[PHP-users 23770] Re: DB の暗号化について

[Tomoyuki Asakawa]

あさかわ

>> そもそも、８０番ポートしか空いてない、WEBサーバの前に８０番だけ通すFW
>> 置く意味はないし、
>> マルチホームな、WEBサーバの、プライベートセグメントに、さらに、DBの
>> ポートをあけた
>> FWを置いても仕方が無い．
>
> たしかにWebサーバがcrackされて乗っ取られ、好き勝手に
> いろいろやられてもいいのであれば、そういうファイアウ
> ォールは必要ないですね。apacheの秘孔を突いて80番経由
> でrootでシェルを実行されるとか。で、そこから裏のセグ
> メントに好き勝手にアクセスされてもOKと考えるなら、そ
> こにもファイアウォールは不要です。

80番を通す様な、FWの場合，８０番経由の攻撃に対しては、無力だと思いますけど．
もちろん、高度なFWの中には、そういう攻撃パターンを読む様なものもあるとは思いますが．

また、裏セグメントの場合，WWWサーバからは、どのみち、DBサーバが見えてるのですから
WWWサーバを乗っ取られてしまえば、FWが、あろうとなかろうと、同じです．
FWが無くてもいいというより、有っても無駄ってことです．

結局，WWWサーバを乗っ取られては駄目なわけでして
地道な、パッチ当て，危険なスクリプトを書かないなどをしてないと
FWなんで、有っても無くても同じだと思うのですが．
逆に，地道なことをしてないと、イケナイわけですよ．

ここは、PHPなので、当然，PHPのセキュリティ情報には、気をつける
危険なPHPスクリプトを書かないAPACHEの穴を放置しないということが重要なわけです．

> セキュリティのことをどのレベルまで考えるかって話です
> ね。間抜けなシステム管理者もいるでしょうし。

間抜けな管理者でもOKな様な、そんなに凄いFWが普通なのでしょうか？
とてもそうは思えませんが．