質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.61%

サーバ管理(データベース)

解決済

回答 4

投稿

  • 評価
  • クリップ 1
  • VIEW 1,296

score 137

データベースやサーバの勉強をしています。
サーバでデータベースを安全に保管するためには、セキュリティーホールをなくすことが必要だと思うんですが、具体的にはどんなことが必要ですか?

わかっている事は、以下です。
・データベース管理者を制限する
・SSHのポート番号をかえる
・データベースのパスワードやメールなどにハッシュをつける

他にこういうことが必要などあれば教えてください。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

+7

基本的にサーバで動くシステムは、「できることは可能な限りできるよう(利便性最大)」に動作します。
逆にセキュリティを考える場合は、「やりたい事以外できないよう(機密性最大)」に考えます。

実際のシステムは、要件に従い、上記2点のバランスを取ることで、稼働環境を安全に使いやすく稼働させることを目指します。

その為、要件の定義をきちんとすることが重要となります。

例えば、要件の中に、外部からのsshを許すことが入っていないのであれば、「SSHのポート番号をかえる」ではなく、「sshを許さない」ことがセキュリティ対策になります。

まずは稼働させたいシステムが、どのような要件で稼働するのか整理することから始めるのが良いと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/12/29 23:47

    sshアクセスを禁止すると、メンテナンスで遠隔で操作ができませんよね?

    キャンセル

  • 2016/12/29 23:56

    ただの例です。「メンテナンスでsshを利用する」ということが要件であれば「sshを許可する」ことを前提にセキュリティ対策を検討します。
    もう少しsshで例をすすめると「踏み台サーバの制限でsshはデフォルトのポートを使用しなければならない」といった要件が出れば、「sshのポートを変更する」といったセキュリティ対策は取れなくなります。

    要件(=やりたいこと)が固まらない限り、セキュリティ対策(やりたいこと以外出来なくする事)はできません。

    キャンセル

  • 2016/12/30 00:07

    なるほど!
    わかりました。ありがとうございます。

    キャンセル

checkベストアンサー

+4

サーバでデータベースを安全に保管するためには、セキュリティーホールをなくすことが必要だと思うんですが、具体的にはどんなことが必要ですか?

セキュリティホールは、コンピュータソフトウェアの欠陥(バグ、不具合、あるいはシステム上の盲点)の一つで、本来操作できないはずの操作(権限のないユーザが権限を超えた操作を実行するなど)ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合のことを言います。

もし、情報処理技術者試験で「セキュリティホールを防ぐための対策として正しいものに◯をつけなさい」という問題で

・データベース管理者を制限する 
・SSHのポート番号をかえる 
・データベースのパスワードやメールなどにハッシュをつける

という選択肢がでてきたらどれを選んでも不正解だと思います。

また、セキュリティ対策の大原則として、
その対策が防御しようとする脅威の期待値 > 対策のコスト
でなければなりません。ここで、「脅威の期待値」は脅威が起きる確率✕脅威がもたらす損害額です。
ですから、有名な対策をめくらめっぽう施すというのは間違っていて、自分のシステムがどのような脅威にさらされているかを具体的に考え、無駄なコストをかけないよう注意する必要があります。

たとえば、データベース管理者を制限して内部犯に対してアクセス制限するよりも、監査ログを採取して不正アクセスを抑止するほうが効果的な場合もあります。コストを意識しないセキュリティ対策ほどバカげたものはありません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/12/30 00:36

    そうそう、Mirai ね。そういうのを勉強してから、自分のサーバは 23 ポートや 2323 ポートは空いて無いよね?と確認するべきです。

    キャンセル

  • 2016/12/30 00:42

    23 ポートや 2323 ポートがわからないので調べてきますw
    80や82ならわかるんですが・・・
    やっぱ駄目ですね

    キャンセル

  • 2016/12/30 00:47

    Mirai の場合は、ファイアウォールのログでDROP が出ているのを確認して、自サイトが防御できていることを確認し、それとは別にすでに感染済みのカメラやプリンタがLAN内にあるかもしれないので、内部から外に向かって 23, 2323 ポートに接続しにいっていないかを確認する必要があります。

    キャンセル

+3

質問者さんが挙げていること以外であればこのようなことがあると思います。

  1. バインドメカニズムを使用する、バインドメカニズムが使えないならエスケープ処理をすることを心がける。
  2. サーバーとデータベースの通信内容が不正に傍受されないように、通信内容を暗号化する。
  3. エラーメッセージをブラウザに表示しない(エラーメッセージにエラーの原因やデータベースの種類が含まれる場合危険)。
  4. データベースに格納しておくべき情報か見直す。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/12/29 23:53

    3.とても勉強になります。
    4.たとえばどのようなものですか?

    キャンセル

  • 2016/12/30 00:02

    必要ではない情報をユーザーに入力させて、それをデータベースに入れておくことは意味のないことですし、それが住所などの重要な情報だった場合、データベースから情報が漏えいしたら大変なことになってしまいますよね?つまり、データベースには必要な情報のみを保存しておいたほうが良いということです。

    キャンセル

  • 2016/12/30 00:08

    なるほどです。
    Twitterログインなどを使って、データを所持しないという方法もあると教わりました。

    キャンセル

+1

セキュリティにも場所により方法があります。
大まかに分けると

・サーバーを置く場所等の「物理的なもの」
・どうしても起こってしまう「人災、人為的ミス」
・外部とのやり取りである「ネットワーク関連」
・ディレクトリの権限が重要となる「ファイルシステム関係」
・CVE等の、ソフトやツール自体のセキュリティホール
等が挙げられます。主なものはネットワークとファイルシステム関係です。

ネットワークの中にも、「不正にサーバーに侵入しようとするもの」「サーバーと別のホストのやり取りを改ざんするもの」「サーバーに負荷をかけてダウンするもの」「データの通信を傍受して内容を盗み出すもの」等、たくさん挙げられます。

ファイルシステムだと、ユーザーの権限の問題やいわゆるchmodで操作するファイル自体の権限の問題があります。
どれも突き詰めればキリがない分野ですが、インターネットで調べてみるとたくさんの情報が見つかると思います。
またわからないところがアレばここで聞くのが吉です。頑張ってくださいね。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/01/05 21:01

    はい。「webサーバーのディレクトリは、オーナー以外には見えないようにして、chmod等でapacheをそのオーナーに設定する」のが最善かと思われます。

    キャンセル

  • 2017/01/05 22:26

    有難うございました。

    キャンセル

  • 2017/01/15 22:14

    (・∀・)いえいえ。こんなものでお役に立てたのならば嬉しく思います。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.61%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る