自宅サーバーを作ってみよう

常時接続は怖い

　自宅サーバーを24時間インターネット上に置くということは、外部から24時間不正アクセスを受ける可能性があるということでもあります。図2をご覧ください。この図は自宅でサーバーを立て、インターネット上に丸1日放置した後に採取したログ（抜粋）となります。この図では、よくありそうなOSアカウント名とパスワードの組み合わせのリストを元にして、機械的にサーバーにログインし続けられた不正アクセスのログが記録されています。このサーバーの存在を今回誰にも知らせていませんでしたが、サーバー稼動後すぐに不正アクセスログが記録されるようになりました。

　このことを考えるとインターネット上でサーバーを公開する際は、いつ不正アクセスされても大丈夫なように万全なセキュリティ対策を施しておく必要がありそうです。

　常時接続環境にまつわるよくある事故を2点ご紹介します。

　1つ目はサーバーにセキュリティ対策を施している最中にウィルスを仕込まれてしまうというものです。例えばWindowsサーバーでWindows Updateを実行するためにはインターネットに接続することが必要です。そのためインターネットに接続してWindows Updateを実行していたら、Windows Updateが完了する前に不正アクセスを受けてウィルスを仕込まれてしまうなんてことが起こります。この類の事故はWindowsサーバーに限らず、どんなにセキュアなOSであっても発生しますので、セキュリティ対策が完了するまでは直にインターネットに接続しないことが重要です。

　2つ目は不慣れなOSを入れたためにウィルスが仕込まれてしまうというものです。自宅サーバーの醍醐味の一つにいろいろなOSを好きなだけインストールして使えるというものがありますが、不慣れなOSだと概してセキュリティ対策が不十分となりがちです。自分自身で十分理解できるようになるまで直にインターネットに接続しないことをお勧めします。

常時接続環境において最低限気をつけること

　すでに記したように自宅サーバーを常時接続環境下で動かすことはそれなりにリスクが伴います。常時接続環境において最低限気をつけることをもうちょっと具体的にまとめてみました。

1. セキュリティ対策を完全に施すまではサーバーをインターネット上に直に置かないようにしましょう。セキュリティパッチを適用するためにインターネット接続が必要な場合は直にインターネットに接続せず、ルーターをはさんだ環境下にサーバーを置くのがよいと思います。

2. 一時的に行う設定は必ず最後に消しておきましょう。特に一時的にOSアカウント名を作成するなどといった場合は必ず使い終わったら消しておきましょう。またそういったアカウントを作る際は「test」などといった安易なネーミングを用いたり、パスワードを「test」や「1」「a」などといった簡単なものにしないようにしましょう。

3. 必要のないサービスやデーモンはすべて停止しましょう。データベースなどの外部公開は必要ないが内部での利用が必要なサービスの場合は、外部からのアクセスをファイアウォールで遮断するようにするのが安全です。

4. SSHDを外部公開する必要がある場合は、外部からrootで直接接続できないように設定する、ポート番号を変える(標準はTCP22番ポートを使用)、RSA公開鍵暗号認証を用いる等の対策を施しましょう。

5. 定期的に各種ログを見る習慣を持ちましょう。サーバー構築時だけ熱心だが、いざサーバーが稼働してしまうと一気に熱が冷めて後は放置なんてことが非常に多いですが、そういった自宅サーバーはクラッカーにとって格好の餌食です。

　こうして見てみると、自宅サーバーであってもインターネット上に公開することが前提となると決して手を抜けないことがわかるかと思います。大変ですが頑張っていきましょう。