仙石浩明の日記

2006年4月4日

DB サーバのセキュリティ向上策 (2)

KLab で採用している DB サーバのセキュリティ向上策を説明する前に、 DB アクセスの際に SSL クライアント認証を行なう方法について説明します。

DB サーバへのアクセスにおいて SSL クライアント認証を必須とし、

(a) 開発者が (デバッグ目的等で) DB アクセスを行なう時は、 その開発者個人が管理する SSL 秘密鍵を用いてアクセスするようにし、

(b) プログラムが DB アクセスを行なう時は、 そのプログラムの実行権限でのみアクセスできる SSL 秘密鍵を 用いるようにすれば、

普通のパスワード認証よりはセキュリティを向上させることができます。 SSL クライアント認証をサポートしている DB サーバであれば、 その機能を有効にするだけで良いので、とても手軽な方法です。

ここで注意したいのは、 普通に SSL を使う (つまり SSL による暗号化のみを行なう、 あるいは暗号化に加えて SSL サーバ認証のみ行なう) ことは、 あまり意味がない、ということです。

データセンタのラック内の通信の盗聴を心配しても仕方がないわけで、 通信路を暗号化すること自体には意味はないでしょう。 また、サーバ認証は接続先が意図したサーバか確認するための手段ですが、 これもラック内で、通信相手が意図通りのサーバでないか心配しても 仕方がないですね。

SSL クライアント認証をサポートしていない DB サーバでも、 拙作 stone を使えば、手軽に SSL クライアント認証を付け加えることができます。

例えば DB サーバへのアクセスを unix ドメインソケット /path/to/socket でのみ 受け付けている場合、このソケットへのアクセス権限を DB サーバの実行ユーザ (ここでは uid が 1001 番とします) 権限に限定して、 local ユーザがアクセスできないようにしておいて、 stone を次のように実行します。

stone -o 1001 -z verify \
      -z CApath=/usr/local/ssl/certs \
      -z key=/usr/local/ssl/private/db.pem \
      /path/to/socket 12345/ssl

「-z verify」が SSL クライアント認証を必須とするためのオプションです。 「-z CApath=/usr/local/ssl/certs」オプションで、 CA の証明書を置いてあるパスを指定します。

すると、その CA が署名した SSL 証明書に対応する秘密鍵を 持っているクライアントが、その SSL 証明書を提示して ポート 12345 番に SSL 接続してきた時のみ、 stone はそれを /path/to/socket へ中継します。

CA が署名した SSL 証明書ならなんでも OK とするのではなく、 特定の CA の特定の証明書のみを受け付ける場合は、

stone -o 1001 -z verify \
      -z CApath=/usr/local/ssl/certs \
      -z key=/usr/local/ssl/private/db.pem \
      -z depth=1 \
      -z re1='/CN=KLAB Root CA[/$]' \
      -z re0='/CN=dbuser[0-9]*[/$]' \
      /path/to/socket 12345/ssl

などのように、SSL証明書の発行対象の名称 (CN) を特定するための 正規表現 (この例では「/CN=dbuser[0-9]*[/$]」) を指定します。

なお、ここでいう証明書は、いわゆる「オレオレ証明書」で構いません。 つまり DB サーバの管理者が必要に応じて何枚でも独自に発行できます。

「オレオレ証明書」が問題となるのは、認証する側が認めていない CA が 証明書を発行する場合です。 例えばサーバ認証を行なう場合は、認証する側は WWW ブラウザなどになります。 WWW ブラウザのユーザが認めていない CA を勝手に立てて証明書を発行し、 ユーザにきちんと説明することなくその証明書を受け入れることを 強要すべきではありません。これがいわゆる「オレオレ証明書」です。

一方、クライアント認証の場合は、認証を行なうのはサーバ側であるので、 サーバの管理者が認める CA ならばなんでも構いません。 もちろんサーバの管理者が独自に立てた CA で OK です。

上記の例では、KLab で立てた「KLAB Root CA」が発行した証明書で、 かつその発行対象の名称 (CN) が「dbuser」+ 0桁以上の数字 の場合 のみ接続を受け付けます。

DB へアクセスする必要がある開発者と、DB へアクセスするプログラム それぞれに別々の証明書を発行すれば、DB 側で 誰からのアクセスか特定することが可能になります。

しかしながら、

(1) プログラム用の秘密鍵を誰が管理するのか？

(2) SSL クライアント認証にともなう負荷増大

という問題が残ります。(2) はコストを度外視すれば済むので、 高いパフォーマンスが要求されない場合は問題とならないかも知れません。 が、(1) はなかなかやっかいです。

プログラムの開発者は、プログラムの実行権限で読むことができるファイルは 何でも読めます。例えば、秘密鍵を読んで特定の場所へコピーするよう プログラムを改変することは至って簡単でしょう。 したがって、プログラム専用の秘密鍵というのは実は 開発者全員で共同管理している秘密鍵と大差ありません。

プログラムの開発者なら誰でも DB にアクセスできる、 という状況を許容するなら、わざわざクライアント認証のような 負荷の高い方法を選択しなくても、と思うのが人情です。

ではどういう方法がよいでしょうか？

(続きは次回に)

Filed under: stone 開発日記,システム構築・運用 — hiroaki_sengoku @ 08:03

Comments (0)

No Comments »

No comments yet.

RSS feed for comments on this post.

Leave a comment

• 京都大学大学院工学研究科情報工学専攻修了。株式会社日立製作所で遺伝的アルゴリズムおよびネットワーク基盤技術の研究に従事。 1997年に情報処理学会山下記念研究賞受賞。 1998年、電気学会先端システム技術の産業応用調査専門委員会委員。 2000年、KLab株式会社取締役CTOに就任。 2011年、同 退任。 1995年以来、TCP/IPパケットリピータ「stone」や、Palm上の時刻表ツール「Time Table Viewer」などを開発・発表する。また、堅牢で安定したサイト gcd.org を運営し、会員にサービスを提供。 そこで得たサーバー構築ノウハウを日経Linuxで、2000年4月から 2年間連載
• Categories
  • Android (29)
  • Hawaii (10)
  • IPv6 (9)
  • La Fonera (12)
  • SIM (19)
  • stone 開発日記 (29)
  • その他 (24)
  • システム構築・運用 (83)
  • ハードウェアの認識と制御 (30)
  • プログラミングと開発環境 (43)
  • 元CTO の日記 (30)
  • 技術と経営 (35)
  • 技術者の成長 (43)
  • 自己啓発 (30)
  • 香港 (12)
• Blog内検索
• Archives Archives Select Month March 2024  (1) July 2023  (1) June 2023  (1) May 2022  (1) March 2022  (1) August 2021  (1) July 2021  (1) September 2020  (2) December 2019  (1) November 2019  (2) September 2019  (1) August 2019  (1) April 2018  (1) March 2018  (1) August 2017  (1) July 2017  (1) April 2017  (1) August 2016  (1) November 2015  (1) October 2015  (1) October 2014  (2) August 2014  (1) January 2014  (1) December 2013  (2) November 2013  (2) March 2013  (2) February 2013  (1) December 2012  (1) September 2012  (1) July 2012  (1) May 2012  (1) March 2012  (1) February 2012  (2) January 2012  (2) November 2011  (1) October 2011  (1) August 2011  (1) July 2011  (2) June 2011  (2) May 2011  (3) April 2011  (1) March 2011  (2) February 2011  (2) January 2011  (3) December 2010  (3) November 2010  (2) October 2010  (1) September 2010  (2) August 2010  (1) July 2010  (3) June 2010  (1) May 2010  (2) April 2010  (2) March 2010  (2) February 2010  (2) January 2010  (2) December 2009  (4) November 2009  (1) October 2009  (3) September 2009  (3) August 2009  (1) June 2009  (1) May 2009  (1) April 2009  (1) March 2009  (1) February 2009  (1) January 2009  (2) December 2008  (4) November 2008  (1) October 2008  (1) August 2008  (1) July 2008  (4) June 2008  (2) May 2008  (1) April 2008  (4) March 2008  (2) January 2008  (7) December 2007  (7) November 2007  (2) October 2007  (3) September 2007  (5) August 2007  (6) July 2007  (2) June 2007  (3) May 2007  (3) April 2007  (2) March 2007  (3) February 2007  (2) January 2007  (6) December 2006  (8) November 2006  (7) October 2006  (4) September 2006  (2) August 2006  (8) July 2006  (12) June 2006  (13) May 2006  (34) April 2006  (53) March 2006  (24)
• 人気記事
  • Z80 コンピュータを作ってみた (27年前のお話)
  • Android 端末 IS01 のカーネルを入れ替えてみた 〜 さよならデッカード LSM
  • 生涯 「こだわらないエンジニア」 宣言
  • お金と自由 ～ なぜ貯められないのか？
  • なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • 自分戦略 〜 なぜ成功できないのか？
  • 成功しない方法
  • 「ソフトウェア開発」は「モノ作り」ではない
  • 技術力が高い人こそ、ビジネスモデルの良し悪しにもっと敏感になるべき
  • 技術者の成長に役立つ会社とは？(1)
  • 技術者を目指す学生さんたちへ
  • コミュニケーション能力の育成を第一とする教育が格差社会を救う
  • NFS と AUFS (Another Unionfs) を使って、ディスクレス (diskless) サーバ群からなる低コスト・高可用な大規模負荷分散システムを構築する
  • 新規一括 0円の Galaxy Nexus (SC-04D) を買ってみた ～ 国際版 Galaxy Nexus と全く同じにする
  • Perl の非同期I/Oモジュール POE を使って VPN-Warp relayagent を書いてみました
  • chroot されたディレクトリから脱出してみる
  • 故障した HDD WD10EACS を RMA (Return Merchandise Authorization, 返却承認) 手続きで交換してみた
  • ベンチャーが学校教育に求めること
  • IT企業には技術者と経営者の両方と話せるバイリンガルが必要
  • ソフトウェア産業の究極の振興策
  • 断片的な知識と体系的な知識
  • プログラマ 35歳 定年説
  • プログラマを目指すのに適した時代、適していない時代
• Recent Posts
  • 突然死した Pixel4 から nanaco 残高を救い出した話
  • exFAT な Ubuntu ブータブル USBメモリ (exFAT Bootable USB Flash Drive) の作り方
  • Wio Node (ESP8266) に MicroPython をインストールして、Wi-Fi 照度＆人感センサを作ってみた
  • WSL2 (Windows Subsystem for Linux 2) で物理ディスク上の独自 OS を動かしてみた
  • 所得税を分割して、複数の高還元率クレジットカードを何回も使って納付してみた
  • M5Stack ATOM Lite を USBシリアル変換アダプタにしてみた 〜 Raspberry Pi Pico の UART コンソールを使う 〜
  • PayPay STEP の新基準をクリアしてみた 〜住民税と健康保険料の支払で1.5%還元〜
  • IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • サーバの MAC アドレスを偽装 (MAC spoofing) してエッジ・スイッチの MAC アドレスと同一にしてみた 〜 プロバイダの接続台数制限を回避する
  • 学習リモコンの赤外線波形データを変換してみた 〜 Nature Remo で取得した波形データを PC-OP-RS1 用に変換
  • IFTTT に登録できないのでお蔵入りになってた Eco Plugs RC-028W & CT-065W が、UDP パケットを送るだけでコントロールできた！
  • IoT な人感センサをトリガーとした照明の点灯/消灯を IFTTT を使って行っていたけど反応が遅いので IFTTT をショートカットしてみた
  • UEFI ブートでキーボードが無いと GRUB がハングするバグを修正してみた
  • Windows 10 上の VMware Workstation Player のゲストOS でタグVLAN を使ってみる
  • NETGEAR のスマートスイッチ GS108E/GS116E のポートごとの通信量を取得して Cacti でグラフ化してみた 〜 通信量を見ることができない Wi-Fi中継機への対処法 〜
  • 配当金領収証の上限は 100万円、複数枚でも簡易書留で送付できるらしい 〜 祝 KLab(株) 初配当 (特別配当 9円) 〜
  • ZenFone3 で撮影した写真ファイル内の、位置情報が壊れている Exif データを修復するコードを書いてみた
  • カナダで Project Fi を使ってみた 〜 現地でプリペイドSIMを買うより安いし、同時に複数のスマホで使える
  • ZenFone3 Deluxe を Nougat 7.0 にしたらデータ通信できなくなった 〜 アンロックして Android 6 に戻す 〜
  • カナダで fido と WIND と Virgin のプリペイド SIM カードを買ってみた
  • 自分戦略 〜 なぜ成功できないのか？
  • 米国 BYOD プリペイド SIM の GoSmart を使ってみた 〜 $35 で 30日間 かけ放題、4G データ 2.5GB 〜
  • シンガポール SingTel 3G プリペイド SIM を 4G へアップグレードしてみた
  • お金と自由 〜 なぜ貯められないのか？
  • ALS Ice Bucket Challenge
  • 台灣大哥大のプリペイド SIM のデータパッケージ型 (計量型 NT$180 1GB 30日) プランを日本から Web で購入してみた
  • nexus5 の充電をワイヤレス (Qi 給電) にしたので、バックアップもワイヤレスにしてみた 〜 ssh サーバを nexus5 上で動かす 〜
  • Nexus5 を買って、香港で LTE を使ってみた (中國移動香港 4G/3G 數據及話音 プリペイド SIM カード)
  • nexus5 に ストラップを付けてみた ～テグスを使って～
  • Z80 コンピュータを作ってみた (27年前のお話)
• Recent Comments
  • ICYMI Python on Microcontrollers Newsletter: CircuitPython 8.2.0-beta.1, Focus on RISC-V and More! #CircuitPython #Python #micropython #ICYMI @Raspberry_Pi « Adafruit Industries – Makers, hackers, artists, designers and engineers! on Wio Node (ESP8266) に MicroPython をインストールして、Wi-Fi 照度＆人感センサを作ってみた
  • SnowCamp on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • hiroaki_sengoku on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • SnowCamp on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • SnowCamp on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • hiroaki_sengoku on 自分戦略 〜 なぜ成功できないのか？
  • T on 自分戦略 〜 なぜ成功できないのか？
  • hiroaki_sengoku on 自分戦略 〜 なぜ成功できないのか？
  • T on 自分戦略 〜 なぜ成功できないのか？
  • hiroaki_sengoku on 新卒の内定者とかけて、がらがらの道路ととく。その心は？
  • 松本真治 on 新卒の内定者とかけて、がらがらの道路ととく。その心は？
  • 松本真治 on 新卒の内定者とかけて、がらがらの道路ととく。その心は？
  • KDK研究所 on Z80 コンピュータを作ってみた (27年前のお話)
  • hiroaki_sengoku on 個人でも気軽に買える安価なスマートスイッチ GS108E (IEEE 802.1Q タグVLAN 機能付) を使ってみた 〜 UCOM光 マンション全戸一括タイプの戸内配線上にプライベートネットワークを構築
  • fire on Android 端末上で透過型プロキシを動かしてみる 〜 VPN のように使えて、しかも省電力
  • hiroaki_sengoku on 自分戦略 〜 なぜ成功できないのか？
  • なな on 自分戦略 〜 なぜ成功できないのか？
  • うさこさん on stone に Server Name Indication (TLS 拡張) 機能を実装
  • hiroaki_sengoku on stone に Server Name Indication (TLS 拡張) 機能を実装
  • うさこさん on stone に Server Name Indication (TLS 拡張) 機能を実装
  • 浜田 on HP ProLiant ML115 で、IPMI ハードウェア・ウォッチドッグ・タイマー ipmi_watchdog を使ってみる
  • 朱酒 on カナダで Project Fi を使ってみた 〜 現地でプリペイドSIMを買うより安いし、同時に複数のスマホで使える
  • yas on ZenFone3 Deluxe を Nougat 7.0 にしたらデータ通信できなくなった 〜 アンロックして Android 6 に戻す 〜
  • phmpk on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • ゆっち on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • hiroaki_sengoku on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • phmpk on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • ゆっち on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • ゆっち on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • hiroaki_sengoku on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？