超攻撃的ゴレイロ “じゅんぼ~” No.16

フットサルチーム『Passion』のゴレイロのメモ帳

XAMPPの注意点<其の弐> ~セキュリティについて~ (2013年1月21日)

XAMPPのセキュリティ』

 

XAMPPは開発環境での開発用での使用を目的としていることから、

可能な限りオープン且つWeb開発者が求めることをできる限り実現させるように

設定されているため、セキュリティに問題がある。

 

XAMPPのセキュリティ欠如の一覧

 ・MySQLの管理者(root)にパスワードがない

 ・MySQLDaemonが、ネットワーク経由でアクセス可能

 ・ネットワーク経由でphpMyAdminにアクセス可能

 ・ネットワーク経由でXAMPPデモページにアクセス可能

 ・MercuryとFileZillaのデフォルトユーザは周知の情報である

 

これらの項目はどれも深刻なリスクとなり得る。

特にLAN外部の人間がネットワーク経由で

XAMPPにアクセス可能な場合は重要である。

また、通常ネットワーク経由でのアクセス不可能なファイアウォールや

(NAT)ルーターの使用を手助けすることにも繋がる。

これらの問題を修正することは自己責任となるため、

XAMPPを使用する場合には注意を払わなければならない。

一応、XAMPPセキュリティコンソールというものがある。

 

必ずオンラインで何かを公開する前に、XAMPPを保護する措置を取ること。

そして、ファイアウォールや対外ルーターは低レベルのセキュリティにしか

有効ではないため、セキュリティレベルを少しでも向上させるため

XAMPPセキュリティコンソールを走らせてパスワードを発行させること。

 

MySQLのパスワード設定>

XAMPPをインストールした直後はデフォルトの設定になっているので、

MySQLデータベース管理者(root)にパスワードがない状態にあるため、

必ずパスワードを設定すること。

 

手順

1.XAMPPのコントロールパネルを起動する。

  ※コントロールパネルはデスクトップのショートカットもしくは

   xamppフォルダ内のxampp-control.exeから起動させる。

  f:id:junkichi16:20130121183208j:plain

2.Apache及びMySQLの[ Start ]をクリックし起動させる。

  ※[ Start ]が[ Stop ]になっていたらOK。

  f:id:junkichi16:20130121193952j:plain

3.Apache及びMySQLが起動したら、http://localhost/にアクセスします。

  f:id:junkichi16:20130121211811j:plain

4.左のリストからセキュリティを選択します。

  すると、「XAMPP セキュリティ」のページが開きます。

  f:id:junkichi16:20130121211939j:plain

5.ページ中央付近のhttp://localhost/security/xamppsecurity.phpをクリック。

  「MySQLのセキュリティコンソール & XAMPPのディレクトリ制御」の

  ページが開きます。

  f:id:junkichi16:20130121212758j:plain

6.MySQL rootの新しいパスワードを入力し、

  「PhpMyAdminを検出しました」では http を選択、

  (File: D:\xampp\security\security\mysqlrootpasswd.txt)の上の

  チェックボックスにチェックを入れ、

  [ パスワードを変更しました。 ]をクリックして完了。

  f:id:junkichi16:20130121213459j:plain

7.パスワードを設定したら、MySQLを再起動させましょう。

  再起動によりパスワードが有効になります。

  ※パスワード設定以降はMySQL使用時にユーザー名とパスワードを聞かれます。