[前][次][番号順一覧][スレッド一覧]

mysql:6795

From: <moeru@xxxxxxxxxx>
Date: Tue, 07 Jan 2003 22:13:01 +0900
Subject: [mysql 06795] Re: SQL サーバのセキュリティ確保


2003/01/07 13:26:54 +0900に豊島 <toyoshima@xxxxxxxxxx>さんに頂いた
「[mysql 06792] Re: SQL サーバのセキュリティ確保」への返事です。

モエルです。

> 保守性や、まさかのセキュリティホール、などを考慮すれば、Web,DB,Adminとそれぞれ
>マシンを切り分けるのが安全性を高める上ではとても有用ですし、他にもいろいろ利点が
>あります。
> クラスタリングなどの拡張性。
> システムの負荷分散。などなど

MySQLを単独サーバにしようと思ってるのは、システムの負荷分散が大きな目的なんですけど、
昨年だけでも、apacheやphpなどのセキュリティホールがいろいろ出ましたよね。。

任意のコードを発行するとroot権限を奪われるとかのセキュリティホールも結構でてましたよね。
root権限を奪われてしまうと
以下のようにMySQL Serverをローカルサーバにしても、MySQL Serverも乗っ取られてしまいますよね?

そう考えるとグローバルアドレスが余っていれば、
あえてプライベートネットワークに持っていく必要はないって事でしょうか?

WEB Server(インターネットのユーザーは、PHP経由でMySQLDBを閲覧・更新)
      ipchains,iptables等で必要以外のポートを拒否
      eth0(グローバルアドレス)
      eth1(192.168.0.1) 
                  |
                  |
                  MySQL Server eth0(192.168.0.2)

IPフォワード等でIPを変換する分、レスポンスは遅くならないかな?とか
負荷はかからないのかな?とか素人的には考えてしまいました。。


たてやんさんへの返事です。

>たとえば Webサーバからユーザのデータ照会をMySQLを利用する部分のCGIのURL
>を外部のWebブラウザから繰り返しリロードするだけで、結構な負担になります
>まぁ Webサーバ自体も俗に言うF5攻撃されると・・・
>この辺は Apache付属のab (apache bench)などを利用してどの程度までの負担
>に耐えられるのかもあらかじめ検証しておくことも必要かも知れません。

F5攻撃なんて用語は知らなかったです(^^;
リロード攻撃って、htmlコンテンツだとダメっぽいですけど
cgiやphpだったら、対策できそうですね。。

IPと読み込んだ時間と回数を記録して、X秒以内にX回読み込んだら攻撃と見なして
「通報しました」とか表示して、どっかのHPに飛ばしちゃうとか?
そのぶん、重いプログラムになるでしょうけど。。

*httpd.confあたりでこういう対策の設定が出来ればいいのに。。



モエル

[前][次][番号順一覧][スレッド一覧]

      6777 2003-01-06 16:58 [<antoku@xxxxxxxxxx> ] Re: SQL サーバのセキュリティ確保        
      6780 2003-01-06 17:35 ┣[cat1288 <cat1288@xxx]                                       
      6781 2003-01-06 19:18 ┃┗[豊島 <toyoshima@xxxx]                                     
      6782 2003-01-06 19:19 ┗[<moeru@xxxxxxxxxx>  ]                                       
      6783 2003-01-06 20:44  ┣[KUZE Masanori <kuze@]                                     
      6784 2003-01-06 23:27  ┃┗[tateyan <tateyan@xxx]                                   
      6785 2003-01-06 23:36  ┣[豊島 <toyoshima@xxxx]                                     
      6789 2003-01-07 00:43  ┃┗[<moeru@xxxxxxxxxx>  ]                                   
      6792 2003-01-07 13:26  ┃ ┗[豊島 <toyoshima@xxxx]                                 
      6793 2003-01-07 14:52  ┃  ┣[cat1288 <cat1288@xxx]                               
      6794 2003-01-07 16:38  ┃  ┃┗["kosugi" <kosugi@xxx]                             
->    6795 2003-01-07 22:13  ┃  ┗[<moeru@xxxxxxxxxx>  ]                               
      6796 2003-01-07 22:54  ┃   ┣["TOYOSHIMA,Masayuki"]                             
      6798 2003-01-07 23:27  ┃   ┃┣[<moeru@xxxxxxxxxx>  ]                           
      6801 2003-01-08 09:27  ┃   ┃┃┗["TOYOSHIMA,Masayuki"]                         
      6803 2003-01-08 18:22  ┃   ┃┃ ┗[<moeru@xxxxxxxxxx>  ]                       
      6799 2003-01-07 23:43  ┃   ┃┗[Inano Shin_ichi <ina]                           
      6797 2003-01-07 23:02  ┃   ┗[Tatsuhiko Miyagawa <]                             
      6800 2003-01-08 00:08  ┃    ┗[<moeru@xxxxxxxxxx>  ]                           
      6786 2003-01-06 23:47  ┣[tateyan <tateyan@xxx]                                     
      6787 2003-01-07 00:24  ┣[Tatsuhiko Miyagawa <]                                     
      6790 2003-01-07 12:42  ┗[<n.futami@xxxxxxxxxx]                                     
      6791 2003-01-07 13:05   ┗["TOYOSHIMA,Masayuki"]