一度でも「自分」のサーバのlogwatchを見れば、誰でもセキュリティに敏感になるんだよ

「セキュリティセキュリティうるせーな、別に俺のサーバなんて、誰が興味あるってんだよ」 という気持ちから 「すいません。勉強して、ちゃんと運用します。」 という気持ちになる話。  

きっかけ

最近、この記事に何故か感銘を受けましてですね。さくらVPSとかを契約してしまった私です。おっちゃんやのに。

エンジニアならウェブサーバーのひとつでも自腹で立てて運用すべき理由と、サーバー環境の選び方 http://www.akiyan.com/blog/archives/2013/08/software-engineers-should-operate-a-web-server.html

勢いあるエントリです。  

ほんで、サーバ立ちました

さくらVPS素晴らしいですね。何が素晴らしいって、ほんとまっさら。なーんにも設定されていないサーバがセットアップされて、rootのパスワードもらってあとは終了。ご自由に。このフリーダムな感覚素晴らしいと思います。 まっさらな状態からLinuxでネット環境にサーバ建てたこと無いので、あれこれググりながら作業を進めてみる。「さくらVPS」関連でググると、でるわでるわ。いろんなTIPSが山のように。盛り上がってますね。さくら界隈。 そんな状態で、たまたま以下の記事に行き当たる。

サーバ管理知識がなくても「さくらVPS」をレンタルサーバーのように使える方法 http://www.wakatta-blog.com/vps.html

「サーバ管理知識がなくても」というキーワードに炎上の臭いを感じた自分は、即はてブをチェック。ここらへんの反射神経はかなり鍛錬されている自分。 すると、案の定、こんなコメントがズラリで燃えてました。皆さんなかなか手厳しいですね。 確かにサーバ自体に大したデータが入っていない場合でも、踏み台にされるケースはいくらでもあるわけで、裸同然ノーガード戦法のサーバ運用は、けしからんですな。自分だけならまだしも、他人にまで迷惑をかけるのはよろしくありません。納得至極でございます。 ネットにあるさくらVPS構築メソッドも、セキュリティ関連は適当なのが結構あって、こりゃマズイだろうと思いながら、自分なりに試考錯誤して最低限の設定をしてみることに。 rootパスワード変更、一般ユーザ追加、rootログインの無効化、sudoの有効化、SSH接続鍵設定、パスワード認証廃止、SSH接続ポート変更、iptables設定、logwatchの設定、Apache設定、等など。 ふぅ、最低限こんだけやってりゃいいか。寝よ寝よ。おつかれっしたー。  

logwatchメールの内容がキモかった

一晩あけて送られてきたlogwatchの内容をみて思いました。「あかんわこれ、インターネット怖い」。 httpdとか抜粋すると。  ——————— httpd Begin ————————

 Requests with error response codes
    400 Bad Request
       <title>phpMyAdmin: 1 Time(s)
    403 Forbidden
       /: 19 Time(s)
    404 Not Found
       /PMA/: 1 Time(s)
       /admin/: 1 Time(s)
       /dbadmin/: 1 Time(s)
       /favicon.ico: 4 Time(s)
       /myadmin/: 1 Time(s)
       /mysql-admin/: 1 Time(s)
       /mysql/: 1 Time(s)
       /mysqladmin/: 1 Time(s)
       /mysqlmanager/: 1 Time(s)
       /p/m/a/: 1 Time(s)
       /php-my-admin/: 1 Time(s)
       /php-myadmin/: 1 Time(s)
       /phpMyAdmin-2/: 1 Time(s)
       /phpMyAdmin/: 1 Time(s)
       /phpMyAdmin2/: 1 Time(s)
       /phpmy-admin/: 1 Time(s)
       /phpmyadmin/: 1 Time(s)
       /phpmyadmin2/: 1 Time(s)
       /pma/: 1 Time(s)
       /sql/: 1 Time(s)
       /sqlmanager/: 1 Time(s)
       /sqlweb/: 1 Time(s)
       /webadmin/: 1 Time(s)
       /webdb/: 1 Time(s)
       /websql/: 1 Time(s)
       http://www.daydaydata.com/proxy.txt: 1 Time(s)

 ———————- httpd End ————————-   なんだこのリクエスト。phpmyadminなんか入れてねーし、入れる予定もないけど、もし入れるんならちゃんと入れないと、ヤバイなコレ。  

自分のサーバのリアル感が緊張感をかきたてる

確かに「セキュリティは大事」「常にアタックされる可能性は有る」というのは聞くんですよ。ほんで、「大事だなぁ」ということは感じるわけですね。 いま思うに、ここらへん聞いていたときは、なんだかんだで他人事でした。なんか、交通事故は日本中発生しているけど、自分は、まぁ事故に遭うなんてことは無いだろうな。ふふぅーん、みたいな。 でも、ほんとに立てたばっかりの「自分」のサーバにリアルに「不正なアクセス」がある証拠をみると、他人事が一気に自分事に変わる瞬間をリアルに感じる訳なんですよね。下手なことやったら直ぐに乗っ取られるかも？という、リアルな緊張感。こんな名もない立てたばっかりのサーバにさえ、こんなリクエストがあるなんて想像していなかった。 これは理屈じゃない。身体で見て経験しないとその怖さと実態ってわからないもんだなぁと、このメールを見て思いましたとさ。  

とりあえず、一度見とけ

いい経験になりました。もし自分が他人に教える立場だったら、まずは、この現実を見るようにオススメするかな。気持ちがシャキッとしますよ。簡単な設定方法は、こちらがわかりやすかったです。

さくらのVPSを改めて使いはじめる 3 – iptablesとlogwatch http://akabeko.me/blog/2012/04/revps-03-iptables-logwatch/

自分で手を動かすって、いつの時代も大事ですね。また明日、どんなメールが来るんだろ。おやすみなさい。