第16章 XML 設定のパスワードマスク

本項の手順に従って、パスワードをマスクすることにより JBoss Enterprise Application Installation の安全性を高めます。そうでない場合はパスワードはクリアテキストとしてファイルシステムに保存されます。

16.1. パスワードマスクの概要

パスワードはリソースへのアクセスを承認された関係者にのみに制限するために使用される秘密の認証トークンです。JBoss サービスがパスワードで保護されたリソースにアクセスするためには、パスワードは JBoss サービスが使用できるものでなくてはなりません。これは起動時に JBoss Application Server に渡されるコマンドライン引数を用いて実行できますが、実稼働環境では実際的ではありません。実稼働環境では、通常設定ファイルにパスワードを含むことで JBoss サービスが使用可能になります。
すべての JBoss Enterprise Application Platform 設定ファイルはセキュアなファイルシステムに保存されるべきであり、JBoss Application Server プロセス所有者のみが読み取り可能であるべきです。さらに、セキュリティレベルを高めるために設定ファイルのパスワードをマスクすることができます。本項の手順に従って、Microcontainer Bean 設定のクリアテキストのパスワードをパスワードマスクと置換します。Data Source パスワードの暗号化手順は 17章データソースのパスワードの暗号化 を、Tomcat のキーストアのパスワードの暗号化手順は 18章Tomcat Connector のキーストアパスワードの暗号化 を、LdapExtLoginModule のパスワードの暗号化手順は 19章JaasSecurityDomain での LdapExtLoginModule の使用 をそれぞれ参照してください。

注記

侵入できないセキュリティというものは存在しません。強固なセキュリティ手段は、システムの承認されていないアクセスを困難にするだけです。パスワードマスクも例外ではありません。侵入不可能ではありませんが、これにより設定ファイルを軽く閲覧できなくなり、クリアテキストのパスワードを抽出する必要がある手間が増えます。

手順16.1 クリアテキストのパスワードマスクの概要

  1. パスワードを暗号化するために使用するキーペアの生成
  2. キーストアパスワードの暗号化
  3. パスワードマスクの作成
  4. クリアテキストのパスワードとそれらのパスワードマスクとの置換