« プリウスの大躍進と「いつかはクラウン」の価値観の崩壊 | トップページ | 王者の道 »

2009年9月 2日 (水)

web サーバーで SSH サービスを公開する場合

【SSH とは】

以前、自宅サーバー運営の危険性について書いた。しかし、自宅で個人サーバーという形態がセキュリティ的に危険な代表例だという意味で取り上げたのであって、自宅で個人サーバーを運営している方の中にも、安全にサーバーを運営している方は多くいる。

他方、企業保有のサーバーやレンタルサーバーにも、問題のある運営をしていてセキュリティ・リスクの高いサーバーも多く存在する。悪意を持った者がシステムへの侵入を試みる経路は多くあるが、もっとも鮮やかに直接のコントロールを与えてしまう危険性が高い経路がSSH(Secure SHell)である。

SSH は Linux 系システムへのリモートログインを行うための通信手段である。インターネット時代になる遥か前、「危険なネットワーク」という概念が存在しなかった頃は telnet が使われていたが、telnet は通信内容を暗号化せずに通信するため、ログインID、ログインパスワードがそのまま傍受されてしまう。したがって、現在は通信経路を暗号化する SSH が telnet に代わり使われている。

では SSH であれば安全に利用できるのかというととんでもない。インターネットに SSH の窓口を公開するということは非常にリスキーであるということを心得るべきである。

【SSH を公開する場合の心構え】

SSH を破られるということは、サーバーを丸ごと乗っ取られることに等しい。最近のサイバー犯罪者は、通常ただ侵入して覗き見たり破壊しただけで満足することはない。一旦侵入に成功した犯罪者は、巧妙にバックドア(裏口や目立たない侵入口)やリモートコントロール・プロセスをそのサーバーに仕掛け、侵入の形跡を消してそのまま生かしておく。そしてそのサーバーは犯罪者の傭兵となり、犯罪者が利用したいタイミングで自由にコントロールされるのである。

本当は SSH をインターネットに公開することを限りなく避けるべきである。メンテナンス用の回線を用意し、インターネットから遮断されたネットワークだけに公開すべきである。しかしながら、予算が限られている場合、レンタルサーバーの場合など、やむを得ず SSH をインターネットへ公開せざるを得ない場合があり得る。

その場合に、最低限行っておくべきことを下記に列挙する。

  1. OS のセキュリティ・パッチを吟味し、OS レベルの脆弱性を塞ぐ
  2. root アカウントで直接 SSH にログインできないようにする
  3. パスワードを安直なものにしない
  4. SSH アクセス可能な IP アドレスを限定する
  5. 不要なサービス、デーモン、パッケージを導入しない

1について: 各 Linux のディストリビューションに応じて OS のアップデートの方法がある(CentOS の場合は yum)ので、適切に最新パッチを当てることが重要である。

2について: CentOS の場合、 /etc/ssh/sshd_config のファイル中で PermitRootLogin yes となっている場合は、no に変更する。これで直接 root でログインすることが不可能になる。

3について: クラッカーは総当り式で役立つような辞書データを持っている。人間の頭に入りやすいパスワードを利用しているのであれば、即座に変えるべきである。

4について: 経験的に、悪質な侵入者は日本以外の地域の Global IP アドレスからやってくる。したがって、/etc/hosts.deny に sshd:ALL として一旦すべてのアクセスを拒絶し、その上で、/etc/host.allow に sshd: *.jp と記載する。ただし、これは最低限である。最近は jp ドメインのサーバーからも攻撃は行われている。そこで、外部から SSH を利用してログインする可能性があるメンバーが用いるプロバイダーのドメインを調べ、その IP アドレスだけを /etc/hosts.allow に記載するというのが望ましい。

先に述べたとおり、インターネットにサーバーを公開し、乗っ取り等の被害に合うことは「被害」だけに留まらない。「加害」に直接つながることになる。したがって、SSH を外部に公開する場合は、セキュリティの確保に十分に念を入れたいものである。

|

« プリウスの大躍進と「いつかはクラウン」の価値観の崩壊 | トップページ | 王者の道 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: web サーバーで SSH サービスを公開する場合:

« プリウスの大躍進と「いつかはクラウン」の価値観の崩壊 | トップページ | 王者の道 »