グローバルDNSレコードはphpMyAdminのセキュリティリスクですか?
PhpMyadminなどのサービスにアクセスするには、ドメイン名が必要です。グローバルDNSレコードを追加する代わりに、ローカルDNSレコードを作成できます(例:/etc/hosts)サイトにアクセスします。
グローバルDNSレコードが作成されなかった場合、他の一般的なセキュリティ対策(HTTPS、パスワード認証など)が実施されていると想定すると、セキュリティが向上しますか?
これは「あいまいさによるセキュリティ」とみなされ、ほとんどまたはまったく保護を提供しません。
/ etc/hostsファイルはDNSではありません。 DNSの前身であり、誰でもDNS内の自分のレコードを変更できます。
ドメイン名は主に人間が使用するためのものです...コンピュータはこれをIPアドレスに変換してそれを使用します(HTTP 1.1以降ではホスト名を送信します)。ドメイン名は仮想ホスト構成で機能しますが、セキュリティ防御の一部ではありません。
セキュリティを強化するには、次のいずれかを追加することを検討してください。
- 自分のIPをホワイトリストに登録し、その他すべてをブラックリストに登録する
- oAuth/SAML経由の外部ログインプロバイダー(Googleのログインシステムなど))
- クライアント側の証明書を使用してアクセスを承認する
これらはすべて、セキュリティを最低から最高まで改善しますが、最も簡単から最も困難までも改善します。
いいえ、セキュリティは向上しません。攻撃者は、ドメインとIPを知っていれば、DNSレコードが存在するかどうかに関係なく、phpMyAdminに接続する可能性があります。たとえば、自分のホストファイルに情報を入れることができます。
他のポスターが言ったように、これは攻撃面を最小化します-それはあなたの防御線の一部であるかもしれないが唯一の部分ではないかもしれない「あいまいさによるセキュリティ」です。
/ phpMyAdminが追加されたすべてのIPをスキャンすると、攻撃対象領域の縮小が機能するのは、その仮想ホストとそれ以外の場合、攻撃者とそのスクリプトがphpmyadminインストールを見つけた場合のみです。
デフォルトのポートを80/443からランダムなポートに変更して、攻撃対象をさらに減らし、変更を最小限に抑えることもできます。単純なスキャンでphpmyadminのインストールが見つかります。
より良いソリューション:
- iPホワイトリストに時間を費やす
- サーバーへの直接VPNを使用する
- またはSSHトンネル
- .htaccess
最も重要:ソフトウェアの更新を行い、長い/安全なパスワードを選択します。
あなたがHTTPSに言及するように。これはトラフィックを暗号化して、誰もあなたの接続を盗聴できないようにするためのものです。これ自体はphpmyadminをより安全にするものではありません!