwort einzugeben, die Festplatte zu verschlüsseln usw.)
Und der erste Schritt zu einer sichereren Umgebung ist der Wechsel zu einem Linux-Server
...Aufrichtig,
Denis
Denis Cardon – Tranquil IT
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Hallo,
mir ist bewusst, dass es sich um ein datenbankspezifisches Problem handelt. Da es sich aber um ein in die WAPT-Software integriertes Paket handelt, dachte ich, Sie kennen sich damit vielleicht aus und könnten mir helfen.
In diesem Fall können Sie den Thread schließen.
mir ist bewusst, dass es sich um ein datenbankspezifisches Problem handelt. Da es sich aber um ein in die WAPT-Software integriertes Paket handelt, dachte ich, Sie kennen sich damit vielleicht aus und könnten mir helfen.
In diesem Fall können Sie den Thread schließen.
-
dcardon
- WAPT-Experte
- Nachrichten: 1953
- Anmeldung: 18. Juni 2014 - 09:58 Uhr
- Ort: Saint Sébastien sur Loire
- Kontakt:
Hallo Tchoko,
vielen Dank für das Feedback. Ich markiere das Thema als GELÖST.
Meiner Meinung nach ist die Verwendung eines Passworts für die PostgreSQL-Datenbank nur dann sinnvoll, wenn die Datenbank auf einem separaten Rechner gehostet wird (was eher selten vorkommt).
Viele Grüße,
Denis
vielen Dank für das Feedback. Ich markiere das Thema als GELÖST.
Meiner Meinung nach ist die Verwendung eines Passworts für die PostgreSQL-Datenbank nur dann sinnvoll, wenn die Datenbank auf einem separaten Rechner gehostet wird (was eher selten vorkommt).
Viele Grüße,
Denis
Denis Cardon – Tranquil IT
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
