0
0
実現したいこと
Laravelのセキュリティの設定や構築などについて
課題
AWSのEC2にLaravelの環境を構築したいと考えています。しかし、Laravelの.envにAWSのキーを設定するのですが、
セキュリティ的なものが気になります。できれば、.envファイル自体を使用しないなどが理想ですが、
AWSでLaravelを作成する際に、.envなどをどのように配置していますか?
私が考えていること
・ドキュメントルート:/var/www/html/publicに変更し、上位階層に.envを置くことで直接は閲覧できないようにする。
・permissionを絞る
※・不特定多数の人が使うため、セキュリティグループで絞ることができないため、IP制限はできないと考えています。
実際にLaravelをAWS環境で構築する場合、どのように構築していますか?
回答3件
#1
総合スコア145184
投稿2023/02/01 06:42
AWS上でAWSのサービスを利用するのであれば、IAMロールを適切に設定することでキーそのものの設定が不要となるかと思います。
#2
aws cli などをLaravelで実行しようとしていますが、IAMロールの制御で可能ということでしょうか?
#3
総合スコア10377
投稿2023/02/01 07:30
プロジェクトルートは/
.envも/.env
webサーバーのドキュメントルートは/public/
公開されるのはここだけ。
普通に使えば何も問題ない。Laravel Forge使っても普通に/.envにファイルが作られる。
問題になるのはレンタルサーバーでLaravelを動かすような変なことしてる初心者だけ。
public_html/でしか動かせないので無理やり変更して「動かせた」で満足して終わってる。
public_html/.envに変更して外部から見えてることにも気付かない。
Laravelで何か運用してる人なら誰でも分かるけど
「Laravelのユーザー登録ページ(/register)から自動で登録するbot」や「 http://example.com/.env を読み取ろうとするbot」からのアクセスが大量にある。
WordPressへの攻撃と同じことがLaravelでも起きてる。
Laravelを狙ったとは限らないけど.envを公開してるミスが多いからこういう攻撃が成立する。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。