意外と知らない!?SSH付き共用サーバーの危険な落とし穴


ssh-ps-aux

当サイトでも利用しているエックスサーバーは、共用サーバーにもかかわらずSSHが使えることで大変便利なのですが、あるコマンドを実行すると共有しているサイトの情報が見えてしまいます。
これらの情報を基にパスワードが予測できるだけならまだしも、実行中のプロセスによっては、ユーザー名パスワードなどが平文で表示されてしまうのです。
普段から専用サーバーに慣れている方には、以外な盲点ではないでしょうか?


共用サーバーの落とし穴

その悪魔のようなコマンドがこちら!

ps aux

これは本来、現在実行中のプロセスを表示するコマンドなのですが、共用サーバーの場合、サーバーを共有している全てのユーザーが実行しているプロセスが表示されるのです。

データベースのバックアップ中

エックスサーバーバックアップしてくれているのですが、復元しようとすると有料になってしまいます。
そこで、自分でバックアップをしているのですが、私が最も気になったのが、データベースバックアップ中に接続するユーザー名パスワードが見えてしまうことです。

当サイトでも毎度お馴染みのエックスサーバー。実は、MySQLデータベースのバックアップを自動で取っているとのこと。さすが!これで何か問題が起こっても安心安心...と高を括ってたら、思わぬ落とし穴が!バックアップデータを貰うための手数料が高いこと。エックス...
エックスサーバーでMySQLデータベースを自動バックアップする方法 - Minory
もし、SSHを利用できる共有サーバで、この記事をそのまま真似をした方がいらっしゃるのなら、早急に書き換えることをオススメします。

設定ファイルを作成する

ダメな書き方

まずは以前の記事で紹介しました、やってはいけない書き方をおさらいしておきます。

mysqldump -h[ホスト名] -u[ユーザー名] -p[パスワード] [データベース名] > ~/backup/dump_$(date +%y%m%d).sql

このように書いて実行すると、実行中にこの一文がそのまま表示され、ホスト名データベース名だけでなく、ユーザー名パスワードがそのまま丸見えになってしまいます。
実行されている場合のみですが、バックアップする時間帯はだいたい夜中だと相場が決まっているので、ある程度予測が立ってしまいます。

良い書き方

では、どのように回避するかをご紹介します。
mysqldumpコマンドには、設定ファイルを読み込む[–defaults-file]オプションがあります。
ファイルに接続先ホスト名ユーザー名パスワードを記載しておき、その設定ファイルを使ってバックアップする方法です。
まずは設定ファイルを作ります。

設定ファイル「bk.cnf(例)」

[client]
host=[ホスト名]
user=[ユーザー名]
password=[パスワード]

次に、[–defaults-file]オプションを使って設定ファイルのファイルパスを指定します。

バックアップ用シェルスクリプト

mysqldump --defaults-file=~/path/to/bk.cnf db_name1 > ~/path/to/db_name1_$(date +%y%m%d).sql
mysqldump --defaults-file=~/path/to/bk.cnf db_name2 > ~/path/to/db_name2_$(date +%y%m%d).sql

参考サイト

スペース・アイ株式会社、および株式会社みどりは名古屋市のシステム開発、ソフトウェア開発、Webコンサルティングを行う会社です。
知ってしまうと結構怖いレンタルサーバーの落とし穴|スペース・アイ株式会社 - www.space-i.com

以上、これでまた安心して眠れますね。



コメント

コメントを投稿

このブログの人気の投稿

Linuxでファイルの改行コードLF⇔CRLFを変換する方法

イメージ
前回、 Linux で文字コードがUTF-8のファイルに対して、BOM付き⇔BOMなしを 変換 する方法をご紹介しました。 最近ではあまり意識しなくなりましたが、UTFー8にはBOM(byte order mark)という厄介な存在があります。今回は、LinuxでこのBOMを付けたり外したりする方法をご紹介します。BOMとは?BOMを簡単に説明すると、そのファイルがUnicodeで符号化されているかどうかを、先... UTF-8のBOM付きとBOMなしを変換する方法(Linux) - Minory 今回は、 改行コード の LF ⇔ CRLF を 変換 する方法をご紹介します! 3つの改行コード 面倒なことに、 OS によって 改行コード が異なります。 LF: UNIXやUnix系のシステム。Linux、AIX、Xenix、macOS、BeOS、Amiga、RISC OSなど。 CR+LF: CP/M、MP/M、MS-DOS、OS/2、Microsoft Windows。 CR: コモドールによるシステム、Apple IIファミリ、Mac OS(バージョン9まで)、OS-9。 改行コード – Wikipedia 普段からよく使う 改行コード は、 Linux の LF と Window の CRLF です。 利用する システム によっては、これらの 改行コード の違いが邪魔して、動かなかったりします。 そこで、 LF から CRLF 、または CRLF から LF に変換してみましょう。 改行コードを確認する fileコマンドを使う BOM編でもご紹介した file コマンド を利用して確認できます。 file sample.txt このように入力すると、 CRLF の場合は以下のように表示されます。 sample.txt : UTF-8 Unicode (with BOM) text, with CRLF line terminators. 「 with CRLF line terminators 」と表示されれば CRLF 、無ければ LF ということになります。 odコマンドを使う 以下のように実行すると、 od -c sample.txt 改行している箇所が「 \n ( LF ...
続きを読む

RHEL 7でスタティック(静的)ルートを追加する4つの方法

イメージ
今回は、 Linux の ルーティング テーブル に対して、 スタティック ( 静的) ルート を 追加 する方法をいくつかご紹介します。 と言うのも、場合によっては コマンド がなかったり、設定した結果が思うように返ってこないこともあるので、どのような状況にも対応できるように、知っていても損はないと思います。 スタティック(静的)ルートとは? スタティックルート とは、管理者が宛先 ネットワーク への最適な ルート を手動で設定した ルート のことで、 ネットワーク の状態に変化があった場合でも、他に有効な宛先 ルート があっても、自動的にその ルート に切り替わることはありません。 ルーティングについてはじめから解説。 スタティックルーティングとは - www.infraexpert.com 設定内容の確認方法 ip コマンド を利用して、 ルーティング の設定内容を確認します。 ip r(route) すると、このように表示されます。 default via 192.168.100.254 dev ens160 proto static metric 100 192.168.100.0/24 dev ens160 proto kernel scope link src 192.168.100.10 metric 100 192.168.100.0/24 via 192.168.100.254 dev ens160 proto static metric 101 上の2行はデフォルトで設定されているものですね。 3行目の ルーティング 設定例を見ると、以下のように設定されています。 IPアドレス:192.168.100.0 サブネット:255.255.255.0 ゲートウェイ:192.168.100.254 インターフェース:ens160 メトリック:101 次に、以下の ネットワーク デバイス の情報を見てみましょう。 ip a このように表示されるはずです。 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopbac...
続きを読む

UTF-8のBOM付きとBOMなしを変換する方法(Linux)

イメージ
最近ではあまり意識しなくなりましたが、 UTFー8 には BOM ( byte order mark )という厄介な存在があります。 今回は、 Linux でこの BOM を付けたり外したりする方法をご紹介します。 BOMとは? BOM を簡単に説明すると、そのファイルが Unicode で符号化されているかどうかを、先頭の見えない 3バイト で表現するものです。 バイトオーダーマーク (英: byte order mark) あるいはバイト順マーク(バイトじゅんマーク)は通称BOM(ボム)といわれる、Unicodeの符号化形式で符号化したテキストの先頭につける数バイトのデータのことである。このデータを元にUnicodeで符号化されていることおよび符号化の種類の判別に使用する。 バイトオーダーマーク – Wikipedia 要は、この 先頭の見えない3バイト が邪魔して、多くのシステムで問題になっています。 LinuxでBOMを変換する まず、以下のコマンドで対象の ファイル が BOM付き か、 BOMなし なのか確認できます。 file sample.txt 実行した結果はこのように表示されます。 sample.txt : UTF-8 Unicode (with BOM) text. この「 (with BOM) 」があったら BOM付き ということですね。 逆になかったら BOMなし という事になります。 それでは 変換 していきましょう。 ここでは、 vi のオプション -c を利用して、 ファイル を開かずに BOM を 変換 していきます。 BOMなし → BOM付き BOM付き にするには、 vi で「 bomb 」をセットして保存しているだけです。 vi -c ‘set bomb’ -c ‘wq!’ sample.txt これで BOM付き になりました! BOM付き → BOM なし 反対に BOMなし にするには「 nobomb 」をセットします。 vi -c ‘set nobomb’ -c ‘wq!’ sample.txt これで BOMなし になりました! あとは先程の file コマンド で確認してみてください。
続きを読む