一个对ORACLE密码加密的需求

显示全部楼层 · 2015-3-4 14:54:57

最近在实施一个银行项目的时候，需要通过shell脚本去更新数据库表数据，其中必然涉及到需要数据库的用户和密码，
甲方运维科出于安全考虑，希望密码是以密文形式存在，我们以往的实施中都以环境变量的形式配置在bash_profile中，
针对此种需求，一种方式是写一个加密解密的算法，甲方密码输入后，以密文形式存放在一个文件中，然后我们通过解密算法
去读取这个密文，最终访问到数据库。但是这有一个问题，运维科，运维人员与密码拥有者是不一样的，我们加密解密算法中，
熟悉的运维人员只需要调用解密算法的shell脚本就可以破解密码并获知，存在一定风险，甲方要求这个密码生产密文后，不能
随便通过解密算法去破解，但是后台调用链接数据库的时候能够识别并连接成功，本人表示比较惆怅，回老家来咨询下各位大神，
可有办法解决这种需求。说白了就是希望密码你通过任何形式都只能看到的是密问，但是你shell使用的时候，可以正常使用。。。
求教各位大大，可有破解之法。。。。

千问 · 2015-3-4 14:54:57

运行脚本的人应该有自己的oracle用户和密码，在执行的时候实时输入密码登录。这个应该记在脑海里而不是保存在任何地方。
然后对这个用户进行严格的权限限制和审计，确保他只做该做的事情，一旦完成就收回权限。

千问 · 2015-3-4 14:54:57

用一个硬件ukey,插入usb口验证身份

千问 · 2015-3-4 14:54:57

银行数据的更新，应该是有严格的事前，事中，事后流程吧，更新的人和验证的人肯定不能是一个人，开权限，运维人员更新，甲方验证，然后回收用户权限密码。这样流程来管理。甲方人员只输入密码，放开让shell或是c程序来更新，这个即使密码都是加密的，也不保险.