質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Security+

Security+は、IT業界団体であるCompTIA認定の資格の一つです。ネットワークセキュリティやコンプライアンスと運用セキュリティといったセキュリティ分野における知識・技術の証明になり、セキュリティインシデントに対応するための知識も評価されます。

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

MariaDB

MariaDBは、MySQL派生のオープンソースなリレーショナルデータベースシステムです。 また、MySQLとほぼ同じデータベースエンジンに対応しています。

Q&A

解決済

3回答

371閲覧

Mysql , Mariadb のユーザ名とセキュリティーについて

退会済みユーザー

退会済みユーザー

総合スコア0

Security+

Security+は、IT業界団体であるCompTIA認定の資格の一つです。ネットワークセキュリティやコンプライアンスと運用セキュリティといったセキュリティ分野における知識・技術の証明になり、セキュリティインシデントに対応するための知識も評価されます。

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

MariaDB

MariaDBは、MySQL派生のオープンソースなリレーショナルデータベースシステムです。 また、MySQLとほぼ同じデータベースエンジンに対応しています。

0グッド

0クリップ

投稿2019/04/12 15:41

編集2019/04/12 15:43

Python3でデータベースに接続したいのですが1つ疑問があります。
動作させるプログラムとデータベースが同じlocalhost上?で動いている場合ユーザー名:root パスワード:hogehoge等の簡単なものにすることはセキュリティー的にはどうなのでしょうか?
ポートは80,443,3389(リモートデスクトップ),22のみ空いている場合です。
宜しくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ベストアンサー

動作させるプログラムとデータベースが同じlocalhost上?で動いている場合ユーザー名:root パスワード:hogehoge等の簡単なものにすることはセキュリティー的にはどうなのでしょうか?

少し話がずれますが、例えデータベースとプログラムが動いてるサーバーが別だとしても、
通常はLAN内であったり、VPNであったり、SSHポートフォワーディングであったり、
パスワードを知っていたとしても、外部からのログインが侵入が難しい形で構成します。

え?じゃあパスワード必要あるの?って話ですよね。

sshdに脆弱性があるかもしれない、リモートデスクトップサーバーに脆弱性があるかもしれない、LAN内であっても物理的な侵入者がいるかもしれない、内部の者による不正アクセスがあるかもしれない、ウイルスにより不正にアクセスされるかもしれない。(当然ウイルスはlocalhostに入ってきますからアクセス元はlocalhostですよね)

何があるか分からないんです。
防御しているレイヤーが違いますので、両方で固めた方が良いですね。

投稿2019/04/12 17:39

kou0179

総合スコア304

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2019/04/13 09:00

なるほど...ありがとうございます!
guest

0

その手のパスワードはISMS的な観点から定期的な変更が強く推奨されています。
英数字合わせるのは望ましいですがそれよりも洩れない工夫を必ず施してください。
洩れたらどんなパスワードも意味がありません。単なる文字列なので。

投稿2019/04/13 00:39

m.ts10806

総合スコア80765

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

セキュリティ的には、
そのアプリケーションが必要とする最小限の権限のみを持ったユーザを作り、
そのユーザ情報をPythonに使わせるべきなので、
root&簡単なパスワードというのはあんまりよろしくは無いです。

MySQLのrootをPythonが使える状態の場合

  • SQLインジェクションやリモートコード実行等の脆弱性によってPython経由で任意のSQLが実行された場合のリスクが極端に大きくなる

と言うのが最も危険な点でしょうか。

他には、

  • Python側で誤ったSQLを発行した場合のリスクが大きくなる
  • SSHやRDPの認証が何らかの理由で突破されて、突破されたユーザが該当の設定ファイルを読めるユーザであった場合、MySQLのroot権限を奪われることになってしまうのもリスク
  • 該当の設定ファイルを読めなかったとしてもパスワードが簡単だった場合、簡単なアタックでMySQLのrootを奪われる可能性が大きくなる
  • MySQLにアクセスはさせたく無いが、SSHでログインさせたいというユーザを作る必要がある場合にも危ない

等が考えられます。

投稿2019/04/12 18:20

tanat

総合スコア18709

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問