Q&A
Python3でデータベースに接続したいのですが1つ疑問があります。
動作させるプログラムとデータベースが同じlocalhost上?で動いている場合ユーザー名:root パスワード:hogehoge等の簡単なものにすることはセキュリティー的にはどうなのでしょうか?
ポートは80,443,3389(リモートデスクトップ),22のみ空いている場合です。
宜しくお願いします。
回答3件
0
ベストアンサー
動作させるプログラムとデータベースが同じlocalhost上?で動いている場合ユーザー名:root パスワード:hogehoge等の簡単なものにすることはセキュリティー的にはどうなのでしょうか?
少し話がずれますが、例えデータベースとプログラムが動いてるサーバーが別だとしても、
通常はLAN内であったり、VPNであったり、SSHポートフォワーディングであったり、
パスワードを知っていたとしても、外部からのログインが侵入が難しい形で構成します。
え?じゃあパスワード必要あるの?って話ですよね。
sshdに脆弱性があるかもしれない、リモートデスクトップサーバーに脆弱性があるかもしれない、LAN内であっても物理的な侵入者がいるかもしれない、内部の者による不正アクセスがあるかもしれない、ウイルスにより不正にアクセスされるかもしれない。(当然ウイルスはlocalhostに入ってきますからアクセス元はlocalhostですよね)
何があるか分からないんです。
防御しているレイヤーが違いますので、両方で固めた方が良いですね。
投稿2019/04/12 17:39
総合スコア304
0
その手のパスワードはISMS的な観点から定期的な変更が強く推奨されています。
英数字合わせるのは望ましいですがそれよりも洩れない工夫を必ず施してください。
洩れたらどんなパスワードも意味がありません。単なる文字列なので。
投稿2019/04/13 00:39
総合スコア80888
0
セキュリティ的には、
そのアプリケーションが必要とする最小限の権限のみを持ったユーザを作り、
そのユーザ情報をPythonに使わせるべきなので、
root&簡単なパスワードというのはあんまりよろしくは無いです。
MySQLのrootをPythonが使える状態の場合
- SQLインジェクションやリモートコード実行等の脆弱性によってPython経由で任意のSQLが実行された場合のリスクが極端に大きくなる
と言うのが最も危険な点でしょうか。
他には、
- Python側で誤ったSQLを発行した場合のリスクが大きくなる
- SSHやRDPの認証が何らかの理由で突破されて、突破されたユーザが該当の設定ファイルを読めるユーザであった場合、MySQLのroot権限を奪われることになってしまうのもリスク
- 該当の設定ファイルを読めなかったとしてもパスワードが簡単だった場合、簡単なアタックでMySQLのrootを奪われる可能性が大きくなる
- MySQLにアクセスはさせたく無いが、SSHでログインさせたいというユーザを作る必要がある場合にも危ない
等が考えられます。
投稿2019/04/12 18:20
総合スコア18778
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2019/04/13 09:00