Red Hat Training
A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform
17.7.12. Supprimer une chaîne sensible de l'archivage sécurisé des mots de passe
Pour des raisons de sécurité, il est préférable de supprimer les chaînes sensibles de l'archivage sécurisé des mots de passe lorsqu'elles ne sont plus nécessaires. Par exemple, si vous désactivez une application, toute chaîne sensible utilisée dans une définition de base de données devra être supprimée en même temps.
Avant de supprimer une chaîne sensible de l'archivage sécurisé des mots de passe, confirmez si celle-ci est utilisée dans la configuration de JBoss EAP. Une méthode consiste à utiliser l'utilitaire « grep » pour rechercher les fichiers de configuration d'instances de la chaîne masquée. Sur Red Hat Enterprise Linux (et systèmes d'exploitation identiques), grep
est installé par défaut, mais il doit être installé manuellement pour Microsoft Windows Server.
Procédure 17.16. Supprimer une chaîne sensible de manière interactive
Exécutez la commande d'archivage sécurisé des mots de passe
Lancez l'interface en ligne de commande de votre système d'exploitation et exécutezEAP_HOME/bin/vault.sh
(sur Red Hat Enterprise Linux et systèmes d'exploitation similaires) ouEAP_HOME\bin\vault.bat
(sur Microsoft Windows Server). Démarrez une nouvelle session interactive en tapant0
(zéro).Saisir les informations d'authentification
Veuillez saisir les paramètres d'authentification nécessaires à l'invite. Ces valeurs doivent correspondre à celles indiquées lors de la création de l'archivage sécurisé des mots de passe.Note
Le mot de passe du keystore doit être fourni au format texte brut et non pas au format caché.- Veuillez saisir
2
(deux) pour choisir l'optionRemove secured attribute
(Supprimer l'attribut sécurisé). - Veuillez saisir le nom du bloc d'archivage sécurisé dans lequel la chaîne sensible est stockée.
- Veuillez saisir le nom de la chaîne sensible à supprimer.
Si la chaîne sensible est supprimée, vous obtiendrez un message de confirmation semblable au suivant :
Secured attribute [VAULT_BLOCK::ATTRIBUTE] has been successfully removed from vault
Secured attribute [VAULT_BLOCK::ATTRIBUTE] was not removed from vault, check whether it exist
Exemple 17.27. Supprimer une chaîne sensible de manière interactive
********************************** **** JBoss Vault *************** ********************************** Please enter a Digit:: 0: Start Interactive Session 1: Remove Interactive Session 2: Exit 0 Starting an interactive session Enter directory to store encrypted files:EAP_HOME/vault/ Enter Keystore URL:EAP_HOME/vault/vault.keystore Enter Keystore password: Enter Keystore password again: Values match Enter 8 character salt:1234abcd Enter iteration count as a number (Eg: 44):120 Enter Keystore Alias:vault Initializing Vault Dec 23, 2014 1:40:56 PM org.picketbox.plugins.vault.PicketBoxSecurityVault init INFO: PBOX000361: Default Security Vault Implementation Initialized and Ready Vault Configuration in configuration file: ******************************************** ... </extensions> <vault> <vault-option name="KEYSTORE_URL" value="EAP_HOME/vault/vault.keystore"/> <vault-option name="KEYSTORE_PASSWORD" value="MASK-5dOaAVafCSd"/> <vault-option name="KEYSTORE_ALIAS" value="vault"/> <vault-option name="SALT" value="1234abcd"/> <vault-option name="ITERATION_COUNT" value="120"/> <vault-option name="ENC_FILE_DIR" value="EAP_HOME/vault/"/> </vault><management> ... ******************************************** Vault is initialized and ready for use Handshake with Vault complete Please enter a Digit:: 0: Store a secured attribute 1: Check whether a secured attribute exists 2: Remove secured attribute 3: Exit 2 Task: Remove secured attribute Enter Vault Block:craft Enter Attribute Name:password Secured attribute [craft::password] has been successfully removed from vault
Procédure 17.17. Supprimer une chaîne sensible de manière non-interactive
- Lancez l'interface en ligne de commande de votre système d'exploitation et exécutez la commande d'archivage sécurisé des mots de passe. Utilisez
EAP_HOME/bin/vault.sh
(sur Red Hat Enterprise Linux et systèmes d'exploitation similaires) ouEAP_HOME\bin\vault.bat
(sur Microsoft Windows Server).Remplacez les espaces réservés par vos propres valeurs. Les valeurs des paramètresKEYSTORE_URL
,KEYSTORE_PASSWORD
etKEYSTORE_ALIAS
doivent correspondre à celles fournies lors de la création de l'archivage sécurisé des mots de passe.Note
Le mot de passe du keystore doit être fourni au format texte brut et non pas au format caché.EAP_HOME/bin/vault.sh
--keystore KEYSTORE_URL --keystore-password KEYSTORE_PASSWORD --alias KEYSTORE_ALIAS --remove-sec-attr --vault-block VAULT_BLOCK --attribute ATTRIBUTE --enc-dir ENC_FILE_DIR --iteration ITERATION_COUNT --salt SALT
Si la chaîne sensible est supprimée, vous obtiendrez un message de confirmation semblable au suivant :
Secured attribute [VAULT_BLOCK::ATTRIBUTE] has been successfully removed from vault
Secured attribute [VAULT_BLOCK::ATTRIBUTE] was not removed from vault, check whether it exist
Exemple 17.28. Supprimer une chaîne sensible de manière non-interactive
./vault.sh --keystore EAP_HOME/vault/vault.keystore --keystore-password vault22 --alias vault --remove-sec-attr --vault-block craft --attribute password --enc-dir ../vault/ --iteration 120 --salt 1234abcd ========================================================================= JBoss Vault JBOSS_HOME: EAP_HOME JAVA: java ========================================================================= Dec 23, 2014 1:54:24 PM org.picketbox.plugins.vault.PicketBoxSecurityVault init INFO: PBOX000361: Default Security Vault Implementation Initialized and Ready Secured attribute [craft::password] has been successfully removed from vault