雑文発散

ZATSUBUN HASSAN
«前の日記(2006-01-03) 最新 次の日記(2006-01-05)» 編集

2006-01-04 [長年日記]

[] ブラウザ経由で別サーバのコマンドをセキュアに実行するには

ブラウザに表示されたリンクをクリックしたり、フォームをPOSTして、Webサーバとは別のサーバのコマンド実行をする場合、どうやれば一番セキュアなのだろう? とりあえず考えてみたのはこの形。 ブラウザ経由で別サーバのコマンド実行
  1. ブラウザとWebサーバの間はhttpsで接続する。
  2. Webサーバ内では、PHPからshell_exec()で外部コマンド(ssh)を実行する。
  3. sshの実行は「ssh hoge@server_a COMMAND」の形とし、サーバA上でコマンドを実行して、その結果をPHPに返す。
  4. PHPでは返ってきた結果をHTML出力する。
ここで、3のsshでの接続をどうしようか迷ってる。サーバAに公開鍵をインストール、Webサーバにはパスフレーズなしの秘密鍵を置いて、サーバAにログインする方法が楽なんだけど、、、「パスフレーズなし」ってところにひっかかりを感じるんだよなぁ。 2の外部コマンドでexpectを利用し、ブラウザから入力されたパスフレーズを対話的に入力しsshによるコマンドを実行するってのが最良の方法だろうか? expect苦手なんだけど。
| Bookmark:
本日のツッコミ(全3件) [ツッコミを入れる]
yoosee (2006-01-05 07:23)

pathphrase-less で ssh を使うなら、最低限 authorized_keys の from="..." で接続元を限定するのと、出来れば command="..." で実行できるコマンドを限定するのかよいかなと。<br>http://sonic64.com/2004-11-17.html<br><br>もしくはサーバAでもCGIなりを動かしてWebサーバからHTTPリクエストを受けるようにする、とか。

はとっち (2006-01-05 12:20)

WebサーバーとサーバーAの間をIPSecトンネルを張りっぱなしにして、そこにコマンドを流し込むのではだめですか?<br><br>サーバー系は門外漢なので、はずしてたらすいません。

すずき (2006-01-05 15:35)

おぉぉ! authorized_keysで接続元やコマンドの制限ができるとは知りませんでしたよ。この線でもう少し調べてみますわ。<br><br>IPsecは今ひとつ理解が乏しいので、今回はまず上記で進めてみます。ありがとうございましたー。

ツッコミ・コメントがあればどうぞ! E-mailアドレスは公開されません。
お名前:
E-mail:
コメント:
[]
Powered by twitter

カレンダー
2006年
1月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
検索
RubyKaigi2008Attendee
はてなアンテナへ追加
Bloglinesに登録 Subscribe with Fastladder
RSS feed meter for http://suzuki.tdiary.net/
テクノラティプロフィール
スカウター : 雑文発散
この日記のはてなブックマーク数
あわせて読みたい
最新ツッコミ
  1. はとっち (02-03)
  2. すずき (02-02)
  3. yoosee (02-02)
最新TrackBack
  1. TechTalk.jp:PHPカンファレンス.. (2008-07-22 23:58)
  2. ねねとまつの小部屋:CakePHPの勉.. (2007-12-10 15:21)
  3. akiyan.com:CakePHP勉強会を開催.. (2007-12-08 14:45)
SW 復刊リクエスト
侵略の惑星
帝国の復活
ジェダイの遺産
ゾルバの復讐
帝国の女王
運命の惑星
暗黒の預言者
助けると思ってリクエストよろしく
リンク
tDiary.Net
tDiary.Net 運営委員会Wiki
最新Amazon


















This Diary is Running on tDiary.Net 3rd. Powered by 散歩部
Generated by tDiary version 2.2.0
Powered by Ruby version 1.8.5