仮想マシンでFedoraサーバ - サーバを計画する（３）

サーバ運用時のセキュリティ方針やサーバの安全な管理方法、またはサーバのネット公開の危険性などについては、事前にいろいろ情報を集め、本などで勉強しておくことも大切になります。

ファイアウォールサーバを構築することを前提として、外部ネットワークから内部ネットワークへの接続をファイアウォール機能で一切遮断してしまえば、安全性は当然高くなります。けれどもその状態では外部からウェブサイトにアクセスすることもできませんし、メールの送受信もできません。最低でも、ウェブサーバを公開する場合はウェブサイトへのアクセスを、またメールサーバを構築する場合は送信元の確かなメールの送受信に関わる接続を、ファイアウォールサーバで許可する必要があります。

さらに、サーバ管理をどのように行っていくかという点についても慎重に検討する必要があります。日々のログを監視したり、ウェブサイトの更新をしたり、機能を向上させたりと、サーバ上で行う作業はとても多くなります。

最も安全性が高いのは、サーバの管理を全てサーバ機の前に座って直接行う方法です。ファイルのアップロードもUSBメモリなどを使って行います。ただ、実際にはそれでは不便なため、共有フォルダや、FTPなどのファイル転送ツール、NFSなどのファイル共有システムを利用して、外部からでもサーバの管理が行えるように設定するのが一般的です。それに伴ってファイアウォールの設定も甘くなりがちで、気がつけば安全性が低くなっていたということになります。

実際に自分がサーバを管理する場合はどのような状況下で行うことが想定され、外部からの管理をどこまで許可するのかを、計画段階である程度検討しておくことも大切になります。

事業所などのサーバであれば、これに加えてユーザ管理や顧客管理、個人情報の保護等についても考える必要性が出てきます。また、サーバルームの設置など、サーバ機の載ったPCを物理的に守る対策も必要になります。

１例として、例えば次章以降でファイアウォール/ウェブ/メールの各サーバを設定するに当たり、以下のようなセキュリティポリシーをもとに各種の設定を行っていくことにします。

	セキュリティの方針
全般	・サーバ機（物理マシン）は、鍵付きの部屋に設置し、関係者のみ立ち入りできるものとする・サーバ機にはアンチウィルスソフトを導入し、毎日定義ファイルの更新及びサーバ内の全ディレクトリを対象としたウィルススキャンを行う・サーバの管理は原則サーバ機で直接行い、必要な時のみ外部からの管理を可能とする・サーバ機（仮想マシン）および各種ログのバックアップを定期的に行う・ログの監視は常時行い、ログの解析には必要に応じてログ解析ツールを導入する・サーバへのアクセステストを定期的に行う
アクセス制御	・ファイアウォールサーバを設置し、iptablesによるアクセス制御を行う・ネットワーク内部から外部への通信は基本的に常時可能とする・ネットワーク外部から内部への通信は、ウェブサーバおよびメールサーバへの不正でないアクセスのみ常時可能とする・ウェブサイトへの不正アクセスはWebアプリケーションファイアウォールにて遮断する・サーバへの不正アクセスに対してはアクセス頻度等による制御も行う
メール機能	・メールを対象としたウィルスチェックを行う・外部からのメール送受信には原則ウェブメールを利用する・ウェブメール利用時にはパスワード認証を行い、通信方式はhttps（暗号化）とする・メールサーバへのアクセス（送受信）にもパスワード認証を導入し、通信方式はhttps（暗号化）とする・不正アクセスをおこなったIPアドレスおよび類似IPアドレスはブラックリストに追加し、以後一切のアクセスを拒否する

　◇　　　　　◇　　　　　◇

このサイト内で設定方法をまとめているセキュリティ関連の詳細については、下記の各ページも参照ください。

機能	対策内容	詳細ページ
ファイアウォール	iptablesによる - アクセス制御 - 各種攻撃からの防御	8(1-3) ファイアウォールサーバの構築 12(1) iptablesによる監視
アンチウィルス	Clam AntiVirusによる - ウィルス検知・削除	12(2) アンチウィルス(Clam AntiVirus)
Webアプリケーションファイアーウォール	mod_securityによる - Webアクセス制御	12(3) WAF(ModSecurity)
ログ解析	AWStatsによる - ログの監視・解析	12(4) ログ解析ツール(AWStats)

　◇　　　　　◇　　　　　◇

ここまでの計画をもとに、次章以降では実際にサーバを構築していきます。まずはじめにサーバをインストールする仮想マシンを準備しましょう。