[PHP-users 23770] Re: DB の暗号化について

Tomoyuki Asakawa tom @ asakawa.ne.jp
2004年 12月 1日 (水) 13:28:55 JST


あさかわ

>> そもそも、80番ポートしか空いてない、WEBサーバの前に80番だけ通すFW
>> 置く意味はないし、
>> マルチホームな、WEBサーバの、プライベートセグメントに、さらに、DBの
>> ポートをあけた
>> FWを置いても仕方が無い.
>
> たしかにWebサーバがcrackされて乗っ取られ、好き勝手に
> いろいろやられてもいいのであれば、そういうファイアウ
> ォールは必要ないですね。apacheの秘孔を突いて80番経由
> でrootでシェルを実行されるとか。で、そこから裏のセグ
> メントに好き勝手にアクセスされてもOKと考えるなら、そ
> こにもファイアウォールは不要です。

80番を通す様な、FWの場合,80番経由の攻撃に対しては、無力だと思いますけど.
もちろん、高度なFWの中には、そういう攻撃パターンを読む様なものもあるとは思いますが.

また、裏セグメントの場合,WWWサーバからは、どのみち、DBサーバが見えてるのですから
WWWサーバを乗っ取られてしまえば、FWが、あろうとなかろうと、同じです.
FWが無くてもいいというより、有っても無駄ってことです.

結局,WWWサーバを乗っ取られては駄目なわけでして
地道な、パッチ当て,危険なスクリプトを書かないなどをしてないと
FWなんで、有っても無くても同じだと思うのですが.
逆に,地道なことをしてないと、イケナイわけですよ.

ここは、PHPなので、当然,PHPのセキュリティ情報には、気をつける
危険なPHPスクリプトを書かないAPACHEの穴を放置しないということが重要なわけです.

> セキュリティのことをどのレベルまで考えるかって話です
> ね。間抜けなシステム管理者もいるでしょうし。

間抜けな管理者でもOKな様な、そんなに凄いFWが普通なのでしょうか?
とてもそうは思えませんが.







PHP-users メーリングリストの案内