Semantic Web – WordPress

phpPgAdmin / phpMyAdmin

leave a comment »

Xrea.com さんのサーバでは、データベース MySQL, PostgreSQL を複数同時使用できます。両DBをリモートで管理するデータベース補助プログラム (それぞれ) phpPgAdmin, phpMyAdmin も管理画面で簡単に自動インストールできます。
しかし、絶対パス /virtual/ユーザーID/public_html/log/
内にデフォルトで設定される .htpasswd, .htaccess ファイル はごくシンプルなものです。たとえば、Basic認証情報は、【 ユーザー名:ユーザーID, パスワード:****(4桁) 】です。
つまり、ユーザーID は、オリジナルドメインの運用でなければ、だれでも URL から読み取ることができます。パスワードは、ユーザー管理用パスワード 12桁 ************ の 上4桁(文字)です。暗号強度は、決して安全なものではありません。
しかも、このパスワードがクラッキングされると、ユーザー管理用パスワード 12文字をマスク法でクラッキングできますので、暗号強度は 8桁 (12桁-4桁) に著しく低下します。
    http://tokyo-pax.co.jp/200207.htm
また、phpPgAdmin, phpMyAdmin にログインする際、.htaccess ファイル は http:// のアクセスも可能となっていますので、「オンラインパスワードクラッキング」ツールなどが利用されると、とても危険です。
参照ページ:
    http://akademeia.info/main/lecture1/tokubetu_online_password_cracking.htm
絶対パス /virtual/ユーザーID/public_html/log/ には、ログ閲覧のページも含まれます(ただし、管理画面で有効とした時に限ります)。
よって、暗号強度をより安全なものにするための対策として、ドットファイル .htaccess / .htpasswd を以下のように変更します。
(1) 「ユーザー名」を【ユーザーID】以外に変更し、パスワードは Xrea.com さんの linux サーバで許可されている 8 桁のランダムな英数字 (大小英文字, 数字の組み合わせなど) に変更する。
検索サイトにて、キーワード「パスワード生成ツール htpasswd」を入力すると、オンラインで htpasswd用の暗号化パスワードを自動生成するサイトがいくつもヒットします。
他の参照ページ:
  · 「BooCGIプログラム」
    http://www.booboo.ne.jp/contents/cgi/program/limit/index.html
    http://www.booboo.ne.jp/contents/cgi/program/limit/bpcl/bpcl.pl
参照サイトでは、アクセス制限cgi はリンクウエアで提供されています。また、商用サイトでの使用が禁止されていますので、主催者のページをよくご覧下さい。
Apache を利用した自サーバであれば、htpasswd コマンド に -m オプション を使用すれば、9桁以上の長いパスワードが作成できます (: Xrea.com さんのサーバにSSH接続すると利用できる 制限シェル( rbash ) は htpasswd コマンドを許可していません)。
  · 「ok24.jp – 技術ドキュメント Apache:htpasswd コマンド」
    http://www.ok24.jp/tech/apache_htpasswd.html
(2) phpPgAdmin, phpMyAdmin (および、ログ閲覧) は https:// のみのアクセスとする。
Xrea.com さんのサーバでは、.htaccess 内に

Order deny,allow
Deny from all
Allow from 192.168.1 219.101.229

を追記し、アクセスの URL は、
    http://sb.xrea.com/showthread.php?&threadid=6646
を参照します。
https://ss1.xrea.com/ユーザーID.s***.xrea.com/log/phpmyadmin/
暗号強度 128bit のSSL通信のみ許可しますので、クラッキングのためには、暗号強度 128bitで 8桁パスワードを解読することになりますが、Basic認証のユーザー名は変更されていますので、「ユーザーID」ではアクセスできません。
なお、念のため(ブラウザからドットファイルに直接アクセスされないように)、.htaccess 内に

<FilesMatch "^\.(htaccess|htpasswd|htgroup)$">
Order deny,allow
Deny from all
</FilesMatch>

を追記します。
固定リンク(関連エントリ):
  · 「SSLで暗号化すべきウエブページが http でアクセスできる」
    http://www.osbsd.net/archives/000082.php
  · 「パスワードの暗号強度」
    http://k-12.be/notes/000088.php
  · .htaccess ファイルにより SSL 接続のみ許可する方法
    http://shellscript.biz/archives/000041.html
    

Written by support

2005/06/19 @ 10:16

カテゴリー: Server

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。