Docker: Default-Passwort in yml-Datei beibehalten?

[Pfandfinder]

hi,

ich nutze folgende yml-Datei für meine Docker-Paperless Instanz. ich wollte es damals einfach testweise mal einrichten, nun ist es ein Produktivsystem. ich habe daher die Datenbank-Daten gar nicht in der Config geändert:

version: "3.4"
services:
  broker:
    image: docker.io/library/redis:7
    restart: unless-stopped
    volumes:
      - redisdata:/data

  db:
    image: docker.io/library/mariadb:10
    restart: unless-stopped
    volumes:
      - ./database:/var/lib/mysql
    environment:
      MARIADB_HOST: paperless
      MARIADB_DATABASE: paperless
      MARIADB_USER: paperless
      MARIADB_PASSWORD: paperless
      MARIADB_ROOT_PASSWORD: paperless

jetzt ist die Frage, da ich Docker sonst gar nicht nutze, ist das egal ? Macht man das so oder trägt man eigene Daten an ? Oder ist das ein Sicherheitsproblem ? Kann man das noch abändern ?

 

[madmax2010]

Default Passwörter immer ändern. Du betreibst einen Dienst im Netzwerk.
Das PW wirst du auch in der DB anpassen müssen

 

[Pfandfinder]

also einfach dort in der config ändern und weiter unten damit paperless sich verbindet ?

 

[madmax2010]

Wenn die DB mit dem passwort schon aufgesetzt ist, musst du das Passwort des paperless Users ändern https://www.cyberciti.biz/faq/mysql-change-user-password/

 

[nutrix]

Oder ist das ein Sicherheitsproblem ? Kann man das noch abändern ?

Ja, Klarnamen in Konfigurationsdateien sind heute ein nogo, das wird bei unbegrechtigten Zugriffen auf den Systemen immer als erstes abgescannt. Daher immer wenigstens hier die Kennwörter verschlüsseln lassen, dazu mußt Du aber die entsprechende Doku konsoltieren, oder Du legst die Kennwörter zugriffssicherer als .geheimpw nur mit root lesend ab, und greifst über Deine yaml vorher darauf zu, so daß sie als Variablen eingelesen werden. Es gibt noch einige andere Möglichkeiten, je nachdem, wie kritisch und öffentlich Dein System ist.

 

[Pfandfinder]

Wenn die DB mit dem passwort schon aufgesetzt ist, musst du das Passwort des paperless Users ändern https://www.cyberciti.biz/faq/mysql-change-user-password/

Aber diese Datenbank läuft doch nur in dem Container... ? In der Msql-Konsole meines Servers wird mir diese Datenbank mit "SHOW DATABASES;" nicht aufgelistet.

 

[oicfar]

Ich habe bei der DB für Paperless auch kein supa dupa Passwort. Zu einem läuft es in meinem privaten Netzwerk. Und der PG Port ist nur innerhalb des Docker Containers erreichbar. Sollte jemand auf meinem System landen, dann habe ich ein größeres Problem als das Paperless DB Passwort.

Prinzipiell sollte man schon darauf achten, dass man nicht die Default-Passwörter nimmt.

 

[Pfandfinder]

aber die Frage ist ja ob ich das jetzt noch im Nachhinein ändern kann.

 

[oicfar]

Ja, das kannst du. Du musst das in Docker-Compose ändern und in der DB selbst. Das wurde schon in #4 beschrieben.

Du müsstest paperless-db-1 Container haben. Kannst dich hin verbinden. Und wenn es da auch den MariaDB Client gibt, das Passwort ändern. Würde an deiner Stelle zur Sicherheit ein Backup machen.

 

[Pfandfinder]

danke habs: https://docs.cortezaproject.org/corteza-docs/2023.9/devops-guide/maintenance/database-password.html