Seite 1 von 1
[GELÖST] PostgreSQL-Passwortänderung - WAPT
Veröffentlicht: 7. April 2024 - 17:05 Uhr
von Tchoko
Hallo,
bei der Standardinstallation von WAPT 2.5 sind die Benutzer „postgres“ und „wapt“ nicht passwortgeschützt.
Aus Sicherheitsgründen möchte ich das Passwort ändern, die Änderung wird jedoch nicht übernommen.
Ich bin folgendermaßen vorgegangen:
Datenbankverbindung hergestellt: `.\psql.exe -U postgres -d wapt`;
Passwort geändert: `\password wapt` und `\password postgres`;
Ab- und erneutes Anmelden versucht, aber das Passwort wird nicht immer abgefragt.
Falls ein Passwort erforderlich ist, muss es laut meiner Recherche in der Datei `C:\wapt\waptserver\waptserver.ini` eingetragen werden. Wie kann ich das Passwort in diesem Fall verschlüsseln, um Datenlecks zu verhindern oder aus Sicherheitsgründen?
Betreff: PostgreSQL-Passwortänderung – WAPT
Veröffentlicht: 8. April 2024 - 10:35 Uhr
von dcardon
Hallo Tchoko,
Tchoko schrieb: ↑7. April 2024 - 17:05 Uhr
Bei der Standardinstallation von WAPT 2.5 gibt es kein Passwort für die Benutzer „postgres“ und „wapt“.
Aus Sicherheitsgründen möchte ich das Passwort ändern, aber die Änderung wird nicht übernommen.
Version, Betriebssystem usw. (siehe oben stehende Forenregeln)
Vorgehensweise:
Verbindung zur Datenbank: .\psql.exe -U postgres -d wapt
Passwortänderung: \password wapt und \password postgres
Trennung und erneuter Verbindungsversuch, aber das Passwort wird nicht immer abgefragt.
Es handelt sich um eine Standard-PostgreSQL-Installation; ich denke, Sie sollten sich die Datei pg_hba usw. ansehen. Es ist kein WAPT-Problem an sich.
Wenn das Passwort kompromittiert wurde, muss es meinen Recherchen zufolge in der Datei C:\wapt\waptserver\waptserver.ini eingetragen werden. Wie könnte das Passwort in diesem Fall verschlüsselt werden, um Datenlecks zu verhindern oder aus Sicherheitsgründen?.
Wenn die PostgreSQL-Datenbank passwortgeschützt ist, muss das Passwort in der Konfigurationsdatei enthalten sein. Wenn Sie das Passwort in der Konfigurationsdatei verschlüsseln möchten, benötigen Sie zusätzlich ein separates Passwort, um die Konfigurationsdatei beim Start des Dienstes zu entschlüsseln. Soll der Dienst beim Systemstart automatisch starten, ist das Entschlüsselungspasswort selbst lesbar – Sie verlagern das Problem also nur.
Der WAPT-Server muss auf einem dedizierten Rechner installiert werden. Er ist so konfiguriert, dass er nur lokal lauscht (unter Linux ausschließlich über Unix-Sockets mit `auth ident`). Sobald also auf Ihre Postgres-Datenbank zugegriffen wird, ist Ihr Server bereits kompromittiert. Dies mag für umfassende Sicherheitsmaßnahmen sinnvoll sein, ist aber in der Praxis für die allermeisten Anwendungsfälle übertrieben (es sei denn, Sie sind bereit, bei jedem Serverstart ein Passwort einzugeben, die Festplatte zu verschlüsseln usw.)
Und der erste Schritt zu einer sichereren Umgebung ist der Wechsel zu einem Linux-Server
...
Aufrichtig,
Denis
Betreff: PostgreSQL-Passwortänderung – WAPT
Veröffentlicht: 16. April 2024 - 17:02 Uhr
von Tchoko
Hallo,
mir ist bewusst, dass es sich um ein datenbankspezifisches Problem handelt. Da es sich aber um ein in die WAPT-Software integriertes Paket handelt, dachte ich, Sie kennen sich damit vielleicht aus und könnten mir helfen.
In diesem Fall können Sie den Thread schließen.
Betreff: PostgreSQL-Passwortänderung – WAPT
Veröffentlicht: 17. April 2024 - 9:40 Uhr
von dcardon
Hallo Tchoko,
vielen Dank für das Feedback. Ich markiere das Thema als GELÖST.
Meiner Meinung nach ist die Verwendung eines Passworts für die PostgreSQL-Datenbank nur dann sinnvoll, wenn die Datenbank auf einem separaten Rechner gehostet wird (was eher selten vorkommt).
Viele Grüße,
Denis