ofuscando a senha do keystore no JBoss 4.2.2 GA

3

Eu configurei meu servidor de aplicativos jboss para usar o SSL. O extrato relevante da minha configuração está abaixo. Tudo está funcionando bem, mas algumas pessoas expressaram preocupação sobre o atributo keystorePass estar em texto simples. Existe alguma maneira de ofuscar / criptografar esse valor?

Estou usando o JBoss 4.2.2.GA (no Red Hat Enterprise Edition, se isso faz alguma diferença)

<Connector port="8080" 
    protocol="HTTP/1.1" 
    SSLEnabled="true"
    maxThreads="150" 
    scheme="https" 
    secure="true"
    clientAuth="false" 
    sslProtocol="TLS"
    keystoreFile="/somewhere/some.keystore"
    keystorePass="somePassword"
    keyAlias="tomcat"/>

Editar, para fugir da abordagem de segurança por obscuridade, uma alternativa para ofuscar isso seria não fornecê-lo a todos e ter o tomcat pronto para o p / w na inicialização. No entanto, tanto quanto eu sei isso não é suportado. Alguém pode confirmar ou negar isso?

    
por Glen 17.02.2010 / 18:13

1 resposta

1

É possível, de acordo com esta entrada wiki, por Anil Saldhana, arquiteto de segurança líder JBoss para JBoss:

link

Eu não implementei isso pessoalmente, mas imagino que Anil conhece bem o assunto.

    
por 17.02.2010 / 18:59