技林TOP > 自宅サーバ構築メモ > 自宅サーバでのセキュリティ


≫立ててみて はじめてわかる アクセスかな

サーバを立てて、1日と経たないうちにワーム(ニムダやコードレッド)君が飛んできます。

ポートスキャンらしいアクセスもたまに来ます。

ping もそりゃ来ます。

SSH にログインしようとする奴なんて、数え切れないほど来ます。

FTP に入りたがる奴も一杯居ます。

インターネットは決して穏やかな海ではありません。確かな泳法を身につけないと危険です。

≫Do You Have a Policy?

自宅サーバを構築するに当たっては、必ずセキュリティ(安全性)に気を配らなければなりません。

セキュリティの弱い部分をセキュリティホールと言います。
セキュリティホールのあるサーバは、クラッカーに侵入されたり踏み台にされたりトロイの木馬やバックドアを仕掛けられたりと、悪さに利用されてしまいます。

例えば、メールサーバの第三者中継を許可していてクラッカーにエラーメールを大量送信されてしまった場合、クラッカーではなくサーバ管理者にその責任が発生する可能性だってあります。趣味でお縄になるなんて嫌過ぎます。

とは言うものの、きちんとした対処をしていれば、それほど怖れることはありません。

セキュリティに関してはまず、ポリシーをしっかりと決める必要があります。
ダイ@管理人の場合は、以下の様な感じです。

メールやFTPなどはLAN内からしか使用しない。
外部に公開するのはウェブサーバのみ(80番ポート以外は開けない)

えー、メールくらいは外部からも使用したいよー、という意見もあると思いますが、どうしてもと言うなら外部からも使用できるようにすると良いと思います。ただし、何かとセキュリティのリスクは上がります。
これはどのサービスにしても同じことが言えます。外部に公開する(ポートを開ける)場合は、特にしっかりとした設定を心掛けましょう(公開しない場合もキチンとするべきはするべき)。

≫ルータでファイアウォール

ルータは、立派にファイアウォールの役目を担ってくれます。これはルータにもよりますが、ADSLの普及以降、安価なものでも簡易ファイアウォール機能くらいは持っています。

ルータでやるのは、ポートの開け閉めとDMZでよくわからないパケットをクライアントPCに向ける作業です。

まず、上記ポリシーに従って、
ポートは80番「のみ」開けます。そして80番に来たパケットはサーバに向けます。
次に DMZ 機能でその他のパケットをクライアントPCに向けます。
(これをやらないとメッセンジャーとか使えなくなります)

ポートの設定はこちらのShields UP!で Probe my Port を実行してみてください。

DMZ で80番ポート以外へのアクセスをクライアントに振るのはいいんですが、クライアントPCに思わぬ穴があることもあるので、十分注意しましょう。
(C) bayashi.net