このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

自宅サーバ発信のためのセキュリティについて

発言者:sap
( Date Tuesday, February 24, 2004 11:09:02 )


初めて投稿させていただきます。
自宅のiMac266M、OS10.3.2の環境で自宅サーバとして設置しました。
次に、CGIを無事稼働させることも出来ました。
公開へ向けて、セキュリティに関してしなくてはならないことを
ご教授いただきたいのです。
セキュリティに関わるソフトは、SYMANTECのSystemWorksしかありません。
その他、自宅サーバを公開する際のセキュリティに関して参考になる
ホームページがあれば教えて下さい。
よろしくお願いいたします。

美音 さんからのコメント
( Tuesday, February 24, 2004 12:42:18 )

自宅サーバ公開おめでとうございます。

セキュリティですが、一番効果的なのは、不要なポートは閉じる、使わないサービスは
止める。これにつきると思うのです。

田中求之 さんからのコメント
( Tuesday, February 24, 2004 12:44:18 )

セキュリティと言っても幅が広いのですが、「何を守りたい」のでしょうか?
あるいは「どんなことを防ぎたい」のでしょうか?

また、サーバは Web だけですか?

ただ「セキュリティに関してしなくてはならないこと」と言われても、漠然と
しすぎて、具体的なアドバイスは得られないと思いますよ。


基本は、すでに美音さんがお答えになっているように、不要なポートは開けない、
そして不要なサービスは動かさない、でしょう。

ろばたろう さんからのコメント
( Tuesday, February 24, 2004 13:11:32 )

セキュリティとは、物凄く幅広い。
故にポリシーの設計-->運用-->見直しのサイクルを絶え間なく行うものです。
世界からアクセスできるサーバを立ち上げた瞬間に「ポートスキャン」され
見えない敵と戦うことになります。
特にメールサーバーの設定を誤るといまの時代、一撃されます。
ジャンクメールを匿名で発信したい需要が世界にあるということです。

1)不要なサービスポートは閉じる。
2)パスワードを平文で流さない。
3)ユーザーID,パスフレーズは推測されないものにする。
4)OSのセキュリティホールに注視する(Appleのセキュリティアップデート)
5)サーバーアプリケーションのセキュリティホールに注視する。
6)ログは目にする習慣をつける。
7)攻撃を受け「踏み台」にされるより「ダウン」したほうが他人への迷惑が
 少ない。
8)誰も信用しない(笑)

CGIもアプリケーションです。「バッファオーバーフロー」「クロスサイトスクリプティング」などの穴がないか検査しておくことも必要です。

ホスト単体で、このようなことを考慮し、「ルータのファイアウオール機能」も
併用し、万が一ひとつ破られても備えることも必要です。

このようにやることはいっぱいで常に状況が変化しますので夜も寝られなくなり
そうですが、攻撃してくる相手のほとんどは「スクリプトキディ」のようですが
本当のつわものには勝てない謙虚さ(笑)も必要、つまり自信のないことは
世界に公開しないことです。

最近の検索エンジンは優秀です。上の「」の単語をキーワードにしただけでも
たくさん出てきます。その中で何を信頼するのかという見識眼も問われるのです。

sap さんからのコメント
( Tuesday, February 24, 2004 17:59:39 )

ろばたろう さん、田中求之 さん、美音 さん
貴重な時間をさいて アドバイスいただきありがとうございます。
あまりにも抽象的な質問でご迷惑をおかけいたしました。
私は、無知でした。書店ではいとも簡単にあなたも自宅サーバを・・・などの
書籍がたくさん並んでいます。
私もその言葉に憧れていた一人で、わくわくする思いで設置しました。
設置までの道のりも、初心者の私にとっては、???の部分が多く簡単だったとは言えません。
のちは、メールサーバもと意欲に燃えていましたが、こちらのホームページで
過去ログを読むうちに、これは大変なものを作ってしまったのかと後悔しかけましたが、
もともと壊れても良いマック、最悪LANケーブルを抜いてしまおうと思い、
もう少しの間スキルアップのために、CGIの部分を公開しながら勉強していきたいと思います。
当分は、webのみにします。不要なポートは開けないようチェックします。
ターミナルからエラーを見ることは知ったのですが、エラーログの意味が
解らないので勉強します。
マックのターミナルに関わる解説が掲載されているホームページがあれば
ご紹介下さい。
特に注意しなくてはならない、エラーログは?
自宅サーバ設置の時もそうでしたが、マック環境では検索してもなかなか無いのです。windowsばかり。
よろしくお願いいたします。


けーざい さんからのコメント
( Wednesday, February 25, 2004 23:35:39 )

sapさん、こんばんわ。

わたしもつい最近自宅でWebサーバーのまね事 (^^; をはじめたばかりの者ですが...
セキュリティに関してご心配されているようなのでコメントします。

基本的に
<ふだん自分で使っているパソコンをそのままサーバーとして公開しない>
というのが精神衛生上良いのではないかと思います。

各種サーバーを立ち上げるのなら、個人情報の残りかすのまったくないパソコンを
別に用意したほうがいいと思います。(^o^)

また、CGIなど運用上のテストや練習(?)が主目的の場合、
サーバーを外部へあえて公開する必要はありません。

内部の閉じたLAN環境のなかで、2台のPCを使ってテストするというスタイルをとった方が
安全なのではないでしょうか?


→  http://www.t3.rim.or.jp/~kezai

まさひこ さんからのコメント
( Sunday, November 20, 2005 06:39:35 )

当方も、ようやく10年がかりで自宅でメールサーバを立ち上げました。
んですが、あっけなく攻撃に晒されて、クラッシュ。
それ以来、セキュリティに興味を持ちました。
で、あれこれと本を読んで独学中ですが、とあるセキュリティ会社のHPを
ポートスキャンをしたのですが、hpの80番ポートが見えないのです。
そこで質問。
なぜ見えないんですか?ステルスモード?って奴ですか?
それなら、私んちのサーバもステルスモードはオンになってます。
で、試しに外部から自分の家のサーバをスキャンしたら丸見え。
ちっともステルスではないです。ルータ機能が凄いのでしょうかね?
私もスキルアップして、出来ればそんな最強なサーバを構築したいであります。

... さんからのコメント
( Monday, November 21, 2005 16:47:35 )

まさひこさん。

それは「ファイアウォール」が設置されているからです。

まさひこ さんからのコメント
( Monday, November 21, 2005 21:57:43 )

『ファイアウォール』ですか?
自宅でもファイァウォールは動かしていますよ。
なぜ見えないんですか?
直接、そのセキュリティ管理者にメールしてみます。
ダメ元だと思いますが。。。

しあわせのツボ さんからのコメント
( Tuesday, November 22, 2005 10:32:08 )

> とあるセキュリティ会社のHPをポートスキャンをしたのですが、
これは非常にまずいです。絶対にやめてください。
他者のサーバにポートスキャンをかけるのは、
「これから侵入するよー」と宣戦布告をするに等しい行為です。

ついでなので答えておくと、サーバをステルスモードにしても
ルータがそうなっていなければ、ルータが外からのアクセスに応答するでしょう。
また逆に、ルータ自体をステルスモードにしても、パケットを破棄しなければ
ステルスモードになってない機器が応答するかもしれません。
ルータとサーバだけステルスにしても、家庭内には意外と多数のhttpdがありますよ。
無線LAN機器とか、HDDレコーダとか…。

まさひこ さんからのコメント
( Sunday, November 27, 2005 06:37:07 )

しあわせのツボさん、
回答ありがとうございます。
所轄の警察に問い合わせた所、ポートスキャンは、合法とおっしゃっていました。
過去に、ポートスキャンは違法行為か?合法行為か?という事が論議されていたhpが
海外にあった記憶があります。

ルータの設定に関しては、各会社まちまちななので、その会社のマニュアルを読みあさって
勉強中です。

また、その会社の管理者さんたちとは、連絡が取れ、快く、
私みたいな初心者にも丁寧に教えて頂きました。

余談となりますが、現在『ケルベロス』による認証を勉強したいと思っています。
でも、凄く難しいです。。。

ラズロ さんからのコメント
( Sunday, November 27, 2005 15:20:11 )

まさひこ様

> 所轄の警察に問い合わせた所、ポートスキャンは、合法とおっしゃっていました。
警察や法律うんぬんではなく常識です。
自宅でピンポンダッシュされたらどんな気分がしますか?

> 余談となりますが、現在『ケルベロス』による認証を勉強したいと思っています。
> でも、凄く難しいです。。。
知識&論理武装も良いですが、
まずは社会人としての常識を勉強してください。

切に願います・・・

まさひこ さんからのコメント
( Monday, November 28, 2005 03:46:23 )

ラズロさん、
いろいろとご意見ありがとうございます。
これに関しては、管理者様にご迷惑がかかるといけないので、
また、後日場所を変えていろいろと発言をしたいと思います。
いかがなもんでしょうか?