Hatena::ブログ(Diary)

ろば電子が詰まっている

2012-05-03

ロリポップは、MySQLサーバにグローバルから接続できる(ものがある)?

今はレンタルサーバは、さくらのレンタルサーバとロリポップの2つを借りている。さくらのレンタルサーバはDBサーバが物理FWの内側にあるようで、グローバル側からMySQLサーバへはTCPレベルで接続できない。

macbook:~ ozuma$ telnet mysql122.db.sakura.ne.jp 3306
Trying 59.106.188.8...
telnet: connect to address 59.106.188.8: Operation timed out
telnet: Unable to connect to remote host

まぁ、当たり前やな…… (´∀`)

しかしロリポップの場合、なんと手元のPCからmysql501.phy.lolipop.jp宛てに、無造作にポート3306へ接続できてしまった……!

macbook:~ ozuma$ telnet mysql501.phy.lolipop.jp 3306
Trying 210.172.144.59...
Connected to mysql501.phy.lolipop.jp.
Escape character is '^]'.
B
5.1.59-community-log(?P{~%<<Y,k![floe/VG?E~i

えー!! 接続できちゃった! Σ(゜д゜;)

ちなみに別アカウントで割り当てられているmysql570.phy.lolipop.jpだと、

FHost '121.X.XXX.XX' is not allowed to connect to this MySQL serverConnection closed by foreign host.

と出るので、アクセス制御はしているようだ。サーバmysql501の設定漏れだろうか? なんか見ちゃいけないものを見ちゃった気が……。

そもそもmysql570.phy.lolipop.jpも、通信はMySQLサーバまでは届いていて、そこでMySQLの設定でブロックしてるんだよね。随分とセキュリティ的に大甘な気がするけど、大丈夫なんだろうか……? 手前のネットワークで止めた方が良いのでは?

グローバルからのDBサーバ直接アクセスなんて、ネットワーク的に全ブロックしちゃった方がいいんじゃないかなぁ。私がこの構成組むなら、そもそもDBサーバはグローバルに足を出さないけど。

と、気になってしまった夜でした。_(:3」∠)_

追記 2013/08/28

ロリポップのWordPress改ざんが話題になっているので今試してみたら、なんとmysql570.phy.lolipop.jpも思いっきりグローバル側から接続できるようになっていた……。

macbook:~ ozuma$ telnet mysql570.phy.lolipop.jp 3306
Trying 210.157.9.95...
Connected to mysql570.phy.lolipop.jp.
Escape character is '^]'.
B
5.1.59-community-log@&#65533;&#65533;0@l!Z#?R^!cWh%|fhVU+qz

ええええー!? こんなんで本当に大丈夫なんかいな……。

tohokuaikitohokuaiki 2013/08/29 11:55 一応手元にあるロリポアカウントで確かめてみましたが、
$ mysql -u LAxxxxxxxx -p******* -h mysql5xx.phy.lolipop.jp
ERROR 1130 (HY000): Host 'xx.xxx.xxx.xxx' is not allowed to connect to this MySQL server
ってなったのでちゃんとMySQL側で止めてますね。危なっかしいですケド・・・。

satenasatena 2013/08/29 15:10 SSHまたはSSH tunnelで繋ぐのが定石だけどtelenetで繋げることが可能なのはダダ漏れですね。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

リンク元