stephtara
(Stephanie Booth)
1
Claude Code を導入し、インストールのセットアップと管理を最大限に活用したいと考えています。ただし、書き込み権限は一切付与したくありません。Discourse インストールに対して、読み取り権限のみで SSH アクセスを付与することは可能でしょうか?データベースについても同様です。さらに、サーバー上の「セキュリティ上・機密性のある」あらゆるものへのアクセスを禁止することはできるでしょうか?ウェブページを読んだり、SQL ダンプを掘り起こしたり(余談ですが、SQL ダンプにはセキュリティ上の機密情報が含まれているのでしょうか?含まれていると思います)、スクリーンショットを提供したり、設定やエラーメッセージをコピー&ペーストしたりするよりも、このようなアクセス権限を付与する方がはるかに効率的だと考えられます。
こうした取り組みを行っている方はいますか?
はい、読み取り専用の SSH ユーザーを作成し、Claude Code にそれを使用させることができます。これにより不正な変更を防ぐことができますが、機密情報の読み取りは可能になります。
おっしゃる通りです!個人メッセージの内容、ハッシュ化されたパスワード、IP アドレス、API キーなど、多くの情報が含まれています。
より安全な方法として、機密データを含まない複製サイトを同じ構成で作成し、サンドボックスとして使用するのが簡単です。別サイトを維持して構成を同期させる必要があるためトレードオフはありますが、本番環境でのみ問題を再現できる場合もあるなど、いくつかの欠点もあります。それでも最も安全な方法です。
慎重であるのは正しい判断です。Discourse チームのセキュリティポリシーも同様にこれを制限しており、LLM に本番データベースへのアクセスを許可することはできません。