自宅サーバでのwebサーバ及びCVS公開

はじめまして、今回始めて利用させていただきます。

質問内容はタイトルの通り、始めて自宅にてサーバを公開するにあたり色々と教えていただきたいと思います。
以下、今の私の状態と公開する目的です。
【公開するもの】webサーバ及びcvsサーバ
【目的】仲間内で作成したプログラムの公開及びソースの共有
【サーバマシン】一応サーバ用のマシンです。OSはLinux
【ネットワーク】WAN → プロバイダ提供のルータ → ルータ → ルータ → ルータ → サーバ用マシン
【私のスキル】ほとんどサーバやセキュリティに関して知識はありません。
ネットや書籍で簡単には勉強しましたが、何も考えずに公開すると危ないということを理解した程度です。
【備考】あくまでも仲間内だけで使用するため24時間365日ずっと動かし続けるつもりもなければ最悪データが消えてしまっても特に問題はありません。
webサーバもポートは80番以外で開けるつもりでいます。
cvsサーバにつなぐ場合には鍵認証にする予定です。

上記の事を踏まえていくつか質問させてください。
1. webサーバの公開、cvsサーバは鍵認証でsshやtelnetは開けていない状態でもサーバの乗っ取りや宅内の他のマシン及びルータの乗っ取りは現実的に割と起こる可能性があるのでしょうか？

2. 現状ではサーバと同じルータ配下に普段使用しているPCもつなぐ予定ですが、サーバのみをつなぐルータをはさんだほうが万が一の場合に他のPCへの攻撃やウイルスは伝染しづらいでしょうか？

3. 私が特に心配していることは宅内の他のPCへのウイルス感染や乗っ取り、プロバイダのルータの乗っ取りです。
また、サーバを踏み台に他の方に迷惑を掛ける事も心配です。
このような事も割と多く起こる問題なのでしょうか？

4. その他何かアドバイスがあればお願い致します。

もちろんどんな事をしても100%安全とは言い切れない事は理解しています。
長文になり申し訳ありませんが、何卒よろしくお願い致します。

No.1 回答者： mitoneko 回答日時： 2009/03/18 20:44

　答えだけ、端的にいきます。

　1.サーバー本体への乗っ取りはいつでもあり得ます。webサーバーのセキュリティーホールとＯＳ本体のセキュリティーホールが組み合わされれば、もう何でもありです。私の経験内で最低最悪の事態は、windowsのadministratorパスワードを変更されたことがあります。その後、私が気がつくまでの間サーバーに何が起こっていたかはもう考えたくもありません（要するに、何でもできる=^・・;=）
　サーバーを足がかりに宅内のマシンへのしのび込みはもっと楽でしょう。多分、サーバーを管理するがために、サーバーと宅内のマシンの接続に関してはセキュリティーをゆるめるはずだからです。（例えば、サーバーのドライブを宅内から見る時には、windowsの共有フォルダーを使いたいですよね？とかです。
　要になるのは、外部とサーバーをつなぐルーターで、どこまで不要（不審な）通信をシャットアウトできるかどうかです。かつ、サーバー側と宅内の他のパソコンのセキュリティー対策も重要です。

　２．サーバーと、他のＰＣのネットワークはセグメントを分けることが理想です。もちろん、その場合、外部と宅内をつなぐために一つ。サーバーを置くネットワークセグメントと宅内の他のパソコンをつなぐためにひとつの２つのルーターを置くか、３セグメント以上が扱えるルーターを入れるかのどちらかになります。
　サーバーを置く領域を一般にＤＭＺと称します。カタログなどを見る際のご参考に。

　３．１の私の最悪事例を参照してください。なんでもありということです。

　４．サーバーの公開と、防御は、専門家が最新の知識と機器でやっても悪意のある人とのいたちごっこです。ましてや、素人がやろうとしたら、もっと悲惨です。というわけで、最低でもサーバーのシステムはこわされる・乗っ取られるのを前提に運用を考えてください。日々のバックアップは当然、システムをこわされた時にいかに素早く復帰できるように自分の知識と環境を整えるか。もちろん、サーバーの日常の監視も怠りなく。（私の場合、何らかの異常が少しでも見受けられたら、前日（時によってはもっと前まで）の状態まで迷い無く巻き戻しできるようにシステムの全体バックアップが確保してあります。）最低限、この体制があれば、まぁ、何があっても一つ一つが勉強ですみます。後は、徐々に徐々にいたちごっこのレベルを上げていきましょう。

　がんばってくださいね。