■ 「サーバ」に対する誤った認識
最近、常時接続というのが当り前になり、自宅サーバを立てることを 勧めるような書籍や Web ページが非常に多く出てきているので、 自分でもサーバを立ててみたいと思っている人を多く見受けます。 しかし、サーバを立てる際に気をつけるべきことを全く認識せずに 立てようとしている例も非常に多く見受けられます。
ここは、インターネットに公開するサーバを立てる際に一般の方が 勘違いしがちなこととそれに対する(私の個人的な)回答を、 世の中に溢れる「自宅サーバ立てよう!」系の書籍/Web ページには あまり書かれない 「自分でサーバを立てるのは大変だからやめよう!」 という視点で行い、 サーバ運営の現実をしっかり認識して頂くための ページです。
対象とする読者は基本的に 「サーバを自分で立てようと思っている人全員」で す。特に 「あまりコンピュータに詳しいわけじゃないけど、 なんだか自分で立てられるって噂だから立ててみようかと思っている人」 向けです。個人の「自宅」サーバに限りません。 企業などで自社サーバを立てようと考えている人も対象としています。 文中に出てくる具体例などは、どちらかと言うと企業などで「ちゃんと」した サーバを立てたい(立てなきゃいけない)人向けに書いている部分が多いです。 なぜなら、最大限の「ちゃんと」がどれぐらいのものなのか、というのが わかってないと、「じゃあ、自分はその範囲の中でこれぐらいまでやるのが 妥当だろう」という部分の判断ができないからです。 ですから、特に個人で趣味でやってる方との間には、 感覚の開きが生じる箇所があろうかと思いますので、 ある程度差し引いて読んでください。
既に自分でサーバを立てて、しっかり勉強/管理を続けている人は あまり想定してませんが、もしかしたら管理の穴を見付けるきっかけ となるトピックが含まれているかもしれませんので、 ご自身の管理方針について再確認をする場として利用して頂くのも 良いかもしれません。
ここではサーバ管理で考慮すべきことの 「全体」を知って頂くために、 なるべく広い範囲の話題を扱っています。 しかし、サーバを立てる目的や障害が起きた際のダメージの大きさは人それぞ れでしょうから、
- サーバに求める機能は何か
- Web サーバ/メールサーバ/DNS サーバ/データベースサーバ などなど
- 安全性(情報が漏れない/改竄されない)/安定性(耐障害性)/自由度 などなど
- 管理の「全体」のうち あなたのサーバの用途ではどこまで管理をがんばらないといけないのか (どこまでの事故/障害に備えるのか)
- そしてそのコスト(お金/時間/手間)は自分でがんばった方が安くなるのか
- 専門の業者に頼んだ方が安くなるのか
- 業者に頼むにしてもどこまでを業者に頼むのか
- ハードウェアの管理だけなのか
- ソフトウェアのセキュリティパッチなども含めた全てなのか
等についてはあなた自身で判断して取捨選択してください。
大量の個人情報/顧客情報や重要な業務情報を扱うサーバを立てる場合や 多くの人にサービスを提供するサーバを立てる場合には 最大限の対策を施す必要があるでしょう。
一方、アクセスするのは自分(と少数の身内)しかおらず、 サーバが 1 日や 2 日落ちてたってデータが消えたり漏洩したって 大した問題ではない、という用途の場合にはかなり簡略化した管理でも 何とかなるでしょう (ただし、ネットワークにつながっている以上、 常に他のコンピュータおよびその管理者に迷惑をかける可能性がある ということをお忘れなく!そして「迷惑をかけないための最低限の対策」だけでも かなりの分量がある、ということについてもこれから述べて行きます)。
個々の対策方法の詳細についてはここでは扱いません。 そこまでカバーしようとすると本が何冊も書けてしまいます。
では、よく見掛ける一般の方々の間違った認識に対して Q&A 方式で述べて行くことにします。
- 自分でサーバ立てるのってなんか楽しそうだしスゴそうだよね?
- サーバ立てるのなんてちょっとパソコンに詳しければ簡単にできるんでしょ?
- ハードウェアの多重化なんて必要?
- 企業で使うとかじゃなく個人的に細々と立てたサーバが攻撃されることなんて滅多にないよね?
- ADSL でつないでれば大丈夫だよね?
- 攻撃が来るって言ったって大した数じゃないんでしょ?
- 攻撃されたって大したことは起きないんでしょ?
- 普通に使ってるだけでそんなことが可能なわけないじゃない?
- 攻撃受けたって自分のコンピュータがおかしくなるだけで他人に迷惑かけるわけじゃないから勝手でしょ?
- アンチウイルスソフト入れてれば大丈夫だよね?
- ソフトウェアのアップデートさえしておけば大丈夫だよね?
- Mac なら大丈夫だよね?
- 今までサーバ立ててたけど別に何も問題はなかったよ?
- じゃ、どうすればいいのさ?
- よし、わかった。がんばって上記の対策をすれば大丈夫なんだね?
- 泥棒に盗まれるなんて滅多に起きないでしょう?
- まとめ:サーバ運営に必要とされる能力
- 参考文献
- 他のサイトから頂いた反響をピックアップ
自分でサーバ立てるのってなんか楽しそうだしスゴそうだよね?
いいえ。
確かにプロバイダ等のレンタルスペースを借りるのに比べれば、 いろいろと自由度が高くなるので楽しく便利な部分もありますが、 どう考えても辛く苦しく大変なことの方がずっとずっと多いです。
逆に、あなたがサーバ運営を「辛い」「面倒臭い」と実感して いないうちは、 あなたはまだサーバの管理をしっかりできていない可能性が高い です(サーバ運営が趣味で好きで好きでしょうがない とかなら話は別ですが)。
もしあなたのやりたいことが自分でサーバを立てずにレンタルの 共有 Web スペースなどで実現できることなら、 わざわざサーバなんて立てない方が絶対に良いです。 時間と金(主に書籍代等)と労力の無駄です。 「自分でサーバを立てる」という選択肢は、どうしても他に手段が なくて仕方なくやる「最終手段」ぐらいに考えておいた方が良いです。
確かにレンタルの共有 Web スペースは自由度が低く、フリーで配布されている CGI などの設置の手順が面倒なことが多いですが、CGI の設置の苦労なんて 1 回で済む話です。「自分で設置したサーバの方が CGI の設置が楽だから」 という理由で、もし自分でサーバを立ててしまったらサーバを動かしている限 り苦労がずっと付きまとうのです。余程のことがない限り多少の不便を我慢し てでもレンタルの共有 Web スペースを最大限活用した方が圧倒的に楽でしょう。 特に最近はレンタルの共有 Web スペースでもかなり自由度が高く値段も手頃なも のが出てきていますから尚更です。
サーバ立てるのなんてちょっとパソコンに詳しければ簡単にできるんでしょ?
いいえ。
立てるだけなら確かに少しパソコンに詳しければ誰でもできますが、 長期間に渡って安全かつ安定して運用するのは 本当に難しく過酷でコストのかかることです。
小さな企業などで上司から
○○君、パソコンに詳しいみたいだからうちの会社のホームページ 立ち上げてよ。でも予算無いから会社に余ってるパソコンと会社で 使ってる ADSL 回線で何とかしてね
みたいなことを言われて、泣く泣くやらされている人をたまに 見掛けますが、こんな状況では絶対にサーバを立ててはいけません。
サーバ = パソコンを 24 時間電源入れっぱなしにしただけのもの
では決してありません。
会社のウェブサーバやメールサーバなどの不特定多数の人に使わせる サービスだった場合、 基本的に 24 時間 365 日停止できなくなりますから、セキュリティ面の 対策に加え、ディスク破損などのハードウェア障害、電源障害、 ネットワーク障害にも備える必要があります。 つまり、いつ電源を落しても良い「パソコン」を扱うスキルと 「サーバー」の管理をするスキルは全く別物ということになります。
また、24 時間 365 日、不特定多数の人から休み無く利用される ということは、すなわち一般の「パソコン」よりも壊れやすくなる、 ということです。
そのような壊れやすい状況で、24 時間 365 日、 サービスを止めることができないということは、ハードウェアを多重化したり ネットワークを多重化したりなどの特殊な設備投資が必要になる、すなわち、 ハードウェア構成そのものが「パソコン」とは全く異なる 場合があるということです。
そして、このようなパソコンとは全く異なる特殊な環境で コンピュータ/ネットワークを運用するには、当然特殊な技術を持った 技術者も必要になります。
また、各種サーバの設定ミスにより 他人に多大な迷惑をかける可能性があることも忘れないでください。 設定ファイルによっては、ピリオド1つをつけた/つけない等の ちょっとしたタイプミスだけで大きく挙動が変わり、 見た目上特に問題無く動いているように見えるのに 実は他人にものすごい迷惑をかける設定になっていた、なんてことも ありますし、現在のコンピュータの処理能力やネットワークの速度は 非常に大きく、ネットワークにつながっているコンピュータの数も 膨大なので、ちょっとミスをしただけでも短時間 (数秒とか数分の間)にものすごい大きな結果を引き起こす場合も多いです。
更に、外部からの攻撃にも細心の注意を払う必要があります。 24 時間 365 日、世界中から来る悪意あるアクセスに目を光らせ、 攻撃が未遂に終わるような対策をし続けなければなりません。
サーバの運用というのは、決して素人が片手間で、 「パソコンの延長」でできるような 生易しいものではありません。
ハードウェアの多重化なんて必要?
それは用途によります。
個人で趣味でやる場合はまず必要ないでしょう。 しかし、利用者の多いサイトなどではサーバが落ちている際に 利用者に与える影響が非常に大きなものになる場合がありますので、 状況に応じて、ハードウェアの多重化を検討するなり、 「ここは無保証でやっているサーバなので、たまに落ちて みられなくなる場合があります。落ちているときに 情報にアクセスする必要がある場合は自分で保存しておいてください」 という旨をユーザーに周知させておくなどの配慮があると親切でしょう。
しかし、企業でサーバを立てる場合や、たとえ個人であっても、 レンタルサーバなどの多くの人にサービスを提供する場合は 信用問題となりますので、導入を考えた方が良いでしょう。
また、これは個人/企業関係なく全ての人に言えますが、 「自分のサーバがたまにちょっと落ちるぐらいでそんなに 迷惑はかからないだろう」と思われるかもしれませんが、 大規模なネットワークの世界では、それが積もり積もって 大きな迷惑に発展する可能性があることも忘れないように してください。
企業で使うとかじゃなく個人的に細々と立てたサーバが攻撃されることなんて滅多にないよね?
いいえ。
攻撃者は攻撃専用のプログラムを使って ランダムに(というか総当たり的に) IP アドレスを 指定して攻撃して来ます。
従って、
- 個人か企業か
- Google や Yahoo で検索にひっかかるサイトか否か
等は全く関係ありません。
ネットワークにつながっている全ての人が攻撃の対象となりえます。
ADSL でつないでれば大丈夫だよね?
いいえ。
いったいどういう理由でこういう勘違いをしてしまうのか 私には全く理解できませんが、これは完全な誤解です。
アナログモデムだろうが ISDN だろうが ADSL だろうが、 ネットワークにつながっていることに変わりはありませんので、 攻撃は受けます。
攻撃が来るって言ったって大した数じゃないんでしょ?
いいえ。
参考になるかどうかわかりませんが、私が立てている ADSL 接続の 自宅サーバは、どこかにリンクが張られたりしているわけではなく、 何かコンテンツを公開しているわけでもなく、また開いている ポートも 80(Web サーバ)と 22(SSH サーバ)のみですが、 それでも毎日数件ずつぐらいの頻度で攻撃は来ています。
しっかりフィルタリングを行っているサーバでさえもこんな頻度で 攻撃を受けるのですから、対策を行っていないサーバやアクセスの多い サーバではものすごい数の攻撃数になることでしょう。
攻撃されたって大したことは起きないんでしょ?
いいえ。
しっかり管理されているサーバでは攻撃は大抵未遂に終わりますが、 管理されてないサーバの場合は割と簡単に乗っ取られます。 なぜなら、攻撃者は攻撃の手順を自動化したソフトウェアを利用して 攻撃してくるからです。ほんの数秒間の間にあらゆるパターンの 攻撃が自動的にしかけられるようになっているわけです。 ですから、1 箇所でも対策に穴があれば、すぐに陥落する、 というわけです。
もし実際に乗っ取られた場合、
- ハードディスクを初期化される
- あなたのサーバにある情報をこっそり盗み出される(個人情報流出)
- あなたのサーバにある情報をこっそり書き換えられてしまう(改竄)
- あなたのサーバ上でこっそり攻撃者が設置したプログラムが実行される
などなど、あらゆることを想定する必要があります。
また、ファイアウォールの設定などがきちんとされていないと、 この乗っ取られたサーバを踏台にして芋づる式に普通は外部から アクセスされるはずの無いLAN 内部のパソコンにまで影響が及ぶこともあります。
普通に使ってるだけでそんなことが可能なわけないじゃない?
いいえ。
難しいので詳細までは触れませんが、 プログラムの中で正しく組まれていない部分(セキュリティーホール)を 攻撃者に突かれると攻撃者は「任意の」ことができてしまいます。 信じがたいことかもしれませんが、本当に「任意の」ことです。
ですから、ハードディスクの初期化でもプログラムの起動でも 思いのままです。
この仕組み(バッファオーバーフロー等)について理解するまでは、 サーバを立てるべきではないでしょう。
攻撃受けたって自分のコンピュータがおかしくなるだけで他人に迷惑かけるわけじゃないから勝手でしょ?
いいえ。
あなたのサーバを乗っ取った攻撃者は、あなたのサーバを踏台にして どこか別のコンピュータを攻撃するために利用します。 「踏台を手に入れること」が攻撃者の主な目的と言っても過言ではありません。
また、メールサーバなどは乗っ取られていなくても ちょっと設定が甘いだけで、 スパムメールを送信する踏台として利用されますし、 Web サーバや Web サービス/CGI プログラム等が正しく設定されていないと あなたのサイトを見に来た閲覧者にも迷惑をかけることになります。
管理を怠っていると、あなた自身が攻撃をしたわけではなくても、 「あなたのコンピュータから攻撃を受けた!損害賠償しろ!」と 言われる可能性があるということです。
事実、私が立てているサーバに来る攻撃は、 そうやって乗っ取られたコンピュータからのものと思われるものが ほとんどです。
アンチウイルスソフト入れてれば大丈夫だよね?
いいえ。
「サーバ」ではなく一般の「パソコン」においては アンチウイルスソフトは大変有用なものだろうと思いますが、 「サーバ」が受ける攻撃はアンチウイルスソフトで防げるもの ばかりではありません。
それに「サーバ」管理はウイルス対策以外にもやることは 山程ありますから、アンチウイルスソフトは山程ある作業の中の ごく一部を担ってくれる補助的なものに過ぎません。
だからといって、アンチウイルスソフトが不要というわけでは ありません。
もちろん、サーバの用途や設置される環境によっては アンチウイルスソフトを導入しなくても何とかなる場合というのもありますが、 見落としがちな攻撃パターンとして
「サーバ」と同じ LAN 内にある「パソコン」がまずウイルスやワームに感染 ↓ その感染した「パソコン」から LAN 経由で「サーバ」が攻撃される
というケースもありますので、アンチウイルスソフトを 同一 LAN 内の「パソコン」に入れておくのはもちろんのこと、 「サーバ」にも入れておくとより安全/安心です。
ソフトウェアのアップデートさえしておけば大丈夫だよね?
いいえ。
確かに Windows Update や MacOS X のソフトウェアアップデート等を マメに実行し、ソフトウェアを最新の安全な状態に保っておくことは 重要な対策であり、これにより攻撃を受ける可能性はかなり減らせますが、 これで万全というわけではありません。
ベンダー(Microsoft/Apple その他)が未対応のセキュリティホールを 突かれることだってありますし、 セキュリティホールを突くのではなく、パスワードを推測されて 「正規の」方法で侵入されることなどもあります。
Mac なら大丈夫だよね?
いいえ。
「Mac はウイルスの数が少ないから、 Mac でサーバを立てれば安全」と 思っている人がいるようですが、これは完全な誤解です。 サーバが受ける攻撃はウイルスによるものばかりではなく 非常に多種多様なので、 Mac だろうが Windows だろうが 関係ありません。
また、最近の Mac は基盤が UNIX であり、 動いているソフトウェアも Linux などと共通のものが多いですから、 UNIX 系の OS(Linux や *BSD) と同等に危険(または安全)です。 (Linux や *BSD が 他に比べてとりわけ危険だと言っているわけではありません。 危険度が高いか低いかについては一切言及していません。 高いか低いかは知らないけど危険度が同等だ、という意味ですので 誤解なきよう。ここで言いたいのはとにかく 「Mac は他の OS よりも 安全」というのは誤解だ、ということです)。
今までサーバ立ててたけど別に何も問題はなかったよ?
本当にそうですか?どうしてそう言えますか? 問題に気づいていないだけではないですか?
あなたの家に泥棒が入って部屋を全く荒らさずに、 あなたさえも存在を忘れているようなものを盗んでいった場合、 あなたは気づくことができますか?
また、何も盗まずにこっそり見えないところに 監視カメラや盗聴器をしかけていった場合、あなたはそれに気づく ことができますか?
こんなエラそうなこと書いている私だって、自分では相当気合い入れて 対策を施しているつもりではありますが、しっかり対策をできている 自信は全くありません。 幸い、私は今までは一度もウイルスに感染したり侵入されたりということは 起きていませんが、それも私の思い込みに過ぎず、もしかしたら私の 気づかないところで侵入されているやもしれません。
じゃ、どうすればいいのさ?
個々の手段については扱いませんが、以下のような対策を しておく必要があります。
通信を必要最小限のものに限定する
不要なサービスは停止/アンインストールしておく、 不要なポートは閉じておく(iptables や ipfw など)、などなど。
コンピュータの中で起きていることを視覚化する
不審な挙動が起きたらすぐに感知できる体制を整えておきます。
また、後になって攻撃に気づき、いつどうやって侵入され、 侵入後、何が行われたのかを調べるためにしっかりログを 残しておくようにします。攻撃者がログを改竄したり消去したり ログ記録用のプログラムを停止してしまう可能性も考慮に入れていない といけません。
具体的には以下のような項目を監視/記録する必要があります。
- ネットワーク上でどんなデータが出入りしているのか
- メールの送信状況
- Web サーバへのアクセス状況
- DNS クエリの状況
- その他、意図せぬ通信が行われていないかどうか
- ディスクの使用量
- メモリの使用量
- CPU の使用量
- ネットワークポートの使用状況
- ファイルの追加/削除/変更
- 起動しているプロセス
- ログインしているユーザ
- 実行されたコマンド
これらは「攻撃者に乗っ取られて、他人に迷惑をかけていないか どうか」を気づくための、そして「そこそこ安定した運用」を 行うための最小限の監視項目ですが、これらの監視を行う ノウハウというのは普段パソコンを使っているときに必要とされる 知識とは全く異なる種類のものです。
あなたはこれらの監視およびログ記録を行い、 いつ異常が起きても迅速に気づいて適切な対応をとる 術を持っていますか?
よし、わかった。がんばって上記の対策をすれば大丈夫なんだね?
いいえ。
攻撃はネットワーク越しに来るとは限りません。 泥棒に入られて、物理的に盗まれてしまったり破壊されてしまったり 改竄されてしまったりということもあります。
地震、雷、火事などに備える必要もあるでしょう。
泥棒に盗まれるなんて滅多に起きないでしょう?
それはよくわかりませんけど、「個人情報の入ったノートパソコンを 盗まれた」と大々的にニュースとして報道されるものでもそこそこの 頻度でみかけますので、ニュースにもならないようなものまで含めると 相当の件数になるんではないでしょうか?
パソコンはオークションで高く売れるので、標的にもなりやすいようです。
まとめ:サーバ運営に必要とされる能力
大雑把ではありますが、サーバ運営の際に考えるべきことを 述べて来ました。 これらの対策を行うためには以下のようなものが必要とされます。
コンピュータのハードウェアに関する深い知識
ハードウェア障害、ネットワーク障害等への対策として ハードウェアやネットワークを多重化するという特殊な技術 が必要になる場合があります。
そして実際に障害が起こったときの対処方法に精通している 必要があります。
コンピュータのソフトウェアに関する深い知識
コンピュータを安全かつ安定させて動作させるには、 「動かすプログラムを必要最小限にしぼる」ということが 非常に重要です。理由は主に以下の 2 つ。
- 動いているプログラムが多ければ多いほど攻撃者に狙われる穴も 多くなるから
- 動いているプログラムが少ない方が、攻撃を受けて 怪しいプログラムを起動されたときに気づき易くなるから
「動かすプログラムを必要最小限にしぼる」ということは、 以下の 2 つを把握してないといけないということになります。
- コンピュータの中にどんなソフトウェアがインストールされており、 それらは何のために存在しているのか
- コンピュータの中でどんなソフトウェアが動いており、 それらは何のために存在しているのか
あなたは自分のコンピュータの中でどれだけのプログラムが 動いているか把握できていますか? コンピュータの中ではあなたが起動したプログラム以外にも 目に見えないところで動き続けているものや定期的に自動的に起動されて 動くものが多数ありますよ?
これらに精通していないと、攻撃者に怪しいプログラムを起動されても どれが怪しいプログラムでどれが正常なプログラムなのか見分けることが できません。
また、一般のパソコンユーザーは全く使わないような 各種監視用のソフトウェアやバックアップ用のソフトウェアを使いこなしたり、 必要に応じて自作する知識も必要になります。
ネットワークに関する深い知識
通信というものがどのように行われているのか、 攻撃というのはどのように行われるのかを知らないと 攻撃への対策ができません。
日々の監視を継続する体力/忍耐力
上記のような監視を行い、異常が起きたときには迅速に 対処する体制を 24 時間 365 日に渡って整えておくには かなりの体力と忍耐力が必要となります。障害が起きたのが たとえ日曜の夜中であったとしても、 眠いのをガマンしてヘロヘロになりながら対処しなきゃいけないんですよ。
さて、あなたにこれらの知識と体力と忍耐力は揃っていますか? 万が一揃っていたとしても、片手間でできるような仕事ですか? こんなに大変で面倒臭くてキツいことをやってみたいと思いますか?
参考文献
それでもやってみたい、やる必要がある、という覚悟があるのであれば 止めはしません。以下に主に Linux 向けの参考文献等を列挙して おきますので、しっかり勉強してしっかり管理してください。 もちろん、これが全てではありません。必要に応じて他にもいろいろ 参照すべきものはあるでしょう。また、あまりにも有名過ぎるもの についてはあまりとりあげていません(snort とか)。
監視関連
第9回 daemontoolsによるロギングとプロセス監視(@IT)
プロセス監視の基礎。必要に応じて商用の監視ツールを導入したり、自作したりする必要もあるでしょう。
-
こちらも同じく daemontools の基礎一通り。
Shell scripts (run) for various services
各種デーモン向けの daemontools 用 run スクリプト例。
daemontools - dependencies and runlevels
daemontools でサービス間の依存関係を管理して起動順序 を制御する方法とか、 runlevel の変更によって起動するサービスを変更 する方法など。
Running snort with Daemontools
daemontools と snort と chroot について。
Running Postfix From Daemontools
Postfix を daemontools で動かす。
-
swatch による監視。ただ、 swatch 自体、あまり品質の高いソフトではないので過信は禁物です。たまにしょーもないバグ(正規表現のスペルミスとか)が混入しててゲンナリさせられます。
-
wakhok の講義資料。
Virtual Services Howto:Syslogd
chroot したデーモンから syslog を受け取るにはどうしたら よいか。
Mailgraph - a RRDtool frontend for Postfix statistics
Postfix によるメールの送受信件数や拒否した件数をグラフ化する。普段からどれぐらいのメールが流れているのかを知っておかないと、 SPAM の踏台にされたかどうかとかメールボムが来てるのかどうかなどに気づくことができません。
ツール
-
DNS が正しく設定されているかチェックしてくれる。
-
DNS や関連したメールサーバの設定などが正しく行われてい るかチェックしてくれる CGI。
-
メールサーバが SPAM の踏台になるような設定になってないか確認。
書籍
-
↑Postfix の基礎。最も網羅されている部類の本だと思いますが、これでも全然足りませんので、必要に応じてマニュアルなども読んでください。
-
↑メールサーバを立てるには DNS の知識が不可欠です。この本では DNS の 仕組み、DNS サーバの設定方法、運用方法、動作確認の方法に渡るまで網羅 されています。この種の本は設定方法の解説だけで終わってしまうことが多 いのですが、この本にはしっかり「動作確認」の方法や「トラブルシューティ ング」についても触れられており非常に素晴らしい本です。 ただ、かなりぶ厚い本ですが、これでもまだ万全ではありません。 この本にも書かれてない重要な設定などもありますので、 この後に、BIND のマニュアルなども見る必要があります。
LinuxサーバHacks―プロが使うテクニック&ツール100選
↑サーバ管理の基本、バックアップ、 iptables によるパケットフィルタリング、監視方法、通信の暗号化方法、チューニング方法に至るまで、実践的で役に立つトピックが簡潔にまとめられています。私は Unix を使いはじめて 10 年以上になりますが、それでも知らなかったトピックが結構載っていて非常に勉強になりました。
Linuxセキュリティクックブック―システム防御のためのレシピ集
↑Tripwire によるファイル改竄監視、iptables によるパケットフィルタリ ング、各種デーモンの設定によるアクセス制御、認証の仕方、GnuPG による ファイルの署名や暗号化、メールの暗号化、snort や chkrootkit をはじめ とする各種ツールによるシステムのテストと監視などについて一通り知るこ とができます。特に Tripwire システムの安全性を保証するために CD-R な どの書き換え不能のメディアにインストールをして監視を行う、という方法 は参考になりました。
-
↑FreeBSD 用ですが Linux でも役に立ちます。特に 1 章にあるサーバ運営の 「心得」としての 32 の「鉄則」や、組織の買収/合併時の実際の体験に基づいたノウハウなどが他の書籍にはなかなか書かれていない、実際に現場を経験しないと得られない情報であり大変貴重です。その他にもバックアップ、 SNMP/MRTG による各種状態の監視、 chroot や jail の解説などが参考になります。
-
↑iptables のかなり詳細にツッこんだ解説本です。 「RedHat」 と書いてますが ディストリビューション関係なく全ての Linux での iptables 設定の役に立ちます。模範となる長大な iptables の設定例が載っていますので、これを元に自分用の設定を作ると良いでしょう。
オープンソースを使ったネットワーク監視術―By MRTG&SNMP
↑SNMP と MRTG によるネットワークや負荷、メモリ、ディスクの監視と通知について非常に実践的に述べられています。Perl による実践的な監視用スクリプトなども付属しています。
-
↑データベースも動かすのであれば、これを。これも他の本ではなかなか述べられない、実際に現場にいないと得られないノウハウが述べられていて役に立ちます。但し、ここで述べられているのはあくまでも「特定の DBMS に依存しない応用のきく一般論」ですので、利用している DBMS ごとの詳細については別途資料を参照する必要があるでしょう。
さーて、ここに挙げた本だけでも 3 万円分ぐらいになります。これは必要最 小限ですので、他にももっと買わなければいけない場合も出てくるでしょう。 書店に売られている「自宅サーバ立てよう!」系の本 1 冊で 済むと思ったら大間違いなんですよ。 まぁ、でも実際の運用時の人件費に 比べればこんなのは屁みたいなものです。 簡単に人件費の計算もしてみましょうか。 (注:ここでいう「人件費」とは企業で人を雇う場合の話だけではなく、 個人でやる場合にかかる「時間」を敢えてお金に換算してみたら、 という意味も込めています。これらは環境によって 大きく変わって来るでしょうから、あくまでも一例としてとらえてください。 あなたの環境において、どれぐらいのコストになりそうかは、 あなた自身で考え、計算してみてください)
上記の本を読んでマスターするには最低でも半年ぐらいはかかるでしょう。 時給を仮に 1000 円で計算することにして、 8 時間/日 x 180 日 x 1000円/時間 = 144 万円。 勉強だけで 150 万かかるわけです。
更にサーバを稼働している限り監視人員の費用がかかります。
企業のサーバなど多くのサービスを提供するもので高い信頼性が 要求される場合常時監視が必要になるので、常時 1 人の監視を つけることにすると、 24 時間/日 x 365 日 x 1000 円/時間 = 876 万円/年。 というわけで、ザッと毎年 1 千万ぐらいのコストがかかることになります。
次にもう一例、Web サーバのみにサービスをしぼった場合についても 計算してみましょう。 しっかりルーターや iptables などでフィルタリングを行うことで、 監視すべきログの数や量をかなり減らすことができ、正味の監視時間は 1 日に数十分程度にできます。更にセキュリティ情報収集などにも 1 日数十分程度が費され、合計でだいたい 0.5 時間/日ぐらいかかる 計算にしてみましょう(これは基本的な知識は既に身についている人の 場合です。初心者のうちはセキュリティ情報を読んでも全て理解できる わけではなく、そこから更に別のことを調べたりする必要があるので、 もう少しかかるでしょう)。 24 時間監視に比べたらかなり少なくなりましたが、 それでも 0.5 時間/日 x 365 日 x 1000 円/時間 = 18.25 万円/年、 つまり毎月 1.5 万円分ぐらいのコストがかかる計算になります。 これに更に電気代(平均的には数千円/月)や故障した部品代などもかかります。 コンピュータが趣味で好きでやっているのであればこれぐらいは どうということは無いでしょうが、もしそうじゃない場合は レンタルの共用サーバを検討すべきコストじゃないでしょうか? ただ、「管理された」専用サーバにまでは少し手が届かない金額なので、 専用サーバが必要となるようなアクセスの多く負荷の高いサイトを 運営する場合は、自宅サーバをやるメリットが出てくるでしょう。
最後にもう一度言います。あなた、本当に自分でサーバ立てる覚悟ありますか? あなたの用途ではサーバ管理のコストはどれぐらいになりそうですか? そしてそれだけのコストをかけるメリットがありますか?
チャチャッとレンタルスペースで済ませて、浮いた労力をコンテンツの充実に 充てた方が有意義ではないですか?
他のサイトから頂いた反響をピックアップ
リンクやコメント頂いた方々、どうもありがとうございました。 予想外にあちこちからリンクを張って頂いたので、 ここで全てを取り上げることはできませんが、読んで頂いたみなさま、 そしてリンクを張ってくれたりコメントを書いてくれた皆様には 感謝しております。
以下に、他の方が読んでも参考になるだろうな、と思ったコメントを 独断と偏見でピックアップします。
同じく苦労をわかってらっしゃる方々の「大変なんだよ〜」な御意見
特にほそのひでともさんの 仙川日記 の「仕事以外で公開サーバ立てるのは絶対に嫌」というのが印象的。 私も同じような心境。
あと、 esbone.net の「徒労」の話とか project-web by Meshi@myServer の「乗っ取られたサーバが NASA のサーバへアタックかけちゃった」話も サーバ管理の苦労を知るのに大変良い文書だと思います。
それから、 Random Note のコメントは、仙川日記と同様の内容。 短い一文なのに全てが凝縮されてて個人的にツボに入りました。
- まちゅダイアリー「自宅サーバをさくらのサーバへ移行しようと思っていたところ」
- 仙川日記
- なゆげっちゅ「DATE:2004.11.04: サーバ運用は「キツイ」です」
- 我は己に問う。「耳が、痛い……。: 熱暴走でサーバ1台をお釈迦にしている」
- 画廊電設「2004年11月4日: めっちゃしんどい」
- C:\MINAMIZAKI>dir/w 5th
- esbone.net
- project-web by Meshi@myServer
- Besides -Side2- 2004年11月05日:「トラブル発生時データの損失や補償をどうするかどんな報告(言い訳)をするか」
- R日記:「費用対効果を考えれば年中立てていることはかなりの苦労となります。」
- Random Note
- /home/pochi/ChangeLog「手間とコストを考えるとさくらインターネットとかのサービスを素直に買う方が良い」
- MORISHITA diary v3「逃げ出したい気分」
- 古池や蛙飛び込むどうでもよい:「好きじゃないとできないですよね.」
- Cafe Au Lait Servers: 「ハードウェア面がどうしても個人サーバだと、劣りますね。」
- 記録(e_c_e_t): 「いまさらだが、とてつもなく面倒な仕事だね。」
- neetの日記: 「大変なんだから、本当。」
- Garbage Script on Goo BLOG:「ホント疲れるのよ」
その他
X68K.NET: Admin Diary. は、電気代、騒音、物理的トラブル、停電などなどいろいろな点についての 貴重な感想/体験談が述べられていて大変参考になります。 「苦労はするけど、苦労に見合うものも得られる」というお話。
World Wide Walker も、非常に冷静的確なご意見なのでぜひ参考にされると良いでしょう。
- void GraphicWizardsLair( void ); // 「サーバー管理の勉強をしたいのであれば自宅サーバーはかなり良い」
- X68K.NET: Admin Diary.
-
otsune さんと同様、「腕試しにやってみれば?」という御意見。
-
最初から全ての知識を持っているわけではないので、立てて勉強しながら やってみれば?但し、理解しようとする心構えが必要、という御意見。
- World Wide Walker
- *Backtrace*「自宅サーバーなんて実験用だよ。」
-
「毎日更新するのが普通な CGI」って私には想像つきませんが、 何か特殊な事情があるのであれば止むを得ず自宅サーバにする必要が でてくるでしょう。
ちなみに、私は xrea に置いている CGI や CSS を変更するときは、 FTP 機能付きのエディタ(emacs の ange-ftp/tramp)で編集するので、 ローカルにあるファイルを編集するのと同じような感覚で気軽に シームレスに編集できており、その点に関しては自宅サーバの必要性は ほとんど感じていません。
「FTP でダウンロード -> 編集 -> アップロード -> 動作確認 するのが面倒臭い」という理由で自宅サーバを運営されている方は、 Windows や Mac にも FTP 機能付きのエディタはいくつか存在するので 検討してみると良いと思います。
-
なかなか面白い企画。こんな反応を頂けるとは予想してませんでした(笑)
個人が自宅サーバを立てる場合、様々な目的が存在していると思います。その目的にそった運用がなされることが大切ではないでしょうか。
これは単なる私の感覚ですが、多くの(趣味でサーバを立てている)人にとって自分のサーバが常時稼動している必要は無いと思います。
読み手のサーバに対する要求水準を無視して「サーバは24時間365日稼動が必須」「その為ハードウェアやネットワークの多重化が必要」と書いてしまったせいで論旨がややボケている印象をうけました。
ゆーさん、コメントありがとうございました。
おっしゃる通り、対象読者をゴッチャにしすぎてまとめきれてない部分がありましたね。どうもすみませんでした。
これで改善になるかどうかわかりませんが、補足修正の意味を込めて、
「ハードウェアの多重化なんて必要?」という項目を
追加してみました。
http://tmaeda.s45.xrea.com/20041101.html#18
また何かお気付きの点などございましたら、ご指摘頂けると幸いです。
コメントどうもありがとうございました_o_
確かに頷ける部分ばかりですね。
自分もたいした知識も持ち合わせずに、気軽にサーバを立ててしまった身ですので、大変参考になりました。
書籍には掲載されていない「自宅サーバーのデメリット」を強く前面に押し出されているのは、他になく非常に趣深いです。
私感としてですが、個人によるサーバの運営目的、サーバの種類、(最初の個人向けへの書き出しから
見ると)趣味でやっている以上個人には余り関係ない人件費など、あまりに大きな枠で書いてあるので、読者対象が絞りにくくなっていると感じました。
ただ、これにより、これから始めようと思われている方々の意欲というのもでしょうか、
そういうことにチャレンジしようという精神を改めて削ぐようなことにも繋がりかねないとも感じました(それが狙い?)
サーバも個人でもできる時代ですが、気軽に始めてみるというのは必ずしも間違いであるとは言い切れないとも思います(その内容と目的によりますが)。
ここから将来の立派なWEB管理者が生まれるかもしれないことを願って。
乱筆失礼しました。
なんというか、地方の農村の実態のようなご意見ですね。
都会から農村へのUターンを希望する人の甘さを叩く報道に近いようなものがありますw
ゆーさんやとんさんのように
「多くの(趣味でサーバを立てている)人にとって自分のサーバが常時稼動している必要は無い」
や
「読者対象が絞りにくくなっている」
「チャレンジしようという精神を改めて削ぐようなことにも繋がりかねない」
という意見も分からなくもないのですが、本文の主題のほとんどがセキュリティ関連に費やされていることからもわかるように、ホント、セキュリティの充実は命綱と言ってもいいんですよね。
あなたがこれから移り住む地域は地震だらけですか火事だらけですか泥棒だらけですか周囲にヤンキーが居て暴走してますかご近所に偏屈者のじいさんが住んでいてやたらと絡まれますか、みたいな、そういう環境をまず考え、まず構築するというのはすごく重要。世の中そんなに甘くないですから。
こういう言い方すると気を悪くなされるかもしれませんが、ゆーさんやとんさんのような言い分は、典型的な都会っ子・団地っ子視点なんですね。
で、それまでの束縛された環境が嫌だから「とりあえず」広い地域が欲しい〜みたいな、すごく個人目的に特化した要望しかない。悪い言い方だけど、自分さえ良ければ、自分のためになれば、という「自分」が凄く出てる。
それだと間違いなくセキュリティ面で後れを取るし、最近のセキュリティ事情から言えば、
>あなたのサーバを乗っ取った攻撃者は、あなたのサーバを踏台にしてどこか別のコンピュータを攻撃するために利用します。 「踏台を手に入れること」が攻撃者の主な目的と言っても過言ではありません。
がむしろ主流で、消極的善良市民を積極的犯罪者に「物理的に変える」手段すら出回っている昨今、決して油断はできないんですけどね。
なーんか、うちの田舎でも都会帰りの人たちの我が道を行くっぷり無関心っぷりが凄すぎて地域崩壊の危機に直面していたりするんですが、サーバ運営の世界も、似たようなところがあるんだな、と思いました。
なんというか、新たな世界に入るには新たな世界のしきたりに染まらなければならない、という鉄則がまずあるわけで、染まるのが無理なら、おいしいところだけ提供してくれる企業サーバを利用するのは、決して間違っていないと思います。「やりたい」で動くだけでなく、そこで「動いたらどうなるか」を冷静に天秤にかけて、かけたうえでリスクを敢えて取る(当然、対処する)と。そこまで考えて欲しいですね。
自尊心は、自衛力あってこそ満たされるものです。乱筆失敬。
とんさん、コメントありがとうございます。
返事が遅くなってすみません。
個人的にいろいろあったり、もの凄いアクセス数の
負荷対策を考えてたりして遅くなってしまいました。
読者対象の件については、おっしゃる通り私の力不足で
わかりにくい部分があり申し訳なく思っております。
しかし、私としては基本的に「サーバを自分で立てる人全て」を
対象に書いたつもりです。
ここで書いている内容の多くはセキュリティに関することですが、
これらは全てのサーバ管理者が真剣に考えるべきことです。
また、ハードウェアの多重化の話も書籍などで
あまり取り上げられないせいか一般の方にはなかなか想像しにくく
そして、納得しにくい内容かもしれませんが、
「ちゃんと」やろうとすると、必須の対策なんです。
「ハードウェアの多重化なんて必要?」に補足しました通り、
多重化しなくても何とかなるのは「サーバ」の機能のうち
「Web サーバ」というごく一部の機能しか使わない人だけであり、
一般の方が次に立てたいと思うであろう「メールサーバ」を
立てようとするとハードウェアの多重化はほぼ必須事項となり、
途端に敷居が高くなります。
巷に溢れる自宅サーバを推奨する書籍などでは、
「メールサーバを自分で立てて、メールアカウントが無制限に作れる、
メールの容量が無制限になる、かかるのはサーバの電気代のみで安上がり」
みたいなことを売り文句の一つに掲げているものが多いですが、
ちゃんと運用するには固定 IP をとらなきゃいけなかったり、
ハードウェアの多重化などの設備投資もしなきゃいけなかったり、と
実際にかかるお金や労力は書籍に書いてある甘い誘い文句の通りには
行きません。
じゃあメールサーバを諦めて、Web サーバの機能だけを使う
ということになると、大抵はレンタルの Web サーバで事足りる上に
管理の手間も圧倒的に少なく済むので、自分でサーバを立てる
メリットというのはほとんどなくなります。
* * *
人件費の話についても、わかりにくい書き方でしたが、
企業で管理者を雇うときの話だけでなく、個人でやる場合の
「時間コスト(時は金なり)」の意味も込めて書いています。
自分でサーバを立てるのにかかる時間を何か別のこと
(バイトをするとか仕事で残業をするとか他の趣味や勉強に費すとか)に
充てれば、もっと有意義なことができる可能性があるのではありませんか?
という意味で書きました。
もちろんコンピュータが好きで、勉強も兼ねてサーバを立てたいという人は
otsune さんが書かれているようにどんどんやれば良いと思います。
http://www.otsune.com/diary/2004/11/04.html#200411049S1
しかし、
「それほどコンピュータとかネットワークに興味があるわけでもないけど、
簡単に自分でサーバが立てられるって言うから試してみたら、
実際は大変だったから結局諦めちゃった」とか
「イタズラされて痛い目にあったから結局やめちゃった」という人にとって、
サーバ管理に費した時間/お金/労力は
(全部と言いませんしその人の趣味趣向によりますが)
かなりの部分が無駄になる可能性が高いのに、
そういう現実を事前に知らされずにやり始めてしまうという状況は
不憫でなりません。
* * *
チャレンジ精神をそぐつもりは全くありません。
実際には大変なことなのに「簡単なんだよ〜。安上がりなんだよ〜。」
という甘い誘いに乗ってやり始めるのはチャレンジ精神でも
何でもないですからね。
ここに述べた「現実」を知った上で
もし「サーバを立てるのはやめよう」と判断した人がいたとすれば、
それは別に「チャレンジ精神を失った」わけではなく、
「現実をしっかり把握した上で正しい選択をした」に過ぎません。
同様に、この文書を読んでも尚「サーバを立てたい」と思った人にとっては、
この文書はゴールまでのより正確な地図として機能してくれるものと
願っています。
私は「サーバを立てるな」というつもりは全くありません。
しかし、中途半端な気持ちでできるようなことではないので、
もしやるのであれば、現実をしっかり見つめ、道は長いので
腰を据えてしっかり取り組んでください、というのが最も言いたかったことです。
コメントどうもありがとうございました。
本文の方でしっかり伝えられればよかったのですが、
長々とコメントに補足することになってしまってすみませんでした。
のーみんさん、コメントありがとうございました。
えーと、最初の 2 行あたりを読んだときは、私の記事への
反論かなと思いましたが、どうやらコメントに対しての
コメントであって、私の記事には概ね同意頂いている
ということですよね?どうもありがとうございました。
はじめまして。興味深く読ませていただきました。
一問一答形式による展開は、
個々の疑問(ポイント)をおさえた形で良いと思いましたが
反面、tmaeda さんの述べたい事が曖昧になってしまった気がします。
1...サーバ運営でトラブると、他人にも迷惑をかける(大前提)
2...そしてサーバ運営はこれだけトラブルに遭遇しやすい
3...だから安易なサーバ運営はやめよう
おそらく、論旨はこのような事だと思うのですが、
上記の通り、一問一答形式かつ疑問に思われそうな順から並べている為
大前提が語られないまま技術的・具体的な話に流れてしまったりして
サーバ運営を考える人からは不用意な反発を受けそうな気がしました。
このテーマの場合、何よりも大前提である1を理解してもらう事が重要ですが
そこがボヤけてしまうと、途端に後ろの部分があやふやになってしまいます。
...というより 1が無く、痛い目を見るのが自分だけだった場合
「やるだけやって、ダメならやめれば?」で済んでしまう問題とも言えます。
(オレが趣味でやってる事に口を出すな、という具合)
個人的に、一問一答形式という文章そのものが
「疑問に直接答えてくれるので人々の興味を惹きやすいが、
既に基本知識があり回答の背景を読み取ることが出来る人が対象でない場合
その結論に至る理由を見落とす・誤解するデメリットがある」
という危険をはらんでいると思っています。
今回の文章に限らず、パソコンの問題は
「車」に置き換える事が可能な場合が多いと思います。
サーバ運営(保守) = 車の整備
表面的な難易度や危険度が違うのでイメージが湧きにくいかもしれませんが
いろいろと似通った部分を見つける事が出来ます。
自分で車を整備する事は可能であり、また楽しくもあります。
車に興味があるならやってみたいと思う人は多いでしょう。
しかし、言うまでもなく車は時として人を傷つける凶器です。
整備不良は事故を招き、被害は自分だけで済まない場合があります。
とはいっても、日本車などは故障が少なく「自分で整備」どころか、
整備しなくてもさほどトラブルなく使える場合もあります。
逆に、ディーラーなどのプロにしかるべき点検をうけていても、
突然の故障にみまわれたりもします。
ここで重要なのは「だから素人の整備はアカン」ではなく....
ここからは tmaeda さんがコメントで述べていたものと同じです。
「これらを理解した上でそれでも取り組むのか
手に余りそうだから専門家に任せるのかを判断すべき。
そして取り組むならそれなりの心構えが必要」
情報とは本来、様々な意見を見聞きした上で読み解き、判断するものです。
WEB では自分好みの情報だけを集めることが簡単なため
油断すると視野がせまくなりがちです。
(もちろん逆に視野を限りなく広げることも可能ですが)
巷に「車の整備はこんなに簡単」という文章はさほどありません。
それに対し、サーバ運営を簡単にすすめる文章はよく目にします。
そういった中、このような文章があるのは非常に良いと思いました。
長文失礼しました。
確かに空き巣に入られるとどうしようもありませんね。警備会社と契約するか、家から一歩も出ずに引籠って一睡もせずに目を血走られているか…
泥棒云々は論旨からすると余計じゃないでしょうか。
Kaz.さん、コメントありがとうございました。
大変丁寧なご助言ありがとうございます。大変勉強になりました。
全くおっしゃる通りだと思います。
今回は「あまりコンピュータに詳しくない管理者(予備軍)」への
キャッチーさを重視する余り、安易にこういう形態をとってしまいました。
次回からの参考にしたいと思います。
jiangmin さん、コメントありがとうございました。
えーと、泥棒の話というのは
「泥棒に盗まれるなんて滅多に起きないでしょう?」の話ですか?
私がこの文書を書いた目的は
一般の書籍でもあまり取り上げられず、
一般の方ではなかなか配慮が行き届かない部分も含めた
「ちゃんとした」サーバ管理がどういったレベルのものなのかを
一般の方にもお見せし、どれだけ苦労や努力をする必要があるのかを示すことでした。
サーバを立てる目的や事故にあった際のダメージの大きさは人それぞれですから、
これらの全てを全員がやる必要はもちろん無いですが、
「全体」を知らないと「全体のうちのどこまでがんばるか」
という判断も正しくできません。
泥棒対策や災害対策までは不要だと思われたならやらなければ良いだけです。
しかし、重要な情報を扱うミッションクリティカルなサーバを立てたい人もいるでしょう。
そういう人は
* 警備会社と契約し 24 時間監視をする
* 監視カメラをつける
* サーバ室はクーラーで温度管理する
* サーバ室への入退室は指紋認証や網膜認証にする
* 巨大地震に備えて遠隔地にもバックアップやミラーリングをとる
なども考慮する必要があります。
サーバ管理の「全体」を見せるという意味で、泥棒の話や災害の話も無駄ではないと思います。
..といった点も不明瞭だったので、前書きにその辺の内容も追記させて頂きました。
ご指摘ありがとうございました。
ども。おおむね同意ですw
運営者の性格にもよりけりなので(tmaedaさんのように丁寧な性格の方ですと、より慎重に保安を気遣われるとか)、まぁ大雑把でも「やるだけなら」出来ないことは無いという書籍関連の煽りも、それはそれで意味あるんですよね。
実際、書籍の煽りで鯖運営に乗り出す方のほうがはるかに多いわけですから。
今回読ませていただいた論のなかでは、
>あなたのサーバを乗っ取った攻撃者は、あなたのサーバを踏台にしてどこか別のコンピュータを攻撃するために利用します。 「踏台を手に入れること」が攻撃者の主な目的と言っても過言ではありません。(tmaedaさんの言い回し)
>消極的善良市民を積極的犯罪者に「物理的に変える」手段すら出回っている(私の言い回し)
の部分を追求したほうがいいんじゃないかと思いました。
実際の被害状況や大勢は私にはわからないのであまり煽るのもアレかもしれませんが、パソコンやネット環境の普及状態から言って、重視すべき時期に来てるんではないかな・・・と。
パソコン利用者の大半が初心者や無防備な「消極的善良市民」が中心になると、こういった警鐘文も含めた情報共有が、ものすごく重要。そういう意味で、tmaedaさんのご見解は大変参考にさせていただきました。
あとは・・・私のような一読して判別しづらい捻じ曲がった文を書かないような・・・そういうまっすぐさを大事にしていただきたいですw
新規参加者の皆さんは、まずなによりまっすぐであることを求めていると思いますので。
個人でWEBサーバを立て、無償でコンテンツを提供している身で、
この記事への意見をかかせて頂きます。
> 確かにレンタルの Web スペースは自由度が低く、フリーで配布されている CGI などの設置の手順が面倒
> なことが多いですが、CGI の設置の苦労なんて 1 回で済む話です。「自分で設置したサーバの方が CGI
> の設置が楽だから」という理由で、もし自分でサーバを立ててしまったらサーバを動かしている限り苦
> 労がずっと付きまとうのです。余程のことがない限り多少の不便を我慢してでもレンタルの Web スペー
> スを最大限活用した方が圧倒的に楽でしょう。特に最近はレンタルの Web スペースでもかなり自由度が
> 高く値段も手頃なものが出てきていますから尚更です。
対価を得ないコンテンツを提供したいだけなのに、個人で高額の費用をサーバを支払って
専用サーバをレンタルするのは大変では?
例えば、平均的な価格としてGMOが提供している「Red Hat Enterprise Linux」の専用サーバのビジネスプランの価格は、
初期費用 \100,000、月額 \72,000 、年間100万円程度かかります。
個人の趣味で運営しているサイトの為に、年間100万円を払おうとは思いません。
一番重要なのは、この年間100万円を支払って専用サーバを借りても、
「各自の責任で管理・運用しなければならない。」と言う事です。
サーバの管理代行も依頼したならば、年間300万円近くの費用がかかることになります。
共有レンタルサーバを借りれば良いと意見を言われるかもしれませんが、
トップページのアクセス数が1日10000程度、PVは1日10万程度の私のサイトでも、
動的なコンテンツを提供する為に、Perl/PHPなどを利用しているため、
専用サーバを1台まるごと占領するぐらいの負荷がかかり、共有サーバでやっていける状況ではありません。
なんか、自分でサーバ管理をすると高額な人件費がかかるような事が書かれていますが、
サーバ管理に費やす時間は、1日平均15分ほどとして、年間100時間ぐらいが適切では?
何もログを全部監視する必要なんてありませんから。
> また Web サーバのみであったとしても、以下のように 公共性の高いサイトの場合は、サーバが落ちた際に
> ユーザに>与える影響も大きなものになる場合がありますので、ハードウェアの多重化にも(必須とまでは言
> いませんが) 配慮した方が親切でしょう。
> * アクセス数が多いサイト
> * Wiki、掲示板、複数人に Web スペースを貸与するなど多数の人で コンテンツを作り上げて行くサイト
> Web サーバや Web サービス/CGI プログラム等が正しく設定されていないとあなたのサイトを見に来た閲覧者にも迷惑をかけることになります。
アクセス数が多くても個人が運営している無償のコンテンツならば、
ハードウェアの多重化はやる必要は無いでしょう。
アクセス数が多い自分のサイトが見れない人がいても「迷惑をかけた」訳ではありません。
自分がサイトの運営を行ってなかったら、そのコンテンツ自体が観覧できない状況にある訳で、
もし、サーバが落ちている時に「迷惑をかけている」ならば、
そのサイトを運営していない状態の時には「常に迷惑をかけ続けている」ということになります。
個人が無償で提供しているサイトなんて、いつ閉鎖しようと、いつサーバが落ちようと勝手だと思います。
> 日々の監視を継続する体力/忍耐力
>
> 上記のような監視を行い、異常が起きたときには迅速に対処する体制を 24 時間 365 日に渡って整えておくには
> かなりの体力と忍耐力が必要となります。障害が起きたのがたとえ日曜の夜中であったとしても、眠いのをガ
> マンしてヘロヘロになりながら対処しなきゃいけないんですよ。
> さて、あなたにこれらの知識と体力と忍耐力は揃っていますか?万が一揃っていたとしても、
> 片手間でできるような仕事ですか?こんなに大変で面倒臭くてキツいことをやってみたいと思いますか?
大げさにかかれているだけで、そこまで大変なものでは無いです。
貴方も自宅サーバを運営しているそうですが、本当に24時間張り付いて監視しているのですか?
基本的には使用しているソフトウェアのセキュリティホールの情報が公開されていないか、
最新のパッチが提供されていないか、などを随時確認してアップデートする…、その程度で十分です。
ログの監視などより、実際にサーバのセキュリティ対策としては、ソフトウェアの初期設定が一番重要
だったりします。
> さーて、ここに挙げた本だけでも 3 万円分ぐらいになります。これは必要最小限ですので、
> 他にももっと買わなければいけない場合も出てくるでしょう。
> 書店に売られている「自宅サーバ立てよう!」系の本 1 冊で済むと思ったら大間違いなんですよ。
何故、「書籍」に拘るんでしょうね。
Unixやサーバ関係のソフトウェアはオープンソースであり、WEB上での情報公開・交換されており、
それを参考にするのが一番です。
本は二次的な情報であり、日々進化していく世界では古い情報を信用すると、
セキュリティ的に問題があったり、ソフトウェアの性質が変更されたりと役に立たないことが多いですね。
> また、メールサーバなどは正しく設定されていないと、スパムメールを送信する踏台として利用されますし、
それこそ「自宅サーバを立てる」ことを目的とした書籍でも、
その程度の対策方法はかかれていると思いますよ。
> 管理を怠っていると、あなた自身が攻撃をしたわけではなくても、「あなたのコンピュータから攻撃を受けた!損害賠償しろ!」と言われる可能性があるということです。
どういった根拠を基にいっているのでしょうか?
ご存知の通り、ワームを除くサーバへの攻撃は、踏み台を経由して行われることが殆どです。
サーバ管理者ならその事は知っているだろうし、例え自分のサーバが踏み台にされても、
一般的な管理を行っていれば基本的に損害賠償を払う義務はありません。
日本で、個人が管理するサーバが踏み台にされた場合に、
損害賠償の支払い義務が発生した裁判の判例があれば教えて欲しいものです。
パソコン初心者がコンピュータウイルスやワームに感染して、ワームやSPAMの発信に利用されたら、
損害賠償を支払わないといけない訳ですか?
踏み台にされるのが、サーバだけだというような書き方がされていますが、
一番踏み台として利用されるのは、一般のパソコンでしょう。
大部分の一般人が利用しているパソコンはWindowsマシンであり、ファイアウォールも入ってなければ、
Windows Update もしないような状況です。
具体的に書きますと、それこそ、ActivXを利用したソフトウェアをサイトにしかけておき、
初心者を誘導してセキュリティ警告の「はい」をクリックさせるだけで、
サーバソフトウェアを強制的にインストールさせることだって容易です。
そこを踏み台として簡単に利用できるのは言うまでもありません。
別に、攻撃の踏み台に利用されるのは「自宅サーバ」だけでは無く「サーバじゃない一般の個人の
パソコン」だって同じことだし、セキュリティ対策が全くといってもされていない
後者の方が踏み台には適していると思いますよ。
サーバに限らず、インターネットに接続している・・・だけで十分に危険ですね。
踏み台に利用されるなの、他人に迷惑がかかるだの・・・、と自意識過剰だと思いますよ。
んな事言ったら、自家用車だって、他人が盗難して犯罪に利用されるかもしれません。
その上、車の場合は自宅サーバとは違い、その盗難者で事故を起こされたら、
法的に所有者に管理責任が生じることも有名です。
その為に、自宅の自家用車を24時間体制で監視しろ、と言っているぐらい非現実的な主張だと思います。
サーバ管理者はユーザーの利便性を第一義に考えるべきです。
サーバを自分の不動産かなにかだと思って、クライアントを支配している気分になっているスネオ管理者(おもちゃを少しだけ触らせて優越感を得るような人)が多すぎます。
サーバ管理者は、それだけならたんなる上級オペレータに過ぎないはず(バスの運転手のようなもの)なのに、生産に従事する人を見下す傾向にありますし。
「来月までに論文を書き上げなければならないから、〜をインストールしてください」
「セキュリティが低下するので駄目です」
その論文は人類を金星まで送るものだったかもしれませんし、エネルギー問題を解決するものだったかもしれません。
たった一人の管理者のせいで社会の発展が一世紀立ち遅れるかもしれないのです。
防犯意識はあっていいですが、防犯のプロである前に serve のプロであって欲しいです。
>>IBAさん
企業のサーバの管理者はそうかもしれませんが、
個人の自宅サーバで個人的なサイトを運営している場合には、
そこまで言うのは可愛そうだと思いますよ。
管理が十分でないサーバが増える事は、確かにセキュリティ的に
望ましい事ではないが、だからといってこの文章は所謂「プロ」
が素人を馬鹿にしているとしか思えない。
誰でも最初は初心者な訳で、そういう初心者の向上心を
正しい方向に向かわせるのがプロの仕事ではありませんか?
またこの記事を宣伝するようなスレッドを自宅鯖板@2ちゃんねる
に立てるのは、マナー違反であることはもちろん、2ちゃんねる
の利用規定違反でもありませんか?その程度の事ができない方が
このような高飛車な発現をされても、まったく説得力がありませんね。
えー、とりいそぎ、 RTFM さんのにだけ返答します。
それ以外の方には、後程時間ができたときに。
そのスレにも書いてるみたいですが、私が立てたスレじゃないです。
http://pc5.2ch.net/test/read.cgi/mysv/1099868807/
> 誰でも最初は初心者な訳で、そういう初心者の向上心を
> 正しい方向に向かわせるのがプロの仕事ではありませんか?
ですから、正しい知識を身に着けるために、
しっかり勉強してくださいと主張し、
そのための入口も紹介しています。
2ちゃんねるのスレッド立てたのがtmaedaさんでないと仰るのなら、
ご自分でもスレ削除依頼してください。
> ですから、正しい知識を身に着けるために、
> しっかり勉強してくださいと主張し、
趣旨には同意しますが、大変扇情的な書き方ですね。
> そのための入口も紹介しています。
それは大変よろしいかと思います。
高飛車と煽情はどちらが強いのでしょうか?w
NAM さん、コメントありがとうございました。
> 対価を得ないコンテンツを提供したいだけなのに、個人で高額の費用をサーバを支払って
> 専用サーバをレンタルするのは大変では?
まず、誤解がありますが、そこで書いている「レンタルの Web スペース」
というのは基本的に共用サーバのことを指して書きました。
「スペース」というところにそういう気持ちを込めたつもりだったんですが
わかりにくくてすみませんでした。
(後述するように NAM さんのケースでは当てはまらないようですが)
共用サーバで足りるようなものをわざわざ自宅サーバでやろうとしている
人を結構見掛けるのと、自宅サーバなんて簡単に立てられるんだ、と
誤解している人が多いように感じたので、
「本当は自宅サーバだって結構大変だしお金もバカにならないんだから、
それだったら共用サーバの方が安上がりじゃないですか?」
という提案をしています。
> 共有レンタルサーバを借りれば良いと意見を言われるかもしれませんが、
> トップページのアクセス数が1日10000程度、PVは1日10万程度の私のサイトでも、
> 動的なコンテンツを提供する為に、Perl/PHPなどを利用しているため、
> 専用サーバを1台まるごと占領するぐらいの負荷がかかり、共有サーバでやっていける状況ではありません。
そういう状況であれば、専用サーバか自宅サーバを選ばざるを得ないでしょうねぇ。
専用サーバでやるとしても、「さくらの専用サーバ」月々 6800 円か
10290 円ぐらいがギリギリ選択肢に入るぐらいでしょうか。
> なんか、自分でサーバ管理をすると高額な人件費がかかるような事が書かれていますが、
> サーバ管理に費やす時間は、1日平均15分ほどとして、年間100時間ぐらいが適切では?
> 何もログを全部監視する必要なんてありませんから。
ですから、
>> 管理するのが 1 台であれば、安定して動いている間は実際には 24 時間付きっきりである必要もないです。
と書いています。
しかし、世の中にはもっと多くのサービス(DNS サーバ、メールサーバ、
データベースサーバ、アプリケーションサーバ等など)を
提供する複雑なサーバを立てたいと思っている人もいます。
例えば、最近流行りのショッピングカート付きのサイトなどは
まさにそうでしょう。
そうなると、本当に丸一日つきっきりということだって十分ありえます。
> もし、サーバが落ちている時に「迷惑をかけている」ならば、
> そのサイトを運営していない状態の時には「常に迷惑をかけ続けている」ということになります。
最初っから存在しなかったなら迷惑ではないですが、
一度みんなにさせた「期待」を裏切るのは「迷惑」だと思います。
もちろん、これはユーザー側の「勝手な」期待と「勝手な」感情なので、
面と向かって文句言ったりする権利は全然ありませんが。
ただ、無償だろうが何だろうが「やる」と意志表示をしたら、
それに対してある程度の「責任」は果たすべきだと思います。
(法律云々についてはわかりませんが、少なくとも道義的には)。
普段の生活においても、
「ちゃんとやらないんだったら、
最初っから『やる』なんて言わないで欲しかった」
ってことありますよねぇ?
> 個人が無償で提供しているサイトなんて、いつ閉鎖しようと、いつサーバが落ちようと勝手だと思います。
はい、私も
>> ハードウェアの多重化にも(必須とまでは言いませんが)
>> 配慮した方が親切でしょう。
と書いているように、義務だとは全然思っていません。
しかし、そういう配慮(もしこの Web サーバが突然見られなくなったら、
どれぐらいの人にどれだけの迷惑がかかるか)について「考える」
ことは重要でしょう。本文で言いたかったことは、そういうことです。
「考えた」結果、ハードの多重化まで行うのか、
「ここは個人が趣味で立てているサーバなので予告なく閉鎖したり
削除することがあります」とユーザーに断りをいれるだけにとどめておくのか、
はこれまた人それぞれです。
> 貴方も自宅サーバを運営しているそうですが、本当に24時間張り付いて監視しているのですか?
私のサーバは本文に書いてますように、主に出先から自分のデータに
アクセスするために立てた完全な「自分専用」サーバで
自分しかアクセスしませんから、いつ落ちようが困るのは本当に自分だけです。
ですから、 24 時間監視なんて当然してません。
それでも、乗っ取られたりしてデータを覗き見られたり、更には誰かに
迷惑をかけたらまずいので、フィルタリングには細心の注意を払ってますし、
不審なログが出力されたら自動的に携帯にメールされるようにして
「寝ている時間以外は常に監視」に近い状態にはなっています。
> 何故、「書籍」に拘るんでしょうね。
全然拘ってはいません。
読むと管理の勉強になるよ、とお勧めしているだけです。
> Unixやサーバ関係のソフトウェアはオープンソースであり、WEB上での情報公開・交換されており、
> それを参考にするのが一番です。
という意見には全く同意ですが、これで全て足りるとは思っていません。
私が紹介した本に書いてある情報が全て Web 上で手に入るわけではないですから。
>> 管理を怠っていると、あなた自身が攻撃をしたわけではなくても、「あなたのコンピュータから攻撃を受けた!損害賠償しろ!」と言われる可能性があるということです。
> どういった根拠を基にいっているのでしょうか?
被害を受けた側にとっては攻撃してきたサーバが
踏台にされてるのか直接攻撃してるのかなんてどうでもよいことで、
とにかく、そのサーバから被害を受けたんですから、
まずは直接攻撃をしてきた人(=踏台にされてる人)に対して
賠償請求するのが自然でしょう。
その後、示談になるのかとか裁判でどう判断されるのかとかは
ケースバイケースだと思いますが、
「損害賠償しろ!」と言われる可能性があることに疑う余地はないと
思います。
だいたい、何も迷惑かけてなくても訴訟起こされて
請求金額を払わされる世の中なんですから、、、
「少額訴訟詐欺」
http://www.city.kyoto.jp/bunshi/soudan/kakuseikyu/kakuseikyu.htm
で、本題に戻すと、そこの主題は法律云々ではなくて、
要するに「人様に迷惑かけるな」ということですが、
この点に関しては異論はありませんよね?
> 踏み台にされるのが、サーバだけだというような書き方がされていますが、
> 一番踏み台として利用されるのは、一般のパソコンでしょう。
いいえ、そんなことはひとつも主張していません。
ここで話題としているのが「サーバ」の話なので、
サーバの踏台の話題についてのみ扱っているだけです。
パソコンが踏台にされる話だって NAM さんがおっしゃる通り存在し、
本当はそういう人についてもしっかり対策を行って欲しいですが、
それについてここでは話題にはしていません(というか、
言っても無駄なので半ば諦めてるというか)。
で、全体を通しておっしゃりたかったことは、
おそらく「そんなに大変なわけないだろう」という反論だろうと思うのですが
(その割にはなんだか随分勉強なさっているようにお見受けしましたが(^^;)
それは何度も申してますように「人それぞれ」ということになります。
まぁ、でも、私の本文は確かに「大変だぞ!」の主張を強くしすぎた感も
あり反省しておりますので、 NAM さんのような具体的な事例に基づく
御意見を頂いたことで読者の方には
「さまざまなケースがあるんだな」と言うことが
わかって頂けてバランスが取れて良かったんじゃないかな、と思います。
ありがとうございました。
これらを踏まえて、後で本文にも若干修正を入れさせて頂きます。
後は冒頭に書きましたように、
みなさん各々で正しく判断して頂く、ということで。
御意見ありがとうございました。
多重化の話について、
ちゃんとやるのであれば多重化をした方が安定性も増し、
人に迷惑をかける機会が少なくなるという考えは今も変わりませんが、
「ちゃんと管理されてないものが多重化されるぐらいなら、
1 台をしっかり管理してくれた方が迷惑は少ない」
というご意見を見掛け、それは確かにそうだなぁ、と思いましたので、
メールサーバや DNS サーバに関する多重化について強く勧める部分は
なくすことにしました。どうも失礼致しました。
> 2ちゃんねるのスレッド立てたのがtmaedaさんでないと仰るのなら、
> ご自分でもスレ削除依頼してください。
そんな自分の全く知らない、誰かが勝手にやったことに責任とる必要があるのかね?
tmaedaさんは真面目な人のようだから人のコメントにきちんと返事をしていますが、このサイトをしっかりと読んでない人や詭弁を使うような人にまでいちいちコメントを返す必要は無いと思いますよ。あとこのサイトの対象読者が初心者であるということを理解しないでコメントしてる人にもね。
fa42さん、ありがとうございます。
主旨を理解して頂けた方からのコメントというのは少ないので
大変嬉しいです。
あまりに読んでない/理解してない人には返答はしませんが、
私の文章にわかりにくい部分や誤解を招く部分があったのも
事実ですし、コメントを踏まえて本文の方にもだいぶ補足などをして
今の形になったという経緯もありますので、コメントくださった方
には感謝しています。
「インターネットに繋がっていること」の危険性と「サーバであること」の危険性がごっちゃになっている印象です。
「インターネットに公開しないサーバ」の話と
「インターネットに公開するサーバ」の話がごっちゃになっている
というご指摘でしょうか?
どっちも「サーバ」の話なので、あとは読む方で必要に応じて取捨選択して頂ければ。
すみません、以前書いたときリンク先を読んでいなかったので、別サイトの個人を指した風に読めて失礼な点があったかもしれません。
どうもタイトルがしっくりこなくて大学の思い出を語ったまでで、他意はありませんので気になさらないでください。
手段と目的が入れ替わっている感があり、十分マニアの域にあると思った次第です。
あちこち拝読させていただきました。
本文に絡めた話はしてませんし、反対も賛成もしていないので、何を以て読解を測っているのか疑問ですが、
苦労が理解されていない現状、迷惑をかけないという条件、費用対効果の削減という結論
があって間を埋めたのはわかります。
個人的に次の方法論を持っています。
a. 一般に、前提条件が少ないほど普遍的に言え、反証に耐えられます。
b. 対偶は必要ですが対案は不要です。
c. 論理より和気(内容より人柄)を重視したり、言明より行間を重視する姿勢は非科学的です(エスパーごっこになりがち)。
d. 対象読者の設定(認識操作や次元操作)をしても、価値が変わるだけで真偽は変わりません。
内容そのものの妥当性については(運用モデルや対象読者によって変化しない事柄において)次のようなことがひっかかりましたが、苦労については共感できます。
1. 煩わしく感じている原因、省力化が効果を上げない原因を考察するプロセスが抜けています。
2. 優良なサーバのパラダイムとしてメンテナンスフリーがあったと思います。
3. 安全策を施してすらいないところにモラルハザードは発生しないはずです。
4. 既存の専門家のスキルとモラルが比例するとは限りません。
5. サーバ管理者にとってユーザとはシェルアカウントを持つ人だけではなかったはずです。
ついつい「真プログラマになるには」のようなネタを思い出してしまうのですが、ひとつの危険に関して再認識できたので、いい収穫がありました。
ありがとうございます。
激しい論議ですが、記事も削除せず冷静に対応されていて
人間的なスキルも高い方とお見受けしました。
私はまったく個人で使うサーバとして立てていますが、読んだ
内容は人それぞれの解釈で役に立つと思いますよ。
何も知らない人をコバカにしているというのも受けなくもない
ですが少なくとも勉強しろ!というのは私は大賛成です。
2chがどうだとか、ここ以外の事で責任の無い話は一切レス不要
だと思います。
あと一部だけこの「賞味」は賞味期限ので正しくは「正味」かと
> 賞味の監視時間は 1 日に数十分程度にできます。更
S.B さん、コメントありがとうございます。
あと、誤字のご指摘ありがとうございました。直しておきました。
うーん、いろいろ考えさせられました。僕自身も初心者のレベル。
ただ、身近に鯖運用を仕事としてる人がいて日頃から苦労話は聞いてるし
いろいろ怖い話も聞いてたので、小心者の僕はなかなか鯖を立てる気になれなかった。
Mac OS Xなら、ポートを開けて、web共有ボタン押すだけ。
表面的にはこれでweb鯖としては動いてしまうわけで。
今は、自宅鯖は、cgi,php,mysqlのテストや、ファイルサーバーとして
使ってますが、必要時のみサービス稼働。しかも、接続のipを自分、友人、会社と最小限に
限定しての運用です。
乱暴な話ですが、グローバルなネットワークは怖いところ、ということにしてしまうしかないのでは?
個人が(スキルに関わりなく)鯖を立てるのは自己責任。どんな目にあっても仕方がない。
プロが鯖を立てるのはそりゃもう、プロとしての責任。なんかあって首になってもしょうがない。
プロ、または、そのレベルのスキルと常識を持った人が、どんなに声高に叫んでも、
無責任に鯖を立てる人は法規制でもしない限り、いなくはならないでしょう。
誰でも簡単にあらゆることが出来ちゃう、こういうのが有り難がられる風潮は変わらないでしょう。
プロでやるにしても個人でやるにしても自分で自分を守る。これしかないです。
僕自身は、初心者がビビってばかりいても、何もはじまらない。
「とにかくやってみよう」という考え方です。全くの初心者が本を読んだところで
自分がどの程度理解出来てるのかすらわからないと思うし。
web共有ボタンを押す=アパッチ起動、とこの位の事は理解出来たら
ビビリながらでもどんどんやってみるべきだと思うんですが。
hoge さん、コメントありがとうございました。
> 無責任に鯖を立てる人は法規制でもしない限り、いなくはならないでしょう。
> 誰でも簡単にあらゆることが出来ちゃう、こういうのが有り難がられる風潮は変わらないでしょう。
たとえ法規制をしてたとしても完全に居なくはならないことは
既に法規制を受けている世界(例えば道路交通法とか)を見れば明らかなので、
そこは最初から望んでませんが、現在広まっている「簡単に立てられる」
という誤解を正すことで、無責任というよりは「無邪気」なサーバ設置者を
少しでも「減らす」ことは必要だと思っています。
コンピュータウイルスの恐さはだいぶ認知されてきていますが、
サーバ設置の恐さや大変さはまだあまり認知されていませんから、
この文章がその認知の役に少しでも立ってくれると良いと思います。
ご意見はもっともだろうと思います。確かにおっしゃるとおりです。
解りやすく考えれば、新婚の夫婦に
子供は適切な年齢の男と女が居れば誰でも簡単に作れる...
しかし、その子供を、社会の中で人様に迷惑かけない様に育てるのは大変だ..
どうしても子供を作るなら、幼児心理学から児童心理学などの基礎知識を学んだ上、万全な対策を講じて子供を作りなさい!!
と言う事なのだろう、で、最近の若者は結婚しても子供は作らない。
現代の若者の考え方なのだろう。
しかし、考えてみて欲しい。
人間は少なからず生きていく上で必ず他人に迷惑をかけて生活している事を。
こういった記事は、とても良く目にするのですが、決して具体的な被害報告がないのです。
いつ、誰が、自宅サーバーでどの位の損害賠償責任を負ったか?。
私は毎日新聞を読んでますが、目にした事はありません。
そもそも、攻撃者の悪さについて触れないで、知識向上のため自宅サーバーにチャレンジする事のみ悪く思える様に書くのはどうかと思います。
> どうしても子供を作るなら、幼児心理学から児童心理学
> などの基礎知識を学んだ上、万全な対策を講じて子供を
> 作りなさい!!
fulukawa さんのご意見、飛躍しすぎのように思います。そこまで重たいハナシじゃなくて、やるならやるで、作法があるからそれに従えって事でしょ。おーざっぱですけど。
ステレオで音楽を愉しむ際やウオークマンのようなモノを使う際、周囲に騒音を撒き散らすなとか、そういう次元の話ですよ。やるならやるで、お約束は踏まえようね、ってこと。
別に、サーバを立てたいのであればそれ自体を止めるわけじゃなくて、また、倫理とかに触れたりするような重厚長大なハナシではなくて、お約束は踏まえましょうと仰っているだけのこと。ここは違いますか?< tmaeda さん
私も商用サイトでサーバの運用管理を行ったことがありますが、そのような専業者としてみても、特に異常な論旨は見られないと思いますが。tmaeda さんは至極当然のことを仰っているに過ぎません。
あと、実例として挙げるとすると、皆の手許に届く spam メールの発信元を見ても、「踏まれ」てしまっている、対策が不徹底のモノが多いということもいえるかと思います。ココ三ヶ月でウチに届いていた五千通のうち、常時接続や、特定のダイヤルアップ端末からと思しきブツが全体の八割を占めていたりするわけですが。
> しかし、考えてみて欲しい。
> 人間は少なからず生きていく上で必ず他人に迷惑をかけて
> 生活している事を。
つまり「公共の大迷惑」と明示で判るようなことも意図的に行いたいということでしょうか。数が出ないから被害報告がないので何をやっても構わないだろう、というお話でしょうか。
あと、攻撃者のワルサってくだり、ゴロツキに悪態を垂れても仕方がないでしょ。それよか、うっかりでもそういう輩に悪用されないようにしましょうねって事が大事なのだと思いますが。
えーと話がそれてしまうように思えるのでアレですが、繰り返しておきますと、tmaeda さんの記事内容は至極当然のことであり、 fulukawa さんの印象のような仰々しいモノではないです。単なる、マナーを弁えようねってくだりを、噛み砕いて表現されているだけのハナシかと思われます。
このコメントの皆さんと tmaeda さんのやりとりをご覧になってもそれは明確かと。
YamaKenさん、コメントありがとうございました。
全くおっしゃる通りです。
チャレンジするなら、しっかりやってね、と本文でも書いていますし、
ここのコメント欄でも書いています。
誤読していたり、話が飛躍していたり、余計なお世話なコメントが多いですね。コンピュータ関係の人は人格破綻者が多いってことでしょうか。
とりあえずこの記事非常に面白かったです。難しい専門用語を使わずに誰でも論旨を読み取れるイイ記事だと思います。こういうのを続けて欲しいです。
なんか変なこといってる方々もいますが、論議してる方々はすごいですね。
サーバーを立てることの怖さは2chとかのスレでも散々言われてますが、それに対するメリットもあるわけで・・・・
これを読んで新たにその怖さを実感することができました。
しっかし、恐ろしいほどの勉強が必要ですね。鯖管になるには(;´Д`)
もしかしたら上に上げた書物だけでは簡単に対処できないかもしれませんね。
IT業界は恐ろしいです(;´Д`)
鯖管理は一日にしてならず・・・
こうゆう経験に基づいたFAQが蓄積されるのは喜ばしいことです。
また議論が行われることでドキュメントの純度も高くなるかと。
今後もこのドキュメントが更新されることに期待して影ながら応援させて頂くと共に、否定的意見が数多く寄せられるであろことを予想してこういったドキュメントを書くことを諦めた私のような人間としては尊敬致します。
ここで書き込んだようなセキュリティ対策を実際に行うのは不可能では無いでしょうか。
下記の項目を監視しろと書かれていますが、実際のサーバは監視できるほど単純ではありません。
> ネットワーク上でどんなデータが出入りしているのか
> メールの送信状況
> Web サーバへのアクセス状況
> DNS クエリの状況
> その他、意図せぬ通信が行われていないかどうか
> ディスクの使用量
> メモリの使用量
> CPU の使用量
> ネットワークポートの使用状況
> ファイルの追加/削除/変更
> 起動しているプロセス
> ログインしているユーザ
> 実行されたコマンド
最低限のソフトウェアしかインストールしない、不要なサービス・モジュールの停止、IDSの導入、
ファイアウォールの導入、ソフトウェアをセキュリティを重視した設定に変更、セキュリティパッチや
ソフトウェアのアップデートは必ず行う、エラーログの監視、あとiptablesでブロックしたログの確認と、
メールサーバのエラーログ、送信数、あとはIDSが吐いたログ、ついでに負荷状況(メモリ、CPU使用量)を
視覚化した情報の確認、一般的にはこの程度が可能な範囲かと思います。
実際にこのようなセキュリティ対策で問題が発生したことなんてありません。
まぁ、踏み台にされたのに気がつけないだけ、と言われたらそれまででしょうが、
定期的にある程度のチェックをしてもそんな形跡は見つかりません。
(1日30万HITのWebサーバ2台、5年間程度の運用期間ですが。)
あと、セキュリティに対してあまり神経質になると辛いだけだと思います。
昔自分はセキュリティに対して過敏症になったことがあり、Windows機で入れたいフリーソフトがあってもマルウェアかどうか
を確認するのは非常に困難なのでためらったりなど。
あまりセキュリティに対して神経質になると何も出来なくなるんです。
インストールしたいフリーソフトがあったときどうすれば安心だと確信できるんですか?
今使っているWindows機だってウイルスやスパイウェアが入っていないかどうかだって分かりません。
99.9%以上の確率で入ってないだろうな、、とは思いますが。
セキュリティに絶対なんて言葉は無いんです。
ある程度での妥協は仕方ありません。
> 最後にもう一度言います。あなた、本当に自分でサーバ立てる覚悟ありますか?
> あなたの用途ではサーバ管理のコストはどれぐらいになりそうですか?そしてそれだけのコストをかけるメリットがありますか?
> チャチャッとレンタルスペースで済ませて、浮いた労力をコンテンツの充実に充てた方が有意義ではないですか?
これが一番勘違いしている部分だと思います。
個人の自宅サーバサイトって、くだらない日記とかサーバ構築記とかそんなんばっかな時が多いですよね。
だからレンタルサーバで十分なのに、何故自宅サーバなんて立てるんだ、と思っているんだと思います。
しかし、そういう人間にとってサーバを立てること自体が目的であり、コンテンツなんてどうでも良いのです。
自宅サーバを立てる目的を作るために、面倒な手間や時間をかけてコンテンツを作っているようなものです。
それ自体が趣味であることを理解した方がいいと思いますよ。
ぼいさん、nanasi さん、四月バカさん、AMOMOさん、
コメントありがとうございました。
AMOMOさんのにだけコメントします。
> 下記の項目を監視しろと書かれていますが、実際のサーバは監視できるほど
単純ではありません。
私、フツーに監視してますけど…
MRTG や RRDTool を使ったサマリ、swatch や自作のスクリプトを利用して
問題のあるログの監視。
> これが一番勘違いしている部分だと思います。
> 個人の自宅サーバサイトって、くだらない日記とかサーバ構築記とかそんな
> んばっかな時が多いですよね。
...(中略)
> それ自体が趣味であることを理解した方がいいと思いますよ。
私は最初に、
>> 個人の「自宅」サーバに限りません。企業などで自社サーバを立てようと
>> 考えている人も対象としています。
と書いていますし、最後の方にも
>> コンピュータが趣味で好きでやっているのであればこれぐらいはどうとい
>> うことは無いでしょうが、もしそうじゃない場合はレンタルの共用サーバを検
>> 討すべきコストじゃないでしょうか?
とも書いています。
拝見して、「ああ、いつも言いたかったことが網羅されているなぁ」と感じました。
昨今、「サーバは簡単にたてられる」という話や雑誌記事などをよく見ますが、後々の運用/運営まで踏み込んで書いているものは皆無に近いですよね。せいぜい「セキュリティパッチが云々…」とあるくらいで。
サーバをたてるのは簡単に出来るかもしれませんが、それをインターネットに公開することによって発生する責任(またはリスク)、というものをもう少しサーバを建てている人は考えてほしいですよね。
サーバーの勉強の爲に色々なサイトを探してたどり着きました。"「サーバ」に対する誤った認識"というタイトル自体
センセーショナルなものと感じましたが、仰っていることは
非常に真っ当なものと感じました。
やはりサイト探しで見つけた"「鷹の巣」の自宅サーバー"の
鷹の巣さんに近いものを感じました。
(若僧が生意気ですが...)
こういう面白くもありしかもマジメなページが増えると
いいのですけれど。
サーチエンジンからたまたま見つけ、読ませて頂きました。
なかなか熱い論文でした。お疲れ様です。さぞ仕事では苦労経験のある方なのでしょう、気持ちが伝わってきました。
私も頭に血が上ったような状態で話題は違いますがこういう調子の物を時に書く事があります。
しかしこういった熱のこもる主張を、とくに「大事な事を何も分かっていない無知蒙昧なバカども」にたいする苛立ちを腹の底に留めながら上品なお説教調でかかれた(と感じる)ものを読んでいくと、その内容の是非をまず棚に上げて屁理屈を捏ねてでも全面的に反論したいという疼きを感じる事があります。人に読ませる文章を書く、というのはなかなか難しいものだと感じます。うむむ…自分の事でもありますけどね。
自分もたまに自宅サーバーを動かす事があります。デジカメで撮った写真や動画を友人数人に配布する目的等でです。「好きな時にアクセスしてもってってね〜URLはここ…」といって無料のダイナミックDNSサービスで取ったドメイン名を伝えます。
大量のメディアファイルともなると自鯖だからできる事で、プロバイダにアップなんてとてもとても…ですよね。容量がHDあるかぎりというのが魅力です。たまたま古いノートパソコンがあったため、HDDだけ換装してLinuxで使っています。ノートを選んだ理由ははバッテリー内臓なので一瞬の停電で止まったりしないこと、消費電力が小さいこと,騒音が無いことです。アクセス数は限られているので待機時に電気を使わない事が重要です。HDDはアクセスが無い限り殆どモーター止まりっぱなしなので磨耗もないし、10Wそこそこでしょうか。もともと常時接続環境があると、古いノートをこういう役目に使うのはとてもメリットがあります。壊れてもどうって事ないですしね。
うちのブロードバンドルーターはHTTPの80番ポートへのアクセス以外何が来てもLAN側に通らない設定になっているんですが、ポート80から何らかのセキュリティホールを突いてroot権限を奪取するなんて事がはたして可能なのか…ちょっと想像もつきませんが(本体が目の前なのでtelnetもsshも不要,でも転送時にSAMBAは使いますが)、一応実生活上は無いものとして扱っていても構わない程度の確率と考えていますが、甘いですかね…。
自宅サーバーがリモートよりもセキュリティ上安心なのは、ファイルをアップロードするための外界向け窓口を設けなくて良い事でしょうか。厳重なセキュリティで守られた外部リモートコントロール手段を初めから設ける必要が無いのが自宅サーバーの楽な面、という事はあるかと思います。
最近常時接続の自前サーバー発と思われる迷惑メールが増えてます。(以前は中韓台が殆どだったんだけど)
粗っぽい喩えですが、安易にサーバーを立てて迷惑メールに使われる(=使わせる)人は、キーをつけたまま道路に置いていた車を暴走族に乗り回されて他人に迷惑を掛けさせる人と同じ位無責任なのではないでしょうか。暴走のために車を持つ輩は論外としても、公共のインフラを使う自動車のオーナーであれば「ロックしないといけないのは知らなかった」では済まないでしょう。それと同じです。
最近安易な情報が多すぎると思う。
正直自分もサーバーなんて継いどけばいいのなかな、なんて思ってました。
このような真摯に説明してくれるサイトは必要です。
ISP法人サーバー担当ですが、コストがかかるので自前でサーバーを立てたいとの相談がお客様よりよくあります。
ISPの窓口に連絡をしてくる程度のスキルでサーバーを立てるのはいかがなものかと苦笑いしますが、心の中では「立てるのは自由。でもネットワークにつながないでね」とつぶやきます。
レンタルサーバーでさえちゃんと利用しきれないのに、自前サーバー立てて何をやりたいのか不思議でなりません。
書かれている内容はどれもうなずけるもので、大変感激いたしました。よくぞここまで分かりやすく書いてくださったなぁと思います。ありがとうございました。
検索してて偶然見つけ、非常に楽しく(というより興味深く)読ませていただきました。
自分も一度サーバー立ててみようと思い、いろいろなサイトを回って情報を集めていたのですが、ここまで生のことを載せていられる所は今のところここだけです。
このサイトに載せられている情報そしてこの論文を見ていて、今までは「サーバーなんて簡単につくれるんじゃない?」って思ってましたが、もう一度考え直させられました。実に難しい…。
パソコンの監視から設備投資等いろいろと難しいんですね。自分はまだまだ初心者なので詳しいことは知らなかったんですが。真剣に学ぶ必要があるんですね。
この後の論争も気になるので、また訪れさせて頂きます。
私は、何の知識もなく、WEBを回って得た情報で最低限動くだけのサーバを使っている、正にこのページの対象者です。私が立てているサーバは、
・Anhttpd・DiCE・PHP・アンチウィルスソフト
以外には何も動いておらず、いわゆる無防備な状態で、薄々感じていましたが、ここを見てガンと一発殴られた感じがしました。
これから勉強を進めるか、またはレンタルに変えるか、迷い所です・・・
某有名質問サイトをみているとサーバ公開する力量が無い人ほどサーバ公開をしたがる傾向があるみたいですね。
力量について注意されると逆切れ。が典型的パターン。
Webサーバーの立ち上げを急ぐ理由ってなんですかね?
レンタルサーバーを借りつつ、LAN内でサーバーを立ち上げ、セキュリティなどの勉強をするのではいけないのですかね?
私はまだまだ勉強中ですが、このサイトのいうことはホントそうだと思います。(サーバーは立ちあげてますが公開してません。)
踏み台サーバーなんてごめんですからね(笑
てめーふざけんなよ。
サーバー立てて勉強だろ。
アフェリの為に書くな。
外向けsshを22番でサービスするのはどうかと・・・。
そりゃ攻撃多いでしょう^^;
初心者の人に対して分かり易い例題&注意事項を挙げると良いと思います。
たとえば・・、
個人的に付き合いが有った人と口論になり
恨みを持たれて、悪質な中級クラスのハッカーに金銭的に依頼をし
メールサーバーを攻撃され、個人情報を盗まれ
「なりすまし」に合い、親しい人に誹謗中傷する様なメールを
本人名義(サーバー主)で送りつけ、信用を貶める作戦とか。
あまりにも「被害」を軽く考えてる人が多いと思います。
特に、なりすましメール&企業を装った詐欺メールでさえも
簡単に引っかかってしまう一般のPCユーザーが多いですから
そういった人達が安易にサーバーを立てるのは
やはり「危険」というべき他はないと思います。
更に、金銭面を扱う様なショッピングwbeサイト(サーバー)を
立てようと思っている人は、顧客の個人情報や口座番号など、
セキュリティーに関する正しい知識が伴っていないと
非常に「事件性の高い」犯罪に
発展する可能性も含んでいますので
tmaeda氏の書かれている注意事項には
「細心の注意が必要」という趣旨は、共感できます。
【人に見られても平気な内容】
そういった考えを「前提」にサーバーを
立ち上げるのであれば、上記の様な内容や
tmaeda氏の書かれている注意事項は、
さほど気にせず、個人的な楽しみとして
安全に、活用&運営&管理が出来るとは思います。
【仕事上での大きなプロジェクトの内容】
【金銭面に関わるであろうwebサイトの作成&運営】
この二つに関係が有る様なサーバーであれば
「危機意識」や「管理の重要性」は
いくらでも時間を費やしても、無駄ではないと感じています。
用途を絞って、【初級編】【中級編】【上級編】と
カテゴリー分けをして、項目を整理すれば
誤解もなくなり、より用途に向けた専門知識が得られる
とても「有意義なサイト」になると信じています。
ネットは、必ずしも100%安全では有りません。
プロでさえ、有能なクラッカーに攻撃される時代です。
やはり「危機管理の意識」は、サーバーを構築する上で
大切な部分だと、個人的に感じています。
「サーバを立てる」のは簡単です♪
ただ、「運用する」ってのは大変なんです。
で、本には運用まではかかれていないだけでは?って
思いました。
# ほんと、開発のやたら運用のことなんか考えずに
# 作りやがって。。。(-_-メ)
+z$8frZdyL%68pSU/:>w<:E3.lG-!XIB