Sicherheitshinweise zum Betrieb einer MariaDb/PostgreSQL-Datenbank
Um eine Datenbank auf dem MariaDb(MySQL)-/PostgreSQL-Datenbankserver des RRZ sicher betreiben zu können, sind aus Anwendersicht insbesondere folgende Punkte zu beachten:
- Der am häufigsten gemachte Fehler ist, das Datenbank-Passwort im Klartext in Dateien in einem Webverzeichnis abzulegen (z.B. in einem PHP-Skript). Speichern Sie die Zugangsdaten zu Ihrer Datenbank stattdessen z.B. in Variablen, die an einem sicheren Ort mit Werten belegt werden und entziehen Sie derartigen Dateien oder Skripts das Leserecht für ,,other".
- Speichern Sie Passwörter in der Datenbank nur in verschlüsselter Form, niemals in Klartext. Verwenden Sie keine Software, die diese Bedingung nicht erfüllt.
- Wie immer gilt auch hier: Verwenden Sie keine zu kurzen, zu einfachen oder durch Wörterbuchattacken schnell zu erratende Passwörter. Mixen Sie Buchstaben, Zahlen und Sonderzeichen und verwenden Sie mindestens 8 Zeichen.
- Nutzen Sie die zentrale PhpMyAdmin-Installation des RRZ zur Administration Ihrer Datenbank, wenn Sie ein graphisches Werkzeug nutzen wollen. Installieren Sie PhpMyAdmin oder ähnliche Werkzeuge nicht selber.
- Sowohl für MariaDb als auch PostgreSQL besteht die Möglichkeit der Verschlüsselung der Verbindung zwischen Client und Server mittels SSL/TLS. Für die Nutzung der Verschlüsselung muss die Anwendung bzw. Clientkonfiguration entsprechend angepasst sein. Sensible personenbezogene Daten oder vertrauliche Informationen gehören aber auch bei Nutzung der Verschlüsselung der Datenübetragung nicht in eine MariaDb- oder PostgreSQL-Datenbank für Webapplikationen.
- Da MariaDb(MySQL)-/ PostgreSQL-Datenbanken zumeist für Webapplikationen eingesetzt werden, ist die Sicherheit eines Webauftritts eng mit der Sicherheit der dazugehörigen Datenbank verzahnt. Beachten Sie bitte die Hinweise zur Sicherheit von Webanwendungen.
Das RRZ hat aus Gründen der Sicherheit den Zugriff auf den MariaDb (MySQL)-/PostgreSQL-Datenbankserver auf den Netzbereich der Universität Hamburg beschränkt (*.uni-hamburg.de). Da es Einrichtungen gibt, die zur Universität gezählt werden, aber wegen einer Intergration in eine andere Forschungseinrichtung (z.B. DESY) nicht in diesen Bereich fallen, können Nutzer aus diesen Einrichtungen nicht ohne Rücksprache mit dem RRZ auf den Datenbankserver zugreifen. Falls die Nutzung eines VPN nicht möglich ist, bitten wir Sie, sich mit der Serviceline des RRZ in Verbindung zu setzen, um eine Freischaltung zu bekommen.