Безопасность БД

Мне нужно реализовать максимальную безопасность информации в Базе Данных и доступ к ней через интернет.

Пока только такие идеи:
1. В .htaccess Закрыть доступ ВСЕМ IP, кроме определенных IP и к определенной папке.
Те кто должен иметь доступ к информации на сайте должны иметь постоянный IP-адрес
2. Информацию в БД(mysql) хешировать (MD5 - есть, SHA-2 -пока не знаком)
3. Минимальная длина пароля в пределах от 12 до 14 символов.
4. Количество попыток ввода пароля или логина 3-5 попыток в час для 1ip.
(или после исчерпания лимита ввода пароля или логина блокировка данного ip до выяснения причин.)
5. Капча(CAPTCHA)
6. Должны быть отключены все порты(включая FTP), кроме 80 или 81 порта.

Дополните или исправьте список если что то упустил или не правильно написал.

0

Сообщение от avatator Мне нужно реализовать максимальную безопасность информации в Базе Данных и доступ к ней через интернет.

ну так закройте к ней доступ из интернета. Хотя приличный хостер это сделает за вас.

Сообщение от avatator Информацию в БД(mysql) хешировать (MD5

зачем? и как потом эту информацию прочитать? Или вы про пароли? Если это про пароли, то php имеет функции password_hash и password_verify , а эти велосипеды с md5 и солью забудьте

Сообщение от avatator Минимальная длина пароля в пределах от 12 до 14 символов.

сочувствую вашим пользователям.. Пользуйтесь стандартными средствами php и не забивайте себе голову. Надежность защиты определяется самым слабым звеном, а это человеческий фактор. Не нужен 14 значный пароль, потому что 6 ти значный пароль ничем не хуже. Ваша база (конечно если она представляет какую-то ценность) будет слита тем же самым "приличным" хостером и вы узнаете об этом последним.

1

1. Теоретически сервер на котором будет размещен сайт и БД будет моим.
2. Как можно реализовать защищенную передачу информации между сайтом и посетителем от сниффера средствами php и js???
пока есть идея что на стороне пользователя с помощью js кодируется и передается на сайт зашифрованная информация, а на сайте средставми php эта информация уже расшифровывается и записывается в БД или выдает посетителю результат закодированого запроса.
php тоже выдает закодированую информацию которую посетитель может прочитать только раскодировав ее с помощью js кода размещенного у него на компе.

0

Сообщение от avatator Как можно реализовать защищенную передачу информации между сайтом и посетителем от сниффера средствами php и js?

Не лучше использовать https?

1

Сообщение от Para bellum Не лучше использовать https?

имхо обязательно если охота защиты от снифа, а вот это

Сообщение от avatator с помощью js кодируется и передается на сайт зашифрованная

ни что иное как очередной, а главное бессмысленный велосипед. Бессмысленный потому что js будет в открытом доступе и ваши алгоритмы шифрования соответственно тоже..

0

Сообщение от avatator Мне нужно реализовать максимальную безопасность информации

никакого интернета. никаих компьютеров. используйте только простые средства: бумага и ручка. их гораздо проще проверить на наличие "бекдоров". при этом шифруйте все, что пишите, в уме, aes-ом, ключ от которого должны знать только вы, и никогда никуда его не записывать.
Ну а если серьезно.

Сообщение от avatator Должны быть отключены все порты(включая FTP), кроме 80 или 81 порта.

сейчас использование ftp неактуально вообще. есть sftp, или scp, которые прекрасно работают в связке с тем же sshd. Передавать критичную (пароли, ключи, имя вашего питомца/девичью фамилию матери, номера и cvc2 кредитных карт) информацию по сети в нешифрованном виде не стоит.
Ну ок. 80ый понятно, а зачем 81ый? я так понимаю, nginx+apache? а зачем вашему бекенд-серверу быть доступным извне? апач проще задосить, чем nginx (и дело не только в cve 2011-3192).
Более того, раз уж вы говорите о безопасности, то для сервера бд я бы рекомендовал как раз таки отключить 80ый порт, оставив внешним только 3306 (mysql), или 5432 (pg), а еще лучше, на всякий случай их изменить на какой-нибудь 32451, так они сложнее обнаруживаются. И та и другая СУБД отлично поддерживает ssl, так что проблем с этим возникнуть не должно.
По-хорошему, не мешало бы еще влезть в исходники и поменять там fingerprint, а еще лучше -- реализовать мультиплексирование протокола на http(s), чтобы nmap не понял, что там mysql, а не nginx, отдающий какую-нибудь статическую страничку

Сообщение от avatator Теоретически сервер на котором будет размещен сайт и БД будет моим.

если у вас есть физ доступ к серверу, то одного порта будет достаточно. если же нет, нужно еще что-то, с помощью чего вы будете администрировать ваш сервер.

Сообщение от avatator Как можно реализовать защищенную передачу информации между сайтом и посетителем от сниффера средствами php и js???

этот вопрос никак не коррелирует с поставленной в вашей теме задачей. Тем не менее, как вам и сказали выше, используйте ssl, или другие средства шифрования. в противном случае вы будете скорее всего, уязвимы даже к пассивной прослушке. Также не забывайте о mitm. То есть, в общем случае, злоумышленник может вклиниться в ваш канал и прикинуться вашем сервером, обменявшись с вами ключами, как это сделал бы настоящий сервер. И когда вы передадите ему ваши данные для аутентификации, которые, с большой вероятностью, будут валидными, он сможет получить доступ к вашему серверу.

Сообщение от avatator пока есть идея что на стороне пользователя с помощью js кодируется и передается на сайт зашифрованная информация, а на сайте средставми php эта информация уже расшифровывается и записывается в БД или выдает посетителю результат закодированого запроса.

как раз таки этот кейз и покрывает использование СУБД в чистом виде +ssl. Непонятно, зачем лишние звенья в виде http и других серверов.

Сообщение от avatator php тоже выдает закодированую информацию которую посетитель может прочитать только раскодировав ее с помощью js кода размещенного у него на компе.

ага, ток этот ваш js код уже был пассивно прослушан и считан злоумышленником. а значит он аналогично сможет расшифровать сообщение, так же как и клиент.

Ну ладно, раз уж вы решили сами разобраться с криптографией, то почитайте тогда для начала про ассиметричные алгоритмы шифрования и про алгоритм диффи-хельмана. После безопасного обмена ключей изобретите что-то вроде aes и шифруйте с его помощью все ваши сообщения. Это все и правда можно реализовать на клиенте, хоть на js-е.
Далее вам потребуется защита от mitm, и вы прочитаете про сертификаты и установите подлинность сервера.
Тадам! Поздравляю, вы реализовали очередную js-ssl-библиотеку

1