仙石浩明の日記

2006年4月6日

DB サーバのセキュリティ向上策 (4)

前回は、 DB サーバへの通信を監視して、 UNIX でのユーザ権限と DB ユーザ名が一致する時に限り 通信を許可する方法について説明しました。

アクセス元となるクライアント側のマシンならば、 どのユーザがアクセスしているか容易に調べられるので、 通信の監視もアクセス元で行なった方が簡単です。

しかしながらこの方法では、 データセンタ内の全てのサーバで通信の監視を行わなければならず、 やや繁雑です。 また、UNIX でのユーザ権限ごとのアクセスコントロールを 実現する方法として、 前回は各ユーザごとに専用の UNIX ドメインソケットを用意し、 そのパーミッション設定でコントロールする方法を紹介しましたが、 当然のことながら DB アクセスを行うクライアントプログラムが UNIX ドメインソケットをサポートしていなければなりません。

DB サーバへの通信の監視をアクセス先、 つまり DB サーバー側で行うことができれば、 クライアント側は監視が行われていることを意識する必要がなくなります。 つまり前回説明した「入口規制」によるアクセス制限ですね。 クライアント側から見れば、 普通に DBサーバへ TCP 接続するだけなので、 どのようなクライアントプログラムでも利用可能でしょう。

この入口規制を実現するには、 どのユーザ権限でクライアントプログラムが動いているのか、 DB サーバ側から調べる必要があります。 しかしながら、TCP 接続ではサーバ側は送られてきた パケットを受け取るだけなので、 そのパケットを誰が送信したかまでは関知しません。 そこで、通信相手が誰なのか調べる方法を定めたのが、 RFC1413 で提案された IDENT プロトコルです。 IDENT プロトコルは、 受け取った TCP パケットに記録されている 送信元の IP アドレスとポート番号を手がかりに、 相手が誰かクライアント側へ問い合わせます。

IDENT プロトコルは、あまり使われなくなって久しいので、 まず簡単に紹介しましょう。

ホスト CLIENT からホスト SERVER の 12345番ポートへアクセスした 場合について考えます。 その接続状況は次のように netstat コマンドなどで確認できて、

SERVER % netstat
Proto Recv-Q Send-Q  Local Address  Foreign Address  State
tcp        0      0  SERVER:12345   CLIENT:45486     ESTABLISHED

この場合だと、CLIENT の 45486番ポートから SERVER の 12345番ポートへの TCP 接続が確立している (ESTABLISHED) ことが分かります。

このとき、SERVER は CLIENT に IDENT 問合せをすることによって、 CLIENT のどのユーザが TCP 接続の相手か調べることができます。

SERVER % telnet CLIENT 113
Connected to CLIENT.
45486,12345                                 … (1)
45486 , 12345 : USERID : OTHER :sengoku     … (2)
Connection closed by foreign host.

(1) が SERVER から CLIENT への問合せで、 送受信双方のポート番号の対を送信しています。 これに対し、(2) が CLIENT から SERVER への応答で、 TCP 接続の相手が「sengoku」であることが分かりました。

このように、通信相手が誰か手軽に確認できる便利なプロトコルなのですが、 相手ホストが信用できなければ当然 IDENT 応答も信じることはできません。 不特定多数のホストからの通信を受け付ける場合は、 IDENT 問合せを行なっても「正直な」応答が返ってくるとは期待できないわけで、 少なくともインターネット上ではあまり使われなくなったようです。

しかし データセンタのラック内のサーバであれば、 当然管理者が決まっているでしょうから、 全てのサーバで正しく IDENT 応答を返すように徹底することは容易です。 したがって、 IDENT プロトコルを使った入口規制を実施することができます。

まず DB サーバを、UNIX ドメインソケットでのみアクセスを受け付ける ように設定します。 このソケットは、local ユーザが勝手にアクセスしたりしないよう、 DB サーバを実行するユーザ権限でのみ読み書きできるように 設定しておくとよいでしょう。

次に、特定のポートで listen し、接続を受け付けたら この UNIX ドメインソケットへ中継するプログラムを、 DB サーバを実行するユーザと同じユーザ権限で走らせます。 この中継プログラムは、 中継する際に接続元ホストに対して IDENT 問合せを行ない、 IDENT 応答で得たユーザ名と、 通信を監視することによって得られた DB ユーザ名が 一致しない場合は通信を遮断するというわけです。

このような仕掛けにより、 クライアント側のユーザは、 仕掛けを意識することなく DB サーバにアクセスすることができます。 そして、 何かのはずみに別の DBユーザのパスワードを知り、 その DBユーザになりすましてアクセスしようとしても 通信は遮断されます。

Filed under: システム構築・運用 — hiroaki_sengoku @ 12:25

Comments (0)

No Comments »

No comments yet.

RSS feed for comments on this post.

Leave a comment

• 京都大学大学院工学研究科情報工学専攻修了。株式会社日立製作所で遺伝的アルゴリズムおよびネットワーク基盤技術の研究に従事。 1997年に情報処理学会山下記念研究賞受賞。 1998年、電気学会先端システム技術の産業応用調査専門委員会委員。 2000年、KLab株式会社取締役CTOに就任。 2011年、同 退任。 1995年以来、TCP/IPパケットリピータ「stone」や、Palm上の時刻表ツール「Time Table Viewer」などを開発・発表する。また、堅牢で安定したサイト gcd.org を運営し、会員にサービスを提供。 そこで得たサーバー構築ノウハウを日経Linuxで、2000年4月から 2年間連載
• Categories
  • Android (29)
  • Hawaii (10)
  • IPv6 (9)
  • La Fonera (12)
  • SIM (19)
  • stone 開発日記 (29)
  • その他 (24)
  • システム構築・運用 (83)
  • ハードウェアの認識と制御 (30)
  • プログラミングと開発環境 (43)
  • 元CTO の日記 (30)
  • 技術と経営 (35)
  • 技術者の成長 (43)
  • 自己啓発 (30)
  • 香港 (12)
• Blog内検索
• Archives Archives Select Month March 2024  (1) July 2023  (1) June 2023  (1) May 2022  (1) March 2022  (1) August 2021  (1) July 2021  (1) September 2020  (2) December 2019  (1) November 2019  (2) September 2019  (1) August 2019  (1) April 2018  (1) March 2018  (1) August 2017  (1) July 2017  (1) April 2017  (1) August 2016  (1) November 2015  (1) October 2015  (1) October 2014  (2) August 2014  (1) January 2014  (1) December 2013  (2) November 2013  (2) March 2013  (2) February 2013  (1) December 2012  (1) September 2012  (1) July 2012  (1) May 2012  (1) March 2012  (1) February 2012  (2) January 2012  (2) November 2011  (1) October 2011  (1) August 2011  (1) July 2011  (2) June 2011  (2) May 2011  (3) April 2011  (1) March 2011  (2) February 2011  (2) January 2011  (3) December 2010  (3) November 2010  (2) October 2010  (1) September 2010  (2) August 2010  (1) July 2010  (3) June 2010  (1) May 2010  (2) April 2010  (2) March 2010  (2) February 2010  (2) January 2010  (2) December 2009  (4) November 2009  (1) October 2009  (3) September 2009  (3) August 2009  (1) June 2009  (1) May 2009  (1) April 2009  (1) March 2009  (1) February 2009  (1) January 2009  (2) December 2008  (4) November 2008  (1) October 2008  (1) August 2008  (1) July 2008  (4) June 2008  (2) May 2008  (1) April 2008  (4) March 2008  (2) January 2008  (7) December 2007  (7) November 2007  (2) October 2007  (3) September 2007  (5) August 2007  (6) July 2007  (2) June 2007  (3) May 2007  (3) April 2007  (2) March 2007  (3) February 2007  (2) January 2007  (6) December 2006  (8) November 2006  (7) October 2006  (4) September 2006  (2) August 2006  (8) July 2006  (12) June 2006  (13) May 2006  (34) April 2006  (53) March 2006  (24)
• 人気記事
  • Z80 コンピュータを作ってみた (27年前のお話)
  • Android 端末 IS01 のカーネルを入れ替えてみた 〜 さよならデッカード LSM
  • 生涯 「こだわらないエンジニア」 宣言
  • お金と自由 ～ なぜ貯められないのか？
  • なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • 自分戦略 〜 なぜ成功できないのか？
  • 成功しない方法
  • 「ソフトウェア開発」は「モノ作り」ではない
  • 技術力が高い人こそ、ビジネスモデルの良し悪しにもっと敏感になるべき
  • 技術者の成長に役立つ会社とは？(1)
  • 技術者を目指す学生さんたちへ
  • コミュニケーション能力の育成を第一とする教育が格差社会を救う
  • NFS と AUFS (Another Unionfs) を使って、ディスクレス (diskless) サーバ群からなる低コスト・高可用な大規模負荷分散システムを構築する
  • 新規一括 0円の Galaxy Nexus (SC-04D) を買ってみた ～ 国際版 Galaxy Nexus と全く同じにする
  • Perl の非同期I/Oモジュール POE を使って VPN-Warp relayagent を書いてみました
  • chroot されたディレクトリから脱出してみる
  • 故障した HDD WD10EACS を RMA (Return Merchandise Authorization, 返却承認) 手続きで交換してみた
  • ベンチャーが学校教育に求めること
  • IT企業には技術者と経営者の両方と話せるバイリンガルが必要
  • ソフトウェア産業の究極の振興策
  • 断片的な知識と体系的な知識
  • プログラマ 35歳 定年説
  • プログラマを目指すのに適した時代、適していない時代
• Recent Posts
  • 突然死した Pixel4 から nanaco 残高を救い出した話
  • exFAT な Ubuntu ブータブル USBメモリ (exFAT Bootable USB Flash Drive) の作り方
  • Wio Node (ESP8266) に MicroPython をインストールして、Wi-Fi 照度＆人感センサを作ってみた
  • WSL2 (Windows Subsystem for Linux 2) で物理ディスク上の独自 OS を動かしてみた
  • 所得税を分割して、複数の高還元率クレジットカードを何回も使って納付してみた
  • M5Stack ATOM Lite を USBシリアル変換アダプタにしてみた 〜 Raspberry Pi Pico の UART コンソールを使う 〜
  • PayPay STEP の新基準をクリアしてみた 〜住民税と健康保険料の支払で1.5%還元〜
  • IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • サーバの MAC アドレスを偽装 (MAC spoofing) してエッジ・スイッチの MAC アドレスと同一にしてみた 〜 プロバイダの接続台数制限を回避する
  • 学習リモコンの赤外線波形データを変換してみた 〜 Nature Remo で取得した波形データを PC-OP-RS1 用に変換
  • IFTTT に登録できないのでお蔵入りになってた Eco Plugs RC-028W & CT-065W が、UDP パケットを送るだけでコントロールできた！
  • IoT な人感センサをトリガーとした照明の点灯/消灯を IFTTT を使って行っていたけど反応が遅いので IFTTT をショートカットしてみた
  • UEFI ブートでキーボードが無いと GRUB がハングするバグを修正してみた
  • Windows 10 上の VMware Workstation Player のゲストOS でタグVLAN を使ってみる
  • NETGEAR のスマートスイッチ GS108E/GS116E のポートごとの通信量を取得して Cacti でグラフ化してみた 〜 通信量を見ることができない Wi-Fi中継機への対処法 〜
  • 配当金領収証の上限は 100万円、複数枚でも簡易書留で送付できるらしい 〜 祝 KLab(株) 初配当 (特別配当 9円) 〜
  • ZenFone3 で撮影した写真ファイル内の、位置情報が壊れている Exif データを修復するコードを書いてみた
  • カナダで Project Fi を使ってみた 〜 現地でプリペイドSIMを買うより安いし、同時に複数のスマホで使える
  • ZenFone3 Deluxe を Nougat 7.0 にしたらデータ通信できなくなった 〜 アンロックして Android 6 に戻す 〜
  • カナダで fido と WIND と Virgin のプリペイド SIM カードを買ってみた
  • 自分戦略 〜 なぜ成功できないのか？
  • 米国 BYOD プリペイド SIM の GoSmart を使ってみた 〜 $35 で 30日間 かけ放題、4G データ 2.5GB 〜
  • シンガポール SingTel 3G プリペイド SIM を 4G へアップグレードしてみた
  • お金と自由 〜 なぜ貯められないのか？
  • ALS Ice Bucket Challenge
  • 台灣大哥大のプリペイド SIM のデータパッケージ型 (計量型 NT$180 1GB 30日) プランを日本から Web で購入してみた
  • nexus5 の充電をワイヤレス (Qi 給電) にしたので、バックアップもワイヤレスにしてみた 〜 ssh サーバを nexus5 上で動かす 〜
  • Nexus5 を買って、香港で LTE を使ってみた (中國移動香港 4G/3G 數據及話音 プリペイド SIM カード)
  • nexus5 に ストラップを付けてみた ～テグスを使って～
  • Z80 コンピュータを作ってみた (27年前のお話)
• Recent Comments
  • ICYMI Python on Microcontrollers Newsletter: CircuitPython 8.2.0-beta.1, Focus on RISC-V and More! #CircuitPython #Python #micropython #ICYMI @Raspberry_Pi « Adafruit Industries – Makers, hackers, artists, designers and engineers! on Wio Node (ESP8266) に MicroPython をインストールして、Wi-Fi 照度＆人感センサを作ってみた
  • SnowCamp on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • hiroaki_sengoku on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • SnowCamp on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • SnowCamp on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • hiroaki_sengoku on 自分戦略 〜 なぜ成功できないのか？
  • T on 自分戦略 〜 なぜ成功できないのか？
  • hiroaki_sengoku on 自分戦略 〜 なぜ成功できないのか？
  • T on 自分戦略 〜 なぜ成功できないのか？
  • hiroaki_sengoku on 新卒の内定者とかけて、がらがらの道路ととく。その心は？
  • 松本真治 on 新卒の内定者とかけて、がらがらの道路ととく。その心は？
  • 松本真治 on 新卒の内定者とかけて、がらがらの道路ととく。その心は？
  • KDK研究所 on Z80 コンピュータを作ってみた (27年前のお話)
  • hiroaki_sengoku on 個人でも気軽に買える安価なスマートスイッチ GS108E (IEEE 802.1Q タグVLAN 機能付) を使ってみた 〜 UCOM光 マンション全戸一括タイプの戸内配線上にプライベートネットワークを構築
  • fire on Android 端末上で透過型プロキシを動かしてみる 〜 VPN のように使えて、しかも省電力
  • hiroaki_sengoku on 自分戦略 〜 なぜ成功できないのか？
  • なな on 自分戦略 〜 なぜ成功できないのか？
  • うさこさん on stone に Server Name Indication (TLS 拡張) 機能を実装
  • hiroaki_sengoku on stone に Server Name Indication (TLS 拡張) 機能を実装
  • うさこさん on stone に Server Name Indication (TLS 拡張) 機能を実装
  • 浜田 on HP ProLiant ML115 で、IPMI ハードウェア・ウォッチドッグ・タイマー ipmi_watchdog を使ってみる
  • 朱酒 on カナダで Project Fi を使ってみた 〜 現地でプリペイドSIMを買うより安いし、同時に複数のスマホで使える
  • yas on ZenFone3 Deluxe を Nougat 7.0 にしたらデータ通信できなくなった 〜 アンロックして Android 6 に戻す 〜
  • phmpk on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • ゆっち on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • hiroaki_sengoku on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • phmpk on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • ゆっち on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • ゆっち on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • hiroaki_sengoku on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？