top


総投稿数 本 
no_

スポンサーサイト

 --------
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
カテゴリ :スポンサー広告 トラックバック(-) コメント(-)
no_1199

phpMyAdmin:挙動がおかしいサーバー発覚。最新版のphpMyAdmin 入れるはめに。そしていつものようにどんどん横にそれる。RPM探しに、Googleカスタム検索!? ・・・ 【サイト運営】

 2009-12-29
 あるサーバで、
 ・phpMyAdminの挙動がおかしく
  ・phpMyAdmin - 2.8.2.4

 ま、それに関係なくとも、セキュリティ
 脆弱性を云々ゆわれる古いバージョン なので、
 ・「phpMyAdmin」に脆弱性が発見されたレポート
   ・phpMyAdmin 2.11.9.5 より前のバージョン
   ・phpMyAdmin 3.1.3.1 より前のバージョン


 最新版を組み込むことに。


 このあたりの情報(phpMyAdmin のインストール)は、
 ・phpMyAdminのインストール
  や
 ・phpMyAdminのインストール/設定 手順(Windows)
  など、優れた指南サイトがあるけれど。
  (※他にも、ぐぐれば、いっぱい出てくる)
 一応私も、顛末 記録しておこう。


FC2ブログランキング にほんブログ村 IT技術ブログ Webサイト構築へ ブログ王ランキング 人気ブログランキング 人気ホームページランキングへ


more

************************************************
◎ 最新版 phpMAdmin インストール の巻
  :サイト運営

************************************************


【手順(そのまんま)】

 ■最新版取得


phpMyAdmin
phpMyAdmin 本日現在で、
 ・Download 3.2.4




  □ダウンロード頁 から
   > ・phpMyAdmin-3.2.4-all-languages.zip を取得 > 解凍

 ■サーバーに FTPアップロード
  ※試しに、何も設定しないでアクセスしてみると・・・
   試しに、何も設定しないでアクセスしてみると・・・
   ・mcrypt 拡張をロードできません。PHP の設定を確認してください
    > php-mcrypt が入っていない、もしくは php.ini の設定が必要
   ・クッキーを有効にしてください
    > 認証方式がデフォルトでは、「クッキー利用(cookie)」


 


 ■mcrypt 拡張
  ・【確認】
   php で、「php-mcrypt」が組み込まれているか?
# rpm -qa|grep php
psa-php5-configurator-1.4.0-cos5.build*****
php-pdo-5.2.9-2.el5.centos
php-gd-5.2.9-2.el5.centos
php5-ioncube-loader-3.1-*****
・・・・・
hp-mbstring-5.2.9-2.el5.centos
php-imap-5.2.9-2.el5.centos
 ・・・無いようだ。
  ・【OSの確認】
   念のために
# uname -a
Linux ********** 2.6.18*******8 #1 SMP Mon Feb 9 20:25:36 MSK 2009 x86_64 x86_64 x86_64 GNU/Linux

 


  ・libmcrypt の取得・組み込み
   > ・Search for rpm name in category: all RPMs
    ※CentOS 5 libmcrypt-2.5.8-4.el5.centos.x86_64.rpm かな
   ・サーバーにアップして、
# rpm -ivh libmcrypt-2.5.8-4.el5.centos.x86_64.rpm
Preparing... ########################################### [100%]
1:libmcrypt ########################################### [100%]
 ・・・入ったようだ。

 


  ・php-mcrypt の取得・組み込み
   phpバージョンの確認。
# php -v
PHP 5.2.9 (cli) (built: Jul 8 2009 05:59:13)

   > ・Directory listing /rpms/egee-SA1/centos5-testing/x86_64/
    ※こちらで(やっと)見つける
     php-mcrypt-5.2.9-2.el5.oat2.x86_64.rpm
   ・サーバーにアップして、
rpm -ivh php-mcrypt-5.2.9-2.el5.oat2.x86_64.rpm
error: Failed dependencies:
php-common = 5.2.9-2.el5.oat2 is needed by php-mcrypt-5.2.9-2.el5.oat2.x86_64
 ・・・おぉ駄目だ。php-common がいるとな。探してきて、
# rpm -ivh php-mcrypt-5.2.9-2.el5.oat2.x86_64.rpm
error: Failed dependencies:
php-common = 5.2.9-2.el5.oat2 is needed by php-mcrypt-5.2.9-2.el5.oat2.x86_64
 ・・・おやおや?これじゃないみたいだな。
    他を探す・・・
   > ・Index of /centos/5/testing/x86_64/RPMS
    ※これか!
     php-mcrypt-5.2.9-2.el5.centos.3.x86_64.rpm
# rpm -ivh php-mcrypt-5.2.9-2.el5.centos.3.x86_64.rpm
Preparing... ########################################### [100%]
1:php-mcrypt ########################################### [100%]
 ・・・入ったようだ。

  ・【確認】
   httpd 再起動して・・・
   httpd 再起動して・・・
   ・おぉぉ。メッセージが消えた。


   ところで、確認
    ・Mcrypt 関数
     いろいろと暗号化できるようだ。
     「暗号」に興味がある・・・とか言っておきながら
     ・暗号解読:これは壮大な歴史絵巻。久々に心躍らされた、「暗号解読」サイモンシン版 ・・・ 【読んだmetaboy】
     まったく利用していなかった。要課題リストに追加。


  ・さらに・・・
   今回、多くの RPMディレクトリ 見させてもらった。
   結構、偏りとかあって、探すの大変だったぞ。


   で、・・・> じゃじゃ~ん。
   10個目の「Googleカスタム検索:RPMよ、どこにあるんだ!?」作成。
   (なんか、当初の目的からどんどんそれてるけど)
   Googleカスタム検索:RPMよ、どこにあるんだ!?
   これからは、この検索エンジンで一発じゃぁ・・・
   今回のだって・・・この通り。
   Googleカスタム検索:RPMよ、どこにあるんだ!?


 戻ろ。


 さて、このまま、ログインしてみると・・・
   試しに、何も設定しないでアクセスしてみると・・・
   ・リンクテーブルを処理するための追加機能が無効になっています
    > 設定ファイルで調整が必要
   ・設定ファイルが秘密のパスフレーズ (blowfish_secret) を必要とするようになりました
    > シークレットパスフレース が設定されていない


  ▼

 


 ■設定ファイル編集
  ・用意されている "config.sample.inc.php" を
   複写・リネームして、"config.inc.php" を用意。
   【編集】
   ・シークレットパスフレース
    (こんな 呼び名ではなにけれど)
$cfg['blowfish_secret'] = '************************'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */
 適当なランダム文字列を設定する。
  ※作成には、こちら拙作の
   「急いでパスワードを作れ!」が便利。ははは。
   急いでパスワードを作れ!
   これを入れ替えて、再読込。
   ・設定ファイルが秘密のパスフレーズ (blowfish_secret) を必要とするようになりました
    は、消えた。

   ・Advanced phpMyAdmin features
    ※私はここの機能はとりあえず必要としないので

$cfg['PmaNoRelation_DisableWarning'] = true;
 として、警告が出ないようにした。
     本当は、
    試しに、何も設定しないでアクセスしてみると・・・
     のような機能が利用できるらしい・・・のだが。
     詳しくは、次のブログが参考になる。
     ・phpMyAdminのインストール
     ・phpMyAdmin 3.2.0.1のインストール


 これで一応、アラート表示も消え、基礎的な利用が可能になった。
 後は気になる「セキュリティリスク」へのレポートにある
 対処を考察。
 ・「phpMyAdmin」に脆弱性が発見されたレポート


 ■セキュリティリスク対応 への考察
  □config.inc.php のアクセス権 other に書き込み権限を与えない。
   ・そのままFTPした状態では、
    パーミッションは、644
    ※書き込み可能にはなっていない > このままでいいのか。
  あるいは、
  □この config.inc.php 自体を削除せよ、と。
   ・しかしそれでは上記のカスタマイズが有効にならない。
  ※このバージョンにした限りは、大丈夫なようだ。


●さらに追記
 ・今 フォーム処理で格闘してます
  終わりましたら、レポートします。

commentsコメント
こんにちは。

警察庁@policeからphpMyAdminなどのWebアプリケーションに対する攻撃の報告書が出ていましたのでお知らせしておきます。
http://www.cyberpolice.go.jp/server/rd_env/
http://www.cyberpolice.go.jp/server/rd_env/pdf/20100225_WebApp.pdf
【2010/03/04 00:57】 | security #- | [edit]
こんにちは。
どなたか存じませんが、貴重な情報
ありがとうございました!
【2010/03/09 20:40】 | metaboy #- | [edit]
comment_post












管理者にだけ表示を許可する
commentトラックバック
トラックバックURL:
http://metaboy.blog23.fc2.com/tb.php/1199-d82a8212
ようこそ
Add to Google 創るmetaboy:RSSフィード
My Yahoo!に追加
最新記事のRSS | 問い合わせ

仕事検索、アルバイト検索、依頼仕事の検索ポータル - 仕事検索.COM - www.jobkensaku.com ツクルン

創るmetaboy - WEB創る、サイト創る、何創る - 創ったmetaboy

 

リンク集

 

最近の記事

 

ブロとも申請フォーム
Sponserd by

さくらのレンタルサーバ さくらのレンタルサーバ
大容量・高機能レンタルサーバー heteml 大容量・高機能レンタルサーバー heteml
XREA (ValueDomain)
お名前.com お名前.com
名づけてねっと名づけてねっと
ムームードメインムームードメイン

 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。