Cassandra yaml文件中的密钥库和信任库的密码以明文形式保存。从文件中删除密码或对其进行加密的最佳方法是什么?我们无法将密码保存在文件中。
下面是文档摘录:
server_encryption_options:启用或禁用节点间加密。您还必须生成密钥并提供适当的密钥和信任存储位置和密码。没有自定义加密选项当前启用。
可用选项为:
internode_encryption :(默认:无)启用或禁用加密使用TLS_RSA_WITH_AES_128_CBC_SHA密码的节点间通信验证,密钥交换和数据加密套件转移。可用的节点间选项为:
全部:加密所有节点间通信。none:不加密。直流电:加密数据中心之间的流量(仅限服务器)。架:加密机架之间的流量(仅限服务器)。密钥库:(默认:conf / .keystore)Java密钥库(JKS)的位置适合与Java安全套接字扩展(JSSE)一起使用,Java版本的安全套接字层(SSL)和传输层安全性(TLS)协议。密钥库包含私钥用于加密外发消息。 keystore_password :(默认值:cassandra)密钥库的密码。信任库:(默认值:conf / .truststore)包含用于验证远程服务器的可信证书。truststore_password :(默认值:cassandra)信任库。
这些选项中使用的密码必须与以下情况下使用的密码匹配:生成密钥库和信任库。有关生成的说明这些文件,请参阅创建用于JSSE的密钥库。
高级设置为:协议:(默认:TLS)算法:(默认:SunX509)store_type:(默认:JKS)cipher_suites:(默认值:TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA)require_client_auth :(默认值:false)启用或禁用证书认证。
我不确定是否可以在开源Cassandra中对这些密码进行加密,但是DataStax Enterprise确实支持this文档之后的配置文件中的密码加密。
Cassandra附带了基本的安全性(使用默认Java方案)。提供了高级安全性,例如与Kerberos或LDAP集成(将身份验证委派给中央授权机构),但是在企业版(Datastax Enterprise)中。