「NG!」とは申し上げませんが、やはりパーミッションの設定“777”は、避けた方が良いと考えています。
“777”までの権限を与える必要があるかどうかですね。
“744”“755”“766”などで事足りるなら、わざわざ“777”にする必要はないわけですし。
動的に生成する要素があっても、ほとんどの場合“777”までは不要です。
緩めれば比例してセキュリティが弱くなりますので、当然リスクが高くなります。
そのアプリの仕様や使用条件に応じて、最適なパーミッションを設定すれば良いワケです。
きちんと設定すれば、“777”に設定する必要はほとんどないはずです。
イントラネットなどインターナルユースで外部とは繋がっていない、まったく独立した内部ネットワークなら特に関係ないかもしれませんが、インターネットなど外部のネットワークに接続されていて、尚且つマルチユーザーならやはり避けた方が良いかと。
ホスティング業者の中には“777”を禁止しているところさえあります。
弊社では、お客様のサーバーも含め“777”に設定することは皆無です。
ほんの少し前まで騒がれていた「ガンブラー」ですが、だいぶ沈静化?!
現在も安心できない「ガンブラー」です。
サイトが改ざんされていないから大丈夫ではなく、改ざんされていないだけで、既にFTPアカウント情報が漏れている可能性も否定できません。
“FTPアカウント”の管理は大丈夫ですか?
1ヶ月に一度はパスワードを変更してほしいところですが、せめて3ヶ月に一回はパスワードの変更をしましょう。
さらにアカウント名も変更すればかなり安心。
当社のような制作会社や代理店などにFTPアカウントを貸与してる場合、管理が不透明になりがちです。
特にサイトの更新・管理契約が切れて、取り引きが無くなっているにもかかわらずFTPアカウントが放置されたまま、アカウント自体は生きているというケースがあります。
こういうアカウントは直ちに削除した方が無難ですね。
更新・管理先を移ってFTPアカウントを貸与する場合、必ず新しいアカウントを発行してください。
以前のアカウントを継続使用することはセキュリティ上避けた方が良いです。
サイトオーナーや管理担当者の皆様、今一度“FTPアカウント”のチェックを!
≫関連情報オススメサイト:
IPA(独立行政法人情報処理推進機構)「コンピュータウイルス・不正アクセスの届出状況[3月分および第1四半期]について」
「ガンブラー」対策お済みですか?
専門家やスキルを持った管理者ならいざ知らず
サイトオーナーが普通に対応できないような難しい対策はここでは触れません。
誰にでも簡単にすぐ実践でき、しかも実は強力な対策をご紹介!
それは・・・「パスワード」の設定。
「パスワード」は何でもOK!・・・ではありません。
パスワードの中に『記号』を挿入すると、ハッキングされ難くくなります。
“数字”と“アルファベット”だけで長いパスワードを設定するより、ずっと強力です。
●記号:{!”#$%&’()=~?_{}+*}
逆に設定してはいけないパスワード・・・
{123456, 0000, 1111, ・・・}
その他、アクセスIDと同じパスワードもNG
FTPクライアントのパスワードに『記号』を挿入して今すぐ変更!
当社クライアント様全サイトの「ガンブラー」感染チェックを実施。
クロールの結果、1月21日現在、感染は認められませんでした。
安心してご利用ください。
しばらくの間、不定期にチェックします。
昨年(2009年)後半から被害が拡大している「ガンブラー」
・・・しばらく拡大傾向が続きそうです。
セキュリティ対策の見直しが必要かもしれませんね。
Webサーバーのセキュリティ対策は大丈夫ですか?
厳重にセキュリティが施されているだろう(?)と思われる大手企業のサイトから感染が増えています。
セキュリティに万全はありませんが、今回の攻撃は最新のパッチで対応できるようです。
端末だけでなくサーバーのセキュリティにも充分ご注意ください。
尚、当社ではお客様サイトを全てチェックいたしました。
現時点で感染の形跡はございません。
