Tarantool密码明文日志记录问题分析与修复方案

问题背景

在分布式数据库系统Tarantool 2.11.1版本中，存在一个潜在的安全风险：当配置文件中包含带有认证信息的URI时（如数据库连接字符串、监听地址等），系统会将完整的配置信息以明文形式记录到日志中，包括其中的敏感密码信息。这种日志记录方式不符合安全最佳实践，可能导致敏感凭证泄露。

问题重现

通过一个典型的配置场景可以复现该问题。假设我们有一个名为conf.lua的配置文件，其中包含多个带有用户名和密码的URI配置项：

return {
    listen = "someuser:changeme@0.0.0.0:3301",
    replication = {
        -- 多个带有认证信息的副本配置
    }
}

当通过box.cfg(dofile("conf.lua"))加载此配置时，Tarantool会将完整的配置信息记录到日志中，包括明文密码：

2024-10-07 10:30:12.814 [33166] main/103/interactive/box.load_cfg I> set 'listen' configuration option to "someuser:changeme@0.0.0.0:3301"

安全风险分析

这种明文记录密码的行为会带来以下安全风险：

1. 敏感信息泄露：任何有日志访问权限的人员都可以获取数据库认证凭证
2. 违反安全合规要求：多数安全标准要求不能明文存储或传输密码
3. 攻击面扩大：如果日志文件被不当处理或传输，可能被恶意利用
4. 审计追踪污染：安全审计日志中不应包含敏感信息

技术解决方案

针对这一问题，社区提出了修复方案，核心思路是对日志输出中的敏感信息进行过滤处理。具体实现包括：

1. 新增URI净化函数：创建一个专门用于从URI中移除密码的函数
2. 递归配置处理：对配置表中的所有值进行深度遍历和处理
3. 关键字段处理：特别处理已知包含URI的配置字段（如listen和replication）

修复后的日志输出将显示为：

2024-10-07 12:15:53.026 [495] main/103/interactive/box.load_cfg I> set 'listen' configuration option to "someuser@0.0.0.0:3301"

实现细节

修复方案主要修改了src/box/lua/load_cfg.lua文件，关键变更包括：

1. 将原有的purge_password_from_uri函数升级为能处理嵌套结构的purge_password_from_uris函数
2. 对配置表中的所有字符串值进行密码过滤处理
3. 特别标记需要处理的配置字段（如listen）

安全建议

除了等待官方修复版本外，用户还可以采取以下临时措施：

1. 在配置加载前手动处理敏感信息
2. 限制日志文件的访问权限
3. 使用环境变量或外部密钥管理系统存储密码
4. 定期轮换数据库凭证

总结

Tarantool的这一修复体现了软件安全领域的基本原则：敏感信息不应出现在日志等非加密存储中。通过自动过滤密码信息，既保持了配置变更的可审计性，又避免了凭证泄露风险。这一改进对于使用Tarantool构建安全关键型应用的团队尤为重要，建议所有用户尽快升级到包含此修复的版本。