Linux で自宅サーバ [ Home Server Techncial ]

>>トップページに戻る

BBS 過去ログ No.0001に戻る
タイトル: サーバーのセキュリティーについて
記事No: 226
投稿日: 2003/03/03(Mon) 11:48
投稿者: ken
こんにちははじめまして。
サーバーを勉強しようと思いまして、とっても参考にさせて
頂いてます。過去ログを読んでてセキュリティー上
詳しくは話せないと書いてらっしゃいますが、
基本的にどんなパケットフィルターを施せばとりあえず安心
なんでしょうか?いろいろ検索はしたのですが・・・
ルーターが同じメルコなので(WBR-54G)参考にさせて
頂けたらと考え投稿させて頂きました。
Linuxはredhatで取りあえずはサーバーとして動いています。
コメント頂けたらありがたいです。よろしくお願いします。
タイトル: Re: サーバーのセキュリティーについて
記事No: 228
投稿日: 2003/03/03(Mon) 18:28
投稿者: ゼブラ
ゼブラです。こんにちは。

こういう質問に対して、ある程度セキュリティがわかっている人が言いそうなのが「とりあえず安心な設定なんか存在しません」ということ。私も言われたことがあります。正論なので、相手の更なる質問を封じるのに効果的です。しかし、それでは何の解決にもなりません。(ドン=机をたたく音)

私自身「勉強中の素人」なので、以下の考え方に間違いがあったら、識者の方、どうぞご指摘をお願いします。

同じくらいの可能性で言われそうなのが「それはあなたが、そのサーバで何をしたいかによります」という表現。そりゃそうです。私の場合は、ルータ外からのアクセスは、80(HTTP)、443(SSL)だけを通す(IN設定)ようにしています。危険なポートを閉じるのでなく、必要なポートのみ開けるというスタンスがいいように思います。ルータによっては、それができないものもあるようですが。

どこの検索エンジンにも登録していないのに、不正アクセス(らしきもの)は結構やってきています。ルータのパケットフィルタだけでは不十分らしいので、Tcp Wrapperと併用したり、Analog等でログを解析して、おかしな挙動をするアドレスに対しては、本格的な悪戯に及ぶ前にブロックするなどの対応が必要だと思います。

必要なポートのみ開けた場合、結果として137〜139、445は閉じられているので、Windowsのファイル共有対策は一応出来ていることになります。無線LANでつながっているクライアントがある場合、接続可能なMACアドレスの制限や暗号化をしておくのは重要です。この辺りは私もしています。

必要に応じて、ssh(22)、FTP(21,20)、Webmin(10000)、POP(110)、SMTP(25)等を開けることになるのでしょうが、どうしても必要なポート以外は開けない方がいいと思います。FTPは普通の状態ではかなり危険なので、anonymosによる接続を許さず、接続可能なIPアドレスを限定し、更にはPort Forwardingという技術を使ってSecureなFTPを実現すべきだと言われます。このPort Forwardingは前に試してみましたが、その時は上手くいきませんでした。
また、Webminをルータの外からつなぐのはとても便利ですが、セキュリティの観点からはやめた方がいいかも知れません。メールサーバは不正中継をさせないために、十分注意を払うべきでしょう。これについては、このサイト内にとても分かりやすい説明があります。

セキュリティ全体の枠組みについては、ちょっと古い資料(卒論、私のではありません)ですが、
http://ccs.cla.kobe-u.ac.jp/Jouhou/95/Takahasi/sotsu_index.html
が、やさしくまとめてありました。

↓具体的なセキュリティ対策については、ここが割とまとまっています。
http://ma2tak.dyndns.org:8888/ma2tak/1337

私見ですが、Windowsサーバは比較的簡単に立てられる分だけ、こういった配慮がないがしろになるケースが多い気がします。その点、PC UNIXはやる気次第できっちりできるようです。

管理人さんも言われていますが、こういった配慮はコンテンツの充実に優先させて行なうべきでしょうね。
ken さん、お互いがんばりましょう。
タイトル: Re^2: サーバーのセキュリティーについて
記事No: 233
投稿日: 2003/03/03(Mon) 20:46
投稿者: kensuke@管理人   <webmaster@miloweb.net>
URL: http://www.miloweb.net/
kenさん、ゼブラさん、こんにちは。

サーバのセキュリティですね。
やはり、自宅に世界中からアクセス可能なサーバがあれば、「不正アクセス」というものがとても心配になりますね。

ゼブラさんはとても正しい知識の元、実践されていると思います。
「勉強中の素人」と申されますが、そんな事ないです。
私も「勉強中のド素人」なので、これからお互い頑張りましょう(^_^)/

kenさんは私と同じメルコのルータという事で、お仲間ですネ。
私は、BLR-TX4なのですが、ファームウェア(ルータ設定用Webページ)は同等の機能なのでしょうか?多分同じような機能を有していると思いますが・・・。
メルコのルータの場合、デフォルトで全てのポートが「Close」の扱いになっています。この「Close」は、外部から無理やり開けようと思えば開ける事が可能です。ですので、「パケットフィルタ」機能で閉じたいポートは全て手動で閉じなければなりません。
「パケットフィルタ」で閉じたポートのみが、「Blockd」の扱いになります。
ですので、私は、「80番」「20-21番」「110番」「25番」をアドレス変換でサーバ機を指定し、その他のポートは面倒ですが、一つ一つパケットフィルタで閉じています。
メルコのルータで出来るのはこれ位だと思います。

どなたか、デフォルトで外部からのパケットを禁止していて、必要に応じてポートをオープンする格安ルータを知りませんか?
もしご存知ならお教え下さい。
ファームウェアのぶっちゃけた使い勝手は実際に使用している方にお聞きするのが一番ですからネ。
タイトル: Re^3: サーバーのセキュリティーについて
記事No: 239
投稿日: 2003/03/04(Tue) 00:40
投稿者: n_snufkin
横から失礼させていただきます。

ポートを閉じるということも大事ですが、自分が使わないとか
セキュリティーに自身の無いデーモンを起動させないという方法
もあります。(消極策ですね)
それと、最近のルーターではルーターの方でDoS攻撃を検知して
遮断したり、Pingを返さず存在を隠す機能がついているものもあり
そういった機能を使うといった手もあります。いずれにせよ、フィル
タリングを使うとネットワークへのレスポンスが悪くなるという欠点
もありますが・・・。

メールサーバーを使うのならすくなくとも不正中継をさせない設定は
しておいた方がいいと思います。

自分も今年からlinuxを始めたのですが、ゼブラさんkensuke@管理人さん
の書込みは参考になりました。
タイトル: Re^4: サーバーのセキュリティーについて
記事No: 241
投稿日: 2003/03/04(Tue) 17:13
投稿者: ゼブラ
ゼブラです。こんにちは。

>ポートを閉じるということも大事ですが、自分が使わないとか
>セキュリティーに自身の無いデーモンを起動させないという方法
>もあります。(消極策ですね)

これも重要なことだと思います。
まず各デーモンの役割、起動しているか否か、どうやって起動しているのかを理解することが先決ですが、消極的というよりは根本的な対処だと思います。

私はアイオー・データのWN-B11/BBRH使っています。サーバ(Linux)は有線でつなぎ、クライアント(Windows)2台を無線でつないでいます。
このルータのファームウェア(Ver.1.00)は、INとOUTのパケットフィルタが分かれていて、それぞれ8つのフィルタが設定可能です。各フィルタには、送信元のIPとポート番号、受信先のIPとポート番号が指定可能です。例えば、INフィルタで「111.111.111.111から、192.168.0.11:20-22(範囲設定可)へのアクセスを許す」というように設定できます。フィルタ全体を透過モード(指定したフィルタに一致するパケットのみをPassさせる)と、破棄モード(指定したフィルタに一致するパケットのみをRejectする)のどちらかに設定可能です。これを私は透過モードで使っています。

>メルコのルータの場合、デフォルトで全てのポートが「Close」の扱いになっています。この「Close」は、外部から無理やり開けようと思えば開ける事が可能です。ですので、「パケットフィルタ」機能で閉じたいポートは全て手動で閉じなければなりません。

メルコのルータは使ったことがないので、Close状態とBlocked状態の違いも、外部から無理やり開けるやり方もわかりませんが、N-B11/BBRHのマニュアルを見る限りでは、透過モードでは許可されてないパケットはブロックされるようです。

ルータ自体のログには、フィルタで遮断されたアクセスについては、以下のように記録されます。
Unallowed access from 111.111.111.111:33355 to TCP port 23

また透過フィルタはあるが仮想サーバが定義されていない場合は、以下のように記録されます。
Unrecognized access from 100.100.100.100:33355 to TCP port 39760

このログには、445番(ダイレクト・ホスティングSMBサービス)やFTPへのアクセスが時々残ります。
ファームウェアをVer.1.01にすると、このログをサーバ上に逐次保存できるようです。

これ以外にApacheのログに、CodeRedやNimdaっぽいアクセス跡がよく残っています。毎日、定期便のようにやってくる特定IPからのアクセスもあります。ここはWindowsじゃないっちゅーに。☆○(゜ο゜)o
公開前のサーバでこれですから、Windowsサーバは怖い。杜撰にやってれば、UNIXサーバも怖いのは同じなんでしょうけどね。

このルータに対する不満はほとんどないですが、パケットフィルタの数(IN・OUTとも8つずつ)がもう少し欲しいところです。外部の特定のIPから設定を変えたり、再起動できるのは便利です。Windowsバーチャルデスクトップ等の重い接続をしていると突然何も通さなくなって、再起動すらできなくなることがありますが、それはルータだけの問題でもないような気がするので、費用対効果はいいと感じています。

また、知り合いがCorega BAR SW-APを使っていますが、このフィルタは貧弱です。OUT・INの区別がなく、禁止するIPまたはポートを一つずつ設定(範囲指定不可)するしかないようです。つまり、穴を塞ぎきることは事実上不可能です。二人で調べた範囲ではそうするしかないようで、買い替えを進言しています。
タイトル: ありがとうございます
記事No: 240
投稿日: 2003/03/04(Tue) 16:14
投稿者: ken
詳しいとっても詳しい解説本当にありがとうございます。
勉強中の素人どころかとっても詳しいと思います。

管理人さんのレスによりますとポートは閉じなければ
いけないと(defultでBlockdではない)みたいなので
ゼブラさんに解説してもらったみたいに、使用しない
ポートは閉じていこうと思います。ポートは標準で閉じてるもの
とばっかり思っていたので驚きでした。
しかもcloseの方がblockdよりも安全だとばっかり思っていました。
全然逆だって理解できただけでもほんとよかったと思います。

「とりあえず安心な設定なんか存在しません」って言われるものとばっかり思っていたものでホント感動です。もしそう言われるとそれ以上突っ込んで聞けなくなってしまいますものね。

僕はとりあえずはwebサーバーとして使う所から始めたいと考えています。なので、開いてるのは80(HTTP)だけになります。
管理人さんがその他にも詳しい解説をされているので
徐々にやってみたいと考えています。

n_snufkinさんのおっしゃるとうりApacheだけを起動して使用しようと考えています。上達したいのですが、不正アクセスに荷担しないようにとか考えるとついつい臆病になってしまいます。

技術の向上目指してがんばってらっしゃる方々に負けないように
自分もがんばっていきたいと思います。
これからもいっぱいお邪魔させて頂こうと思っています。
ほんとうにありがとうございました。
▲ページの最上部に戻る
Copyright© Home Server Technical. All Right Reserved.
webmaster@miloweb.net