Memorandum

普段の生活の覚え書き。主に技術録

セキュリティについて

VPS セキュリティ

ブログレビューの記事でも紹介しましたが、VPSは良い点だけではないです。

具体的には下記のようなデメリットも存在します。

デメリット

VPSなら専用サーバのように扱えて、かつ複数のサービスを展開出来ることが分かりましたが、悪い部分はないのかも調べてみました。私は石橋叩いて壊すぐらいの慎重派なので、なかなか前に踏み出せず足踏みしてしまうので。。。調べてみたところ下記のような点があることがわかりました。

  1. サーバ構築は自分で行う必要がある すでにWordPressやその他のブログなどがインストールされていて、あとは記事を書くだけのサービスとは違い、VPSは自分で一からインストール作業や設定作業を行う必要があります。またLinux系のOSを選択するとWindowsユーザからはLinuxのコマンドを覚えたりする必要があるので最初は大変だと思います。

  2. サーバのメンテナンスを継続的に行う 一般のレンタルサーバを使用したことがないので分からないのですが、レンタルサーバなどでは定期的にメンテナンスされていて設定やアプリなどの更新を管理者が行なっていると思います。しかしVPSでは自分がその管理者なので、設定の見直しや、ソフトやアプリの更新などをする必要があります。情報のアンテナを高く張って、脆弱性などの情報を見ていきましょう。

  3. 専用サーバやクラウドサーバに比べると自由度が低い レンタルサーバに比べると、管理者権限が使え、自由に設定やソフトを入れることが出来ますが、他のユーザの影響も少なからず受けてしまいます。またスペックが足りない場合には対応できないところもあり、その辺はしょうがないのかなと思います。しかしVPSを提供しているサービスによってはストレージを増やすことができたり、ロードバランサなどのシステムで調整することもできます。

デメリットはいくつかありますが、なるべく手間がかからないように自動化を行なったり、メンテナンスを行なってくれるサービスなどもあるそうなので、上手に利用していければと思います。

運用方法

私的にはLinuxやサーバ運営の勉強をしたいという気持ちがあるので、1,2は手間ではありますが、それ自体が目的でもあるので、あまりデメリットとは思いませんでした。 しかし、サーバの構築やメンテナンスをある程度経験したら、あとは自動化したいとは思います。 Linuxには毎日決まった時間や定期的に実行してくれるcronというプロセスがあったりするので、自動化もしやすいと思います。 また、サーバ構築は何度もするものではないかもしれませんが、ある程度構築が固まったら、scriptで自動化したり、仮想環境を導入して、サーバ環境のリセットを行う運用もできると思いました。

セキュリティ対策

VPSを運用していく上で一番大切だと思うのが、サーバの日々のメンテナンス、その中でもセキュリティ対策については入念に行うことが重要だと思います。 VPSを契約してネット上に公開すると、特に誰かにアドレスを教えたわけでもないのに日々世界中から攻撃の対象になる可能性があります。 攻撃者は勝手にやってきて、攻撃を仕掛けていきます。特にVPSは契約した時点からネットワークに接続されているので、早めの対策や使わないときはシャットダウンしておくなどの対策が必要です。 私が行っている対策についていくつかご紹介します。
  • Denyhosts サーバを公開しているとssh(セキュアシェル)ログインで侵入してこようとする攻撃者がいます。実際私も何度か攻撃者の侵入の形跡をログで確認できました。そういった輩をアクセスできないようにするのがDenyhostsです。設定した値以上に不正アクセスをしたIPを記録して、一定期間または今後一切アクセスできないようにしてくれます。 (追記)後日、ssh以外のサービスを監視してくれるサービスに乗り換えました。

  • logwatch 自分がログインした時の記録や、HTTPなどでアクセスを受けた記録、ディスク使用量などの情報を記録し、報告してくれるツールです。私は毎朝メールアドレスに転送してもらい、通勤途中に確認しています。なんとなく見ていると楽しいですし、セキュリティについても危機感を持つことができると思います。

  • sshの設定変更

    sshから侵入されて、内部ファイルを自由に触れる状態になるのが危険ですので、sshのポート変更や、パスワード認証方式から鍵認証方式に変更しました。余程のことがない限りsshからは侵入されないと思います。(しかし慢心は危険なので注意します。)

  • Webサーバの設定

    公開しているWebサーバのサービスに不具合などの脆弱性があると、そこから侵入されてサーバ内部のデータや、ウィルスを仕込まれて別のサーバに攻撃する恐れがあります。そのため公開しているWebサイトやWebサーバについても設定を行っています。必要以上のファイルを公開しないだとか、脆弱性を探ってくる攻撃者について接続拒否するツールを導入しました。

今後

導入したサービスについて、このブログでもご紹介していこうと思います。サーバを乗っ取られると自分だけではなく、周りにも被害を与える可能性がありますので、皆様も自サーバの設定や、セキュリティ対策は万全にいたしましょう。

後日、どのような攻撃の手法があるかなど、会社でセキュリティについて少し勉強させてもらったので、攻撃者のやり方についてご紹介できればと思います。