VPSとは、GMOグループやさくらインターネット社が提供している仮想専用サーバの事で、クラウドと称されることもあります。値段が安くて契約が簡単なので、ちょっとしたスタートアップサイトや開発サーバ用として、さくっと構築するのに便利です。また昨今は構築手順やノウハウもインターネット上や書籍にたくさん出回っているので、サーバやネットワーク技術者以外の方が果敢に構築・運用にチャレンジされる事も多いようです。ただしVPSとはいえ、OSやミドルウェアの仕様は通常のRedhat LinuxやCentOSと全く一緒ですから、セキュリティ対策は万全に行っておきたいものです。
そこで以下にVPSを借りたら真っ先にやったほうがよいセキュリティ対策を挙げてみました。
【固定IPアドレスの確認】
これはVPSを借りる以前の問題ですが、インターネット関連を生業としている会社や個人の方でも、固定IPアドレスを持たないプロバイダ契約をしていることがたまにあります。これは私の感覚ではネット上の住所不定という状態であり、アクセス制限や許可も曖昧にしか出来ないので、機密度の高い仕事を任せてもらえない可能性もあります。したがって固定IPアドレス程度の微々たる投資は惜しみなく行うべきだと思います。
【sshのrootログインを禁止する】
Linux系OSはデフォルトでリモートからのrootログインが許可されている場合が多いので、これを真っ先に禁止しましょう。
$ su
# cd /etc/ssh
# vi sshd_config
PermitRootLogin yes ------> no
# /etc/init.d/sshd restart
【sshとftpのアクセス制限を行う】
主にサーバ管理に使用するSSHやコンテンツを更新する際に良く用いられるFTPは、ハッカーから攻撃される事が多いので、安全なパスワードや鍵を運用する以前に固定IPアドレス制限をかけておくべきです。アクセス制限方法はいくつか手法があるのですが、TCP Wrapperを用いた以下の設定が簡単です。
# cd /etc
# vi hosts.allow
vsftpd: 123.45.67.89 (追記)
sshd: 123.45.67.89 (追記)
#vi hosts.deny
vsftpd: ALL (追記)
sshd: ALL (追記)
ちなみにこれらの設定をミスるとサーバにアクセスできなくなる可能性が有ります。必ずallow側(許可)から設定を行うことと、SSHを制限する前にFTPで不通・通過の確認を行ってください。
【不要なサービスを停止する】
これはサーバ運用の一般的なセオリーですが、メールサーバ(sendmail/qmail/postfix)、メールクライアント(dovecot/qpoper/pop3d)、DNS(named)、Web(httpd)、FTP(vsftpd/proftpd)、データベース(mysql/postgresql)等を明確に使用する要件が無い場合は不用意にサービスを立ち上げておかない方が安全です。
# /etc/init.d/sendmail stop
# cd /etc/rc3.d
# mv S80sendmail K80sendmail
【iptablesによるファイアウォール構築】
Linuxにはiptabesという簡易ファイアウォール機能が備わっていますが、設定が少し専門的ですので素人が触るのはおススメしません(設定を誤るとサーバにアクセスできなくなる場合があります)。こちらの設定方法については別の機会で触れたいと思います。
そこで以下にVPSを借りたら真っ先にやったほうがよいセキュリティ対策を挙げてみました。
【固定IPアドレスの確認】
これはVPSを借りる以前の問題ですが、インターネット関連を生業としている会社や個人の方でも、固定IPアドレスを持たないプロバイダ契約をしていることがたまにあります。これは私の感覚ではネット上の住所不定という状態であり、アクセス制限や許可も曖昧にしか出来ないので、機密度の高い仕事を任せてもらえない可能性もあります。したがって固定IPアドレス程度の微々たる投資は惜しみなく行うべきだと思います。
【sshのrootログインを禁止する】
Linux系OSはデフォルトでリモートからのrootログインが許可されている場合が多いので、これを真っ先に禁止しましょう。
$ su
# cd /etc/ssh
# vi sshd_config
PermitRootLogin yes ------> no
# /etc/init.d/sshd restart
【sshとftpのアクセス制限を行う】
主にサーバ管理に使用するSSHやコンテンツを更新する際に良く用いられるFTPは、ハッカーから攻撃される事が多いので、安全なパスワードや鍵を運用する以前に固定IPアドレス制限をかけておくべきです。アクセス制限方法はいくつか手法があるのですが、TCP Wrapperを用いた以下の設定が簡単です。
# cd /etc
# vi hosts.allow
vsftpd: 123.45.67.89 (追記)
sshd: 123.45.67.89 (追記)
#vi hosts.deny
vsftpd: ALL (追記)
sshd: ALL (追記)
ちなみにこれらの設定をミスるとサーバにアクセスできなくなる可能性が有ります。必ずallow側(許可)から設定を行うことと、SSHを制限する前にFTPで不通・通過の確認を行ってください。
【不要なサービスを停止する】
これはサーバ運用の一般的なセオリーですが、メールサーバ(sendmail/qmail/postfix)、メールクライアント(dovecot/qpoper/pop3d)、DNS(named)、Web(httpd)、FTP(vsftpd/proftpd)、データベース(mysql/postgresql)等を明確に使用する要件が無い場合は不用意にサービスを立ち上げておかない方が安全です。
# /etc/init.d/sendmail stop
# cd /etc/rc3.d
# mv S80sendmail K80sendmail
【iptablesによるファイアウォール構築】
Linuxにはiptabesという簡易ファイアウォール機能が備わっていますが、設定が少し専門的ですので素人が触るのはおススメしません(設定を誤るとサーバにアクセスできなくなる場合があります)。こちらの設定方法については別の機会で触れたいと思います。
コメント