無料のGeoIPデータベースのダウンロードとインストールを自動化したいと思っています。MD5がプレイメージ攻撃の影響を受けやすくなったため、追加の検証オプションがあるかどうかを知りたいと思います。GeoIPデータベースの検証GeoIP
さらに、同じサーバーにMD5の合計が格納されているため、そのサーバーに侵入した攻撃者は潜在的に悪意のあるデータベースをアップロードし、クライアントを賢明にすることなくサービスすることができます。
GPGは一般的な検証ツールです。パッケージマネージャがすでにこの種の検証を行っているため、GPGはほとんどのLinuxユーザーにセットアップするのは簡単です。
maxmind.comは、ダウンロードリンク上でTLS SSL HTTPSをサポートしています(自分自身を追加するだけです)ので、証明書を正確に保管し、ライブラリを最新の状態に保つようにしてください。
ウェブサーバーがハイジャックされたと仮定しても、攻撃の幅と幅の合理的な保証や概念がないため、MD5とSHAとのGPGについての悩みはありません。会社自身が故意に犯した内部的な仕事かもしれない。 maxmindは、人間や自動化されたエラーに対するフィットネスの保証をしません。したがって、勧告のもとで受け取ります。
無料サービス(無料のデータベース、無料の帯域幅、巨大な毎週更新版)では、エアギャップのあるフォート・ノックス・レートのセキュリティーを求めることはできません。 TLSはすでに必要以上に優れています。
変更または修正が名目上重要でないことを確認するために、以前にダウンロードしたデータベースに対して、新しくダウンロードしたデータベースの健全性チェックを実行することは大歓迎です。さらに、GeoIPアップデートプログラムを使用することも、パッチを直接ダウンロードすることもできます。この方法では、名目上重要でないアップデートをダウンロードするだけで、データベースにマージする前に自分で調べることができます。そして皆さんのために帯域幅を節約します。
誰かがGeoIPサーバーをハックしてCSVデータベースを間違った情報に変更するリスクはありますか?なぜそれをするべきですか? –
まず、「テキストファイルのみ」または「私のサービスは重要ではない」ため、セキュリティを無視すべきではありません。 第2に、CSVファイルだけでなく、 BINファイルもあります(これまでの形式は何ですか?)。また、コードでは常にバグが発生します。攻撃者が解析コード内の犯罪を悪用した場合はどうなりますか。 第3に、攻撃者はファイルを単にリソースとファイルスペースを大きくロックすることができます。 最後に、GeoIPデータベースのダウンロードを自動化すると、ハッキングが発生してからサーバー上で終了するまでの時間が短縮されます。衝突前の検出と治療の時間も短縮されます。 – Lee