[PHP-users 23782] Re: DB の暗号化について

[Tomoyuki Asakawa]

あさかわ

 >パケットのパターンでブロックする、というFWはけっこうありますね。
 >(高いけど)

こういうタイプでない場合
80番しか開いていない，サーバに、80番を素通しするFWなら意味はないですよね．
(８０番しか開いてないってのは、apacheしか動作してないとか、ipfwでブロックしてるという意味)


> たとえばWeb->DBに向けては5432番だけしか通さない設定にしておけば、
> その先に行けるかどうかの難易度が違うでしょう。
> (そうは言ってもこちらにFWを設置することはほとんどないですが)

ですよね、せいぜい，ipfwや、ipchainsを、設定する程度で十分だと思う．

> そんなすごいものじゃなくても、普通にきっちりセットしたFWがあれ
> ば、間抜けが管理者のおかげでサーバを乗っ取られてもspamまき散ら
> しマシンなどにならずに済んだりします。別にOKというわけではなく

きっちり、セットしたFWでも、中から外へは、25番が通らない様になっていれば
たしかに、SPAMまき散らしはできないでしょう．

しかし、中から、メールを出す為に、中ー>外に、25番が空いていたなら
結局，サーバを乗っ取られれば，SPAMまき散らしはできるわけですね．

で、こういう設定は、インターネットサーバなら、普通だと思うのですが．

> って、「どのレベルまで考えるか」ということですね。
もちろんそうですね．

#そういう次元を無視して、書類審査しかしてない、EAL5のFWを使いなさい
#などと、言う,エセコンサルに悩まされてる．