このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

常時接続のセキュリティ対策

発言者:田中求之
( Date Tuesday, September 04, 2001 00:24:26 )


フレッツ ADSL やフレッツ ISDN、あるいは CATV の普及によって、個人がインターネッ
トを常時接続で利用するのも、さほど特別なことではなくなってきました(でも、私
の自宅はフレッツ ISDN すら使えないし、CATV も来てない、ADSL はたぶん無理、っ
て所なんだけど)。光ファイバーによる常時接続ですらまんざら夢物語では無くなろ
うとしています。

一方、個人が使用するパソコンの OS の高度化(本当にユーザーにとって高度化なの
かという本質的な問はひとまずおいておきます)によって、パソコンだから常時接続
でもセキュリティのことなんか気にしなくてよいという時代ではなくなろうとしてい
ます。Windows XP にせよ、MacOS X にせよ、元をたどればサーバ用ともいうべき OS 
の流れを汲むものが個人向けパソコンに搭載される時代がやってきてます。

また、個人がサーバを運用することがけっして難しくない状況になっているのも事実
です。

そこで、ここで、常時接続での利用にあたって、セキュリティ面でどのようなことに
注意して利用すべきなのか、どのような危険があるのか、皆さんと確認する作業を行っ
てみたいと思います。

一言に常時接続と言っても、その接続形態は多岐に渡りますし、また利用形態も多様
でしょう。ですので、とりあえず、MacOS 中心で利用するということに絞りましょう。
Windows や Linux、あるいは現状ではそれなりの覚悟で使うべき OS X については、
とりあえず取り上げないことにします。

MacOS で常時接続を利用するとき、何を気をつけるべきなのか。

これを考えてみたいと思うのです。皆さんの意見や体験をぜひ聞かせてください。

マイク さんからのコメント
( Tuesday, September 04, 2001 07:54:22 )

1995年1月に初めてパソコンを買いました。PB150でした。
1997年4月に福井市でもOCNエコノミーという常時接続回線128k/s(当時月額約40000円)を導入し、
PowerBoob520CとLC630でウエブサーバー、メールサーバーを運用し始めました。
1998年11月に撮影スタジオ付きSOHOハウスに引っ越した際は、地域的なこともあり
日本テレコムのODNエコノミー2(64k/s 月額約30000円)で、iMacとPerforma6410で
ウエブサーバー、メールサーバーを運用しております。

1998年の夏頃かメールサーバーが踏み台にされたことがあり、いろいろなサイト
(特にこのサイト)を参考にメールサーバーのバージョンをあげて対処しました。
2001年8月にCode Red Warmの影響で QuidProQuo1.02がダウン。最初はiMac 自体が壊れた
と別のPM G3 MT300でも同じだったので、このサイトを参考にプラグインを入れたりしまし
たが、どうにも安定せず、OS8.6のウェブ共有で公開を続けています。そのため、カウンター
機能が使えない状態です。

8月以降は毎日のようにこのサイトを見ているというのが最近のサーバー管理者としての
日課になっています。



→  マイク・ヨコハマ オフィス

たまちゃん さんからのコメント
( Tuesday, September 04, 2001 11:58:21 )

>OS8.6のウェブ共有で公開を続けています。そのため、カウンター
>機能が使えない状態です。

本論でなくてすみませんが,重松さんの counter.acgi を使われて
はどうでしょうか。

→  SoftwareBox

ろばたろう さんからのコメント
( Wednesday, September 05, 2001 00:34:45 )

>MacOS で常時接続を利用するとき、何を気をつけるべきなのか。

はい。
OS固有のものとしてはファイル共有と利用者&グループ+Appletalkだと思います。
それ以外としてはサーバーの役割を行うようなアプリケーションの
セキュリティホールだと思います。ping攻撃に見られるTCP/IPへのアタック
にも気をつける必要はあります。

常時接続とは、単に「接続料固定」の使い放題という場合と、
外から明示的、暗示的にアクセスを受ける可能性のあるような「接続しつづける」
場合を指すと思います。

MacOSは「リモートログインの概念がないので他のOSに比べて頑丈である」は
(ほぼ)間違いないと思います。
未知の攻撃で落とされる可能性はありますが、踏み台にはされにくいという
観点で常時接続のサーバーとしては信頼性は高いと思います。

先に述べたようにアプリケーションはOSと同じように考えると危険です。
メールサーバーの不正中継はMacOSでは防ぐことはできないし、
トロイの木馬をメール添付で送り込まれるのも同じことです。
「MacOS」「TCP/IP」「アプリケーション」は切り分けて考えることだと
思います。

いかがでしょうか?


Zephyros/さわむら@MuON さんからのコメント
( Wednesday, September 05, 2001 19:49:28 )

以前,CATV常時接続を利用していたとき。

セレクタでAppleTalkを選ぶと,ほかの誰かさんのMacが何台も見える,
ということがありました。

さすがに,選んでダブルクリック・・・は,しませんでしたけど(^_^;。

その後,東京めたりっくのADSLにすると見えなくなったので,ISP側の
ルータの設定にもよるんでしょうね(AppleTalkを通すか通さないか)。

アイガサ さんからのコメント
( Thursday, September 06, 2001 07:44:12 )

NTTのFlet's開始に伴い,常時接続を始め,サーバーを立てましたが,
正直言ってセキュリティ対策については,不安です。

そのため,今一番欲しいサービスは,OCNユーザーに行われている
OCNセキュリティチェックサービスのようなものです。
有料,無料を問わず,こういうサービスを行っている会社等が
あるのでしょうか?
また,Macサーバーで実際にサービスを受けた方がおりましたら,
参考にしたいのですが,いかがでしょうか?

Macサーバーセキュリティチェックリストようなものが,
個人用に作れたらと思うのですが...

→  OCNセキュリティソリューション

ろばたろう さんからのコメント
( Thursday, September 06, 2001 22:22:58 )

クライアントとしてのセキュリティなら
パーソナルファイアウオールは効果的かもしれません。
ルーター経由であればルーターの設定を変更すれば効果的だと思います。

サーバーとしてのセキュリティは、どんなサービスを行うか(何番のポート
を開けるか)ということも重要だと思います。
高額なFWを入れて、wwwのサービスを立ち上げて80番のポート以外は塞いだ。
でもCodeRedでアタックされてしまう...

私は、セキュリティというのは回線屋さんやFWがやってくれるので
安心だとは思わないのです。自らの財産や利益を損失するような可能性がある
サービスを早急には行わないで、ICMPLoggerなどでじっと観察したり
このサイトの情報などを参考にしてステップを踏む。そうすると何番のポート
がどうとか、参照モデルがどうとかの基本に必然的にぶちあたってきます。

こういう段階を踏むのにMacOSは非常に付き合いやすいと思っております。
そうしていくとMacOS以外でもサーバー運用が可能になるだろうと...
あとは年齢と根気との戦いです(笑)。