Apache 将包含数据库密码的文件放在var/www中是否安全?
我不想将包含数据库密码的文件保存在apache的webroot中,因此我将其移动到var/www(服务器根目录)并从那里包含它Apache 将包含数据库密码的文件放在var/www中是否安全?,apache,Apache,我不想将包含数据库密码的文件保存在apache的webroot中,因此我将其移动到var/www(服务器根目录)并从那里包含它 这是在创建以前没有的新安全问题,还是我可以将其留在那里?它创建的安全问题是,任何有权访问服务器的人都可以获得您的DB凭据。此外,根据文件和文件夹的不同,文件可能会被下载(具体取决于web应用程序上的文件和安全设置)。行业标准的解决方案是加密该文件中的凭据。因此,可以加密凭据。您将加密密钥安全地存储在哪里?在我们公司,我们使用一些密码保险库,只有少数人可以访问保险库。此外
这是在创建以前没有的新安全问题,还是我可以将其留在那里?它创建的安全问题是,任何有权访问服务器的人都可以获得您的DB凭据。此外,根据文件和文件夹的不同,文件可能会被下载(具体取决于web应用程序上的文件和安全设置)。行业标准的解决方案是加密该文件中的凭据。因此,可以加密凭据。您将加密密钥安全地存储在哪里?在我们公司,我们使用一些密码保险库,只有少数人可以访问保险库。此外,我们的网站位于.Net中,该网站具有用于加密配置文件中凭据的内置解决方案。凭据必须在服务器上加密,我认为机器密钥是用于加密的密钥的一部分。数据库如何访问密码?@zaph:你是说DBA?我总是读到“不要将数据库凭据存储在文件中,这是不安全的”,但从未听过实际的替代方案,最后,每个人都这么做了。但是你不想发布整个互联网的文件来下载它。不确定
etc/www/var/wwwvar/wwwvar/www/htmlvar/www/var/www/html/var/www/etc/www