rurihabachi
Last update: 2013/11/25  
    仮 想 マ シ ン で Fedora サ ー バ       ◇◇◇  お金をかけずに簡単簡潔  ◇◇◇  サーバ構築公開手順 覚書き  ◇◇◇
 
 
サーバ構築メニュー  
     1. はじめに
     2. 構築前の準備
     3. サーバの役割り
  « 4. サーバの計画
       サーバの機能と配置
       ネットワークの計画
       セキュリティの方針
  » 5. 仮想マシンの準備
  » 6. Fedoraの準備
  » 7. サーバの基本設定
  » 8. ファイアウォール
  » 9. ウェブサーバ
  » 10. Apache Wicket
  » 11. メールサーバ
  » 12. セキュリティ
     13. サーバの公開


  サーバ構築Top  > 4.サーバを計画する  > (3)セキュリティの方針
    4. サーバを計画する
続いて本ページではセキュリティ方針について検討します。

    (3) セキュリティの方針

サーバ運用時のセキュリティ方針やサーバの安全な管理方法、またはサーバのネット公開の危険性などについては、事前にいろいろ情報を集め、本などで勉強しておくことも大切になります。

ファイアウォールサーバを構築することを前提として、外部ネットワークから内部ネットワークへの接続をファイアウォール機能で一切遮断してしまえば、安全性は当然高くなります。 けれどもその状態では外部からウェブサイトにアクセスすることもできませんし、メールの送受信もできません。 最低でも、ウェブサーバを公開する場合はウェブサイトへのアクセスを、またメールサーバを構築する場合は送信元の確かなメールの送受信に関わる接続を、ファイアウォールサーバで許可する必要があります。

さらに、サーバ管理をどのように行っていくかという点についても慎重に検討する必要があります。 日々のログを監視したり、ウェブサイトの更新をしたり、機能を向上させたりと、サーバ上で行う作業はとても多くなります。

最も安全性が高いのは、サーバの管理を全てサーバ機の前に座って直接行う方法です。 ファイルのアップロードもUSBメモリなどを使って行います。 ただ、実際にはそれでは不便なため、共有フォルダや、FTPなどのファイル転送ツール、NFSなどのファイル共有システムを利用して、外部からでもサーバの管理が行えるように設定するのが一般的です。 それに伴ってファイアウォールの設定も甘くなりがちで、気がつけば安全性が低くなっていたということになります。

実際に自分がサーバを管理する場合はどのような状況下で行うことが想定され、外部からの管理をどこまで許可するのかを、計画段階である程度検討しておくことも大切になります。

事業所などのサーバであれば、これに加えてユーザ管理や顧客管理、個人情報の保護等についても考える必要性が出てきます。 また、サーバルームの設置など、サーバ機の載ったPCを物理的に守る対策も必要になります。

1例として、例えば次章以降でファイアウォール/ウェブ/メールの各サーバを設定するに当たり、以下のようなセキュリティポリシーをもとに各種の設定を行っていくことにします。

     セキュリティの方針
 全般 ・サーバ機(物理マシン)は、鍵付きの部屋に設置し、関係者のみ立ち入りできるものとする
・サーバ機にはアンチウィルスソフトを導入し、毎日定義ファイルの更新及びサーバ内の全ディレクトリを対象としたウィルススキャンを行う
・サーバの管理は原則サーバ機で直接行い、必要な時のみ外部からの管理を可能とする
・サーバ機(仮想マシン)および各種ログのバックアップを定期的に行う
・ログの監視は常時行い、ログの解析には必要に応じてログ解析ツールを導入する
・サーバへのアクセステストを定期的に行う
 アクセス制御 ・ファイアウォールサーバを設置し、iptablesによるアクセス制御を行う
・ネットワーク内部から外部への通信は基本的に常時可能とする
・ネットワーク外部から内部への通信は、ウェブサーバおよびメールサーバへの不正でないアクセスのみ常時可能とする
・ウェブサイトへの不正アクセスはWebアプリケーションファイアウォールにて遮断する
・サーバへの不正アクセスに対してはアクセス頻度等による制御も行う
 メール機能 ・メールを対象としたウィルスチェックを行う
・外部からのメール送受信には原則ウェブメールを利用する
・ウェブメール利用時にはパスワード認証を行い、通信方式はhttps(暗号化)とする
・メールサーバへのアクセス(送受信)にもパスワード認証を導入し、通信方式はhttps(暗号化)とする
・不正アクセスをおこなったIPアドレスおよび類似IPアドレスはブラックリストに追加し、以後一切のアクセスを拒否する

 ◇     ◇     ◇

このサイト内で設定方法をまとめているセキュリティ関連の詳細については、下記の各ページも参照ください。

  機能   対策内容   詳細ページ
  ファイアウォール   iptablesによる
    -  アクセス制御
    -  各種攻撃からの防御
  8(1-3) ファイアウォールサーバの構築
  12(1)  iptablesによる監視
  アンチウィルス   Clam AntiVirusによる
    -  ウィルス検知・削除
  12(2)  アンチウィルス(Clam AntiVirus)
  Webアプリケーション
  ファイアーウォール
  mod_securityによる
    -  Webアクセス制御
  12(3)  WAF(ModSecurity)
  ログ解析   AWStatsによる
    -  ログの監視・解析
  12(4)  ログ解析ツール(AWStats)

 ◇     ◇     ◇

ここまでの計画をもとに、次章以降では実際にサーバを構築していきます。 まずはじめにサーバをインストールする仮想マシンを準備しましょう。



前のページへ <    メニューへ戻る    > 5.仮想マシンの準備 へ

4. サーバを計画する:
 
   (1)サーバの機能と配置
   (2)ネットワークの計画
  ›(3)セキュリティの方針
 
Copyright (C) 2011-2024 rurihabachi. All rights reserved.