このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

マックWebサーバの構築

発言者:ifook
( Date Monday, April 16, 2001 23:09:59 )


はじめてまして、今度、職場でWebサーバーを立ち上げる事になりました。
オラクルを利用した検索システムを構築するのにシステム開発会社に依頼して,
Linuxサーバーを利用していましたが、試験運用中にハッカーの被害に
あってしまいOSの再インストールを行うハメになりました。
業者の言い分としてLinuxはシェアが多く狙われやすい為に有効な手段は
ないと言われました。そこで、今後の対策として、ファイアーウオールの導入と
DB検索用の主Webサーバーと被害にあった時の予備用サーバー(NTサー
バー)の導入でした。(被害に遭うのが前提?)
 そこで、私としては、予備サーバーをマック+WebSTARで
やってみようと提案したのですが、業者側で実績が無いのと職場でもマック
ユーザーが私一人の為にサーバー機としての運用の半信半疑の状態です。
 マックにする事で、セキュリティは万全とは思っていませんが
NTやLinuxよりは被害に遭う確立が低いと思っています。
予備機のなで出番は少ないしFTPやメールサーバーでの運用は考えていません。万が一マックで被害にあっても復旧はNTやLinuxよりは簡単と思っています。マシーンは新規で購入する予定です。
 そこで皆様の主観でも結構なのでアドバイス等がありましたら
是非、教えて頂きたいので宜しくお願いします。

今井真人 さんからのコメント
( Tuesday, April 17, 2001 06:48:06 )

>業者の言い分としてLinuxはシェアが多く狙われやすい為に有効な手段は
>ないと言われました。

すごい言い分ですね。業者設定が全く間違いなくLinuxそのものが悪いですか?
どこの業者だろう? ぜひ紹介してください(笑)。

私のところで実績のあるものとしては、次のものがあります。

GIDEON WHITEBOX プロサーバ Linux ver3.0
http://www.gideon.co.jp/gwpro3/index.html
http://www.gideon.co.jp/gwpro3/Updates/
http://www.gideon.co.jp/gwpro3/Updates/debianUp.html

公開されているパッチを当てるだけで、セキュリティは堅いと思います。

また、MacOS 9.1以前でサーバを建てるのもいいと思います。もともとリモート
アクセスできないOSなので、止められることはあっても改ざんは無理でしょう。

重松修 さんからのコメント
( Tuesday, April 17, 2001 09:55:50 )

私はWebStarは使ったことがないのですが、QPQだと、非常に不安定で
連続稼動できませんでした。攻撃を受けなくても、自爆するという状態で、
今はLinuxで運用しています。

セキュリティというのは、常に穴をふさぎつづける作業なので、
もし、ifookさんが業者とそういう契約をしていないならば、
業者の言うことは半分正論ですね。
# 業者に責任がないという意味で。

ただし、もし、シェアがあるから攻撃される、というのは真でしょうが、
攻撃されて撃沈していれば、そもそもシェアがないはずですので、
シェアが高い分セキュリティホールも多く見つかり、
それだけに、きちんと対策をする必要がある、ということではないでしょうか?

運用コストにセキュリティ維持管理費用を計上し、外部に委託するのも、
ひとつの方法だと思います。

それから、MacServer ですが、確かアメリカの陸軍での実績があると思います。


Macaz さんからのコメント
( Tuesday, April 17, 2001 10:36:25 )

Windowsなんかに比べるとLinuxのほうがよっぽど安全ですよ。
ちゃんとセキュリィティ対策していればのはなしですが。
要はアプリケーションは必ず最新のものを使うことです。
そうしないと、root(管理者)権限で入られます。
BIND,wu_ftpdなどUNIX標準のアプリケーションなどがそうです。

それと不要なポートは塞ぐことです。
TELNET,FINGER,RHOSTなど必要がない場合は全て塞ぐことです。
メールは、より安全なpostfixやqmailにしましょう。

また、こまめにログをみて不審なアクセスを見つけた場合は、
そこからの接続を遮断するようにしましょう。

開発を依頼された会社にそこら辺を詰問し、まともな回答が
得られないようであれば、損害賠償請求できると思います。
セキュリティのいろはも知らない業者をはびこらせないためにも
是非、そうして下さい。

先般も私がサブで契約している某大手プロバイダーのメールサーバー
(SendMail)に2つもセキュリティホールを見つけました。
SendMailの8.8.8と古いバージョンをそのまま使っていたからです。
なんともおそまつなとこ極まりない。
フィードバックしたにもかかわらずまる2日も回答がなく、
回答がない場合はネット上にこの件を流すと脅してやっと
なおざりの回答が来ました。
昨日確認したところ、1つは塞いだようですが、
まだもう1つ塞がれていませんでした。

とにかく日本人全体がセキュリティについてあまりのも
意識が低いことが問題だと思います。
それ以前の問題かもしれませんが・・・

常時接続でつかわれる方も多いと思いますが、常時接続で
固定のグローバルアドレスをもらったなどと喜んでいると
あとで痛い目にあいますよ。ちゃんとセキュリティしないと。

ちなみに、弊社ではMac9.0+WebStar4.x+QuickDNS2.2.1で1年前から
運用していますがまったく被害なしです。
もっともMac自体が不安定なので月に1-2回ぐらいは
クラッシュしますがその対策もしてありましのでかなりの可用性も
保っています。

昨年10月からMacサーバーを使ったレンタルサーバーをはじめました。
CGIはさすがにMacでと言うのはきついので、CGI専用にLinuxを使っています。先に述べましたように、いらないポートは全て塞いでいます。

これからセキュリティサービスをはじめようと思い、いまいろいろ
検証中です。

もし、差し支えなければ貴社のサーバーのIPアドレスを教えていただければ
セキュリティホールの検証しますが、いかが?まだ、テスト期間ですので、
お代はいただきません。
もし、ご希望なら下記サイトのメールアドレスまでご連絡下さい。



→  メディアキューブ

ifook さんからのコメント
( Tuesday, April 17, 2001 10:45:41 )

Linux はRedHat6.2です。業者名はさすがにいえませんね(笑)
ハッカー集団?は「1i0nCrew」だったと思います。

確かに、セキュリティホールは次々見つかって、そのパッチを当て続けなければ
いけないのかもしれませんが、私はLinuxど素人なので管理は委託になるかも
しれません。
しかし、踏み台にされるとか、本稼動してから不安な事ばかり言ってきますし
HPを立ち上げたからには、トップページ位は常に見えてないとと思っています。

石津@RJC さんからのコメント
( Tuesday, April 17, 2001 11:54:47 )

LinuxでもまともなSI会社はあると思いますよ。
うちの会社でお願いしたところではセキュリティホールが発見されたら
24時間以内に対応しますと言い切ったSI会社もありました。
Linuxで利用するすべてのインストールコンポーネントをリストして提供
してくれましたし、どのように対応するか説明も適切でした。
値段はとても高かったですが...。(^^;)

もう5年ちかくMacOS+WebStarで会社のサーバを運用していますが、一度も
クラックの被害にあったことはありません。いえ、実際にはアタックは受け
いるのかもしれませんが(サーバがよく落ちた時期はありましたし)、書
換えなどの被害にあったことはありませんというべきでしょうか。
MacOSですのでパフォーマンスで言えばNTやLinuxの1/5程度なのでしょうが
Webページを単純に公開するだけなら十分だと思います。
同時セッションの処理はうまくないので、グラフィックを控えるとか、データ
量をできるだけ減らすなど基本的な対策は必要だと思いますが。

ifook さんからのコメント
( Tuesday, April 17, 2001 14:14:58 )

みなさんありがとうございます。
あと、よくポートを閉じると言われますが、マックの場合だとポートを使わない
ようにするには何の機能を外すのでしょうか?
マックは長いこと使っていますが、あまりそういった事を気にしたことが無かった
ので。
また、WebStar4だとG4に最適化されているようなのですが、実際利用されている
方等はいないでしょうか?

田中求之 さんからのコメント
( Tuesday, April 17, 2001 14:21:50 )

>マックの場合だとポートを使わない
>ようにするには何の機能を外すのでしょうか?

いいえ。Mac の場合、そのままですと、どのポートも空いてません。
サーバ機能はデフォルトではありませんから。

ですので、サーバをインストールして動かさないとポートは空きません
(最近の MacOS はファイル共有など、TCP のポートを使うものも組み込
まれてはいますが)。

WebSTAR は Web サーバ機能の部分は、非常に安定しています。

odeko@mp さんからのコメント
( Tuesday, April 17, 2001 18:10:11 )

>業者の言い分としてLinuxはシェアが多く
>狙われやすい為に有効な手段はないと言われま
>した。

いつlionに狙われたのでしょうね?
とうの昔に対策は発表されていたのに。

>そこで、今後の対策として、ファイアーウオー
>ルの導入と>DB検索用の主Webサーバーと
>被害にあった時の予備用サーバー(NTサーバー)
>の導入でした。(被害に遭うのが前提?)
>そこで、私としては、予備サーバーを
>マック+WebSTARでやってみようと提案した
>のですが、業者側で実績が無いのと職場でもマック
>ユーザーが私一人の為にサーバー機としての
>運用の半信半疑の状態です。

この業者さんは、NTサーバーが御好きなのでしょうか。
「実績が無い」というのは業者さんのスキルのことを
意味していると思います。
最初からファイアーウォールの導入を薦めない業者さんは
珍しいのではないかと思ったりします。

予備のwebサーバが必要ならmacが良いと思います。

Macaz さんからのコメント
( Tuesday, April 17, 2001 19:11:48 )

ポートについて:

ポートとは、TCP/IPがそのサービス(httpなど)に使う仮想回線のことです。

よく使われるポートは下記の通りです。

ポート番号  サービス
 80      http
   21      ftp
 25      smtp
   23      telnet
   58                 bind
   79                 finger

などです。

通常、ウェブサイトなどを見るときに、http://www.xxx.com/と言うふうに
URLを指定しますが、実はこれは、http://www.xxx.com:80/を意味します。  自動的にブラウザーが変換しているので気が付きませんが、これを明示して
やることによって同じhttpでも別のポートにアクセスできます。
(例えば、  http://www.xxx.com:10000/)
こうすることで、全く別のページを見せることができます。

これ以外にもいろりろポートがありポート番号1024以下はwell-known portと言って広く共通で使われるポートです。

ウェブサーバーとして公開するだけであれば、80、25、21、58ぐらいでできます。

Liunx(Unixが本家ですが)の場合、標準で付いているサーバー郡を
インストールした場合、それ以外のポートも開いてしまします。
これは、インターネットが広まる以前のまだ特定の人々が使っていたときに
よく使われるポートだからです。
インターネットが一般に解放されたことによりこれを悪用される場合が
増えたわけです。

WebStarは、必要以外のポートを持っていませんのであまり気にする必要が
ありません。

WebServerをいくらファイヤーウォールの中に設置しても外から見えること
には違いがありません。見えなくしてしまうと、WebServerの意味がなくなるからです。
また、ファイヤーウォール自体にもセキュリティーフォールがあります。
高いお金を払ってセキュリティーホールを買うようなものです。
また、ファイヤーウォール自体がダウンすると眼も当てられません。

公開したサーバーは、必ず攻撃されるものと割り切るしかありません。
絶対攻撃されたくないサーバーは、インターネットにつながっている
ネットワークと切り離すしかありません。

ルーターでNATやフィルターを使うのも安上がりで以外と効果的です。


ifook さんからのコメント
( Tuesday, April 17, 2001 19:51:21 )

みなさんの勉強になる話で感謝いたします。lionは今年の3月末でした。
ずいぶん前にパッチが出ていたのも聞きました。初めからファイアーウオールを
導入しない事も??と思っていまして、業者はマックのノウハウが無いことも
言っておりました(技術者の話)。lionにやられた時もルーターの設定はザルだ
とは言ってましたが、今思えばなんとも無責任な話だと思います。
当初の不安材料が全て当たってしまい今後の対策もNTでは不安です。
せめて、予備は被害確立の少ないマックで再度検討してみます。
導入の際にはみなさんにお世話になると思いますが宜しくお願いします。

ついで申し訳ないのですが、Linuxで運用する時にこのような業者に
対して確認しておくような重要な部分ってありますか?

(確かにこの業者は異常に安かった・・)

しあわせのツボ さんからのコメント
( Tuesday, April 17, 2001 19:54:08 )

一応フォローを。
domainのポートは58でなく53ですよね。

しっかし、lionなんて対処法がわかっているだけでなく
攻撃予告までされてるのに、シェアのせいにするとは
なかなか根性のすわった企業ですね。
私だったら即刻返金交渉に入ります(笑)

たまちゃん さんからのコメント
( Tuesday, April 17, 2001 20:45:26 )

>WebStar4だとG4に最適化されているようなのですが、実際利用されている
>方等はいないでしょうか?

G4 ではありませんが,発売以来ずっと(2年近く)使っています。
WebSTAR の大規模なサイトでの運用実績では,石津さんや飯嶋さん
のところが有名です。

あと

http://www.geocities.co.jp/SiliconValley/1667/op0103.html

のような統計もあります。

Junnama さんからのコメント
( Wednesday, April 18, 2001 01:08:31 )

私の場合Quid Pro Quoですが1.04だと1年以上ノートラブルです。
(そこそこアクセスもあるサイトです)。

>業者の言い分としてLinuxはシェアが多く
>狙われやすい為に有効な手段はないと言われま
>した。

狙われやすいかどうかはこの際問題では無く、何かあったときに(業者として)、
これなら「ごめんなさい、私の責任です」って言えるのはLinuxなのかNTなの
かMacなのかてことだと思います(もちろん会社や人によってこれは違う)。
メーカーが正式サポートしてるからNTだとかいって、あなたがサポートしてくれ
なきゃどうしようもないのに...っていう状況の中で議論してるときにシェアが
多いとかどうとか言われると...(一般論じゃ無くて、あなたならどの環境下で責
任が持てますか?---わたしだってそりゃ100%なんて言い切れ無いですけど)

ただ、最近思うことの一つに、NTなんかでサービスパックが有料になるときがあ
りますよね。
行政(企業も体質によっては)モノを買う時の申請手続きって結構大変だったり
するわけですよ。それが数千円のモノであっても。
だから、管理者が本気でちゃんとやるっていうのなら、オープンソース系がやは
りいいのではないかと思うのです。いざとなったら思いきって別のOSに変えても
いいわけですし。ただ、やはり管理者のエネルギーっていうものはかかるわけで、
メーカーのサポートがあるからとかシェアがどうとか言ってるうちはダメでしょ
うね。

ちなみに、私(が手掛けてるサーバーの場合)はMacなら、「私のせいです」っ
て言えます。
(Appleのせいじゃなく、私のせいっていえるかどうかが分かれ目だと思うので
すが)

odeko@mp さんからのコメント
( Wednesday, April 18, 2001 11:01:53 )

ひとこと。
Webサーバだけ立てるつもりでも
ファイアーウォールは必要です。

理由その1、攻撃に対する負荷分散ができる。
極論いえば、PING許さない体制をつくれますから。
サーバ側で不得手なことも、F/Wでは簡単だったりします。
分業設計しだいです。

理由その2、クラッカー達は、直接サーバからではなくて
クライアントを経由してから進入してくることもあります。
WEBサ−バが、絶対閉じることのできない80番ポートを
持っているのだから、F/Wは無意味だ、というわけには
いきません。
LAN環境を組むのならば
WEBサーバ以外に、部門サーバをもうけたりします。
あとになって増設ということもあるのです。
たった1個の部門サーバを増設するときに
「それでは、ファイアーウォールも増設します」
とは、いいづらいはずです。
攻撃をうけた今こそ、しっかりしたF/Wをたてておくべきです。
WEBサーバには効果がなくとも、LANには効果があります。
(社内メールサーバを立てるときもおなじこと。)
LAN上に、Windows機があるのなら
おそらくWINDOWSNAMESERVICEが
必要になってきますが、これは立派なサーバです。
社内DNSもありますね?おそらく。
これらのサーバ群に関して、TCP/IPの各ポートへの
(とくに、わけわからないwindowsPORT)
攻撃対策を一元管理できる、ファイアーウォール(f/w)を
設置しないなんて、恐ろしいことです。
実際には、ファイアーウォールで防いでいるうちに
時間をかせいでおいて、各サーバの使用を縮退運用できるように
各部門、各利用者に通報できますし、各サーバのシャットダウン
すらできます。

でっかいサービスをやりたければ
でっかい保安が必要です。

官庁の愚をマネしないことです。

ifook さんからのコメント
( Wednesday, April 18, 2001 20:55:19 )

インターネットと内部LANは完全に切り離しています。
ファイアウォールを導入しても完全ではないと判断したからです。
(だからって初めっから導入しないのもどうかと思いましたが)
DSNサーバーも自前でやっていましたが、OCNに任せようかと思っています。

しかし、残念ながらマックのサーバーは導入できそうにもありません。
予備のNTサーバーがやられたら考えるとの事。
私もマックのWebサーバについて知識不足でした。
もっと自信をもって発言できれば良かったんですけど。
こうなったら自分のマックをWebサーバーにして、いつでも導入できるよう
に勉強します。

みなさん本当にありがとうございました。