Apache & mod_ssl を利用してSSLを使用しています。
秘密鍵に署名する?方法
http://mm.apache.jp/pipermail/apache-users/2001- …
と、
SSLPassPhraseDialog ディレクティブを使ってパスワードを答えるスクリプトを実行する方法
があると思います。
どちらを採用すべきでしょうか?
またそのセキュリティー上の理由は?
お願いいたします。
A 回答 (2件)
- 最新から表示
- 回答順に表示
No.2
- 回答日時:
> では、起動のたびにパスワードを入力する以外に、どのようにしたらセキュアな運用ができるのでしょうか?
サーバに侵入されないことです。キーペアファイルはサーバの中で使われるだけであって、通常の運用をしていれば外に公開されることは一切ありません。従って、サーバに侵入しない限り、第3者がキーペアファイルの内容を知ることはできないのです。
そもそも、パスワード (正確には 3DES による暗号化) はキーペアファイルの内容を読み取られないようにするために設定するものなので、起動のたびにパスワードを入力する以外にセキュアにする方法は、
1. 必要なポートを以外を閉じること
2. Telnet 等、セキュアでないアクセス手段を設定しないこと
3. Apache 等へのセキュリティパッチの適用もしくはバージョンアップを適切に行うこと
となります。
そうなりますか・・・。
では、一般的に商用の公開Webサーバなどはどのように運用されているのでしょう?
それなりのAPを運用していれば、サーバが勝手に再起動を起こしてしまうというのは避けられないことですよね。(と言ってしまうとダメ設計者みたいですけど、現実問題として)
それなりの規模であれば、いちいち再起動のたびにパスワードを入れてられませんし。
セキュリティを犠牲にして質問の2つの方法どちらかを採用しているということでしょうね。
No.1
- 回答日時:
キーペアファイルは通常 3DES で暗号化されています。
PEM 形式ファイルの中を見てみれば分かると思いますが、> DEK-Info: DES-EDE3-CBC,AD59B0C4B12B0862
と言うような記述があると思います。
この暗号を解くためのものがパスワードであるわけですから、そのパスワードが見える場所においてあるのであれば、暗号化されていないのと同じ事になってしまいます。
リンク先にある
「Apache+SSLの自動起動」より
> # openssl rsa -in /www/key/key.man -out /www/key/key-nosugn.pem
は暗号化されたパスワードの暗号を解いて暗号化されていないようにするためのコマンドです。
暗号化されていても解読手順が明確なケースと、暗号化されていないケース。結局セキュリティレベル的には変わらないことになります。
ちなみに、3DES による暗号化されたキーペアファイルを作成するには、
$ openssl genrsa -des3 -out sample.pem 1024
としますが、最初から暗号化されていないキーペアファイルを作成するには以下のようにします。
$ openssl genrsa -out sample.pem 1024
案外知らない方が多いようですが・・・。
セキュリティ上同レベルであるということがよく分かりました。ありがとうございます。
では、起動のたびにパスワードを入力する以外に、どのようにしたらセキュアな運用ができるのでしょうか?
ご存知の方がおりましたら、教えて下さい。
宜しくお願い致します。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- PHP eclipse pleiades phpのインストールについて 1 2023/02/03 17:15
- その他(プログラミング・Web制作) 恒久的リダイレクトについて 2 2023/07/13 15:58
- PHP バージョン情報の取得方法について 1 2023/03/15 11:56
- サーバー 別サーバに構築したApache+Tomcatの連携について 2 2023/03/06 23:23
- Windows 10 windowsの起動パスワードについて 1 2022/08/15 10:19
- その他(プログラミング・Web制作) laravel 本番環境でメールが送れません。 1 2023/02/17 17:57
- オープンソース OpenOffice Calc basic で印刷プレビューを表示する方法 1 2023/04/15 12:43
- Outlook(アウトルック) OUTLOOK 新規メール送信は出来るが、受信出来ない。 3 2022/06/03 11:06
- X(旧Twitter) Twitterアカウント継続使用について 1 2022/05/14 09:14
- オープンソース AWSドメイン名でApacheテスト・ページを表示させる方法を教えて下さい。 1 2023/04/26 15:59
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
BitLockerで暗号化したHDDはキ...
-
エニグマ暗号機の構造
-
ブロックチェーンの活用事例は...
-
ヤオコーで運動会の曲(曲名: ...
-
cisco1603の設定について
-
スペルミス(綴り間違い)によ...
-
iPhone用動画保存アプリiCapの...
-
なりすましメール(アドレス詐...
-
YouTubeを見てると、コメント欄...
-
USBメモリの暗号化について
-
スマホのデーターを完全に消す...
-
暗号化アルゴリズムについて教...
-
.htpasswd について
-
ホームズの暗号解読お願いします
-
情報科学概論の暗号解読
-
AES暗号化アルゴリズムの動作モ...
-
タブレット NEXUS 7 「WiFiル...
-
公開鍵暗号
-
ブラウザ、「第三者が簡単に傍...
-
SSL自己証明書の有効期限の目安
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
BitLockerで暗号化したHDDはキ...
-
YouTubeを見てると、コメント欄...
-
【メール】受信メールが暗号化...
-
大容量を暗号化できるソフトに...
-
外付けHDのロックを解除したい
-
今から金や暗号資産を買っても...
-
iPhone用動画保存アプリiCapの...
-
誰か暗号解読してください。中...
-
USBメモリの暗号 Buffalo Secur...
-
仮想通貨、チャートの見方について
-
USBメモリの暗号化について
-
判断推理の問題で困っています(...
-
ヤオコーで運動会の曲(曲名: ...
-
cisco1603の設定について
-
Unixでcryptを使用して暗号化し...
-
9lmとは、恋愛暗号でどういう意...
-
ブロックチェーンの活用事例は...
-
判断推理の問題ですが。
-
ゲームをプレイしていなくてもG...
-
NTFSは暗号化してるって本当で...
おすすめ情報