サーバを外部に公開するにあたって・・・

サーバを外部に公開するにあたって・・・

現在、CentOS5.4(i386版)にて初めてサーバを立てております。ソフトのインストールから設定など一通りは終えたつもりで、試験的にポートの開放を行い何度か外部に公開してブラウザからテンプレートが表示されるのを確認したところです。

"試験的に公開した"というのは、サーバを外部に公開するにあたって、当方まだ知識や技術が足りていないと思っており、セキュリティに関してどのように対策をすれば良いのかよく分かっていないからです。

そこでお伺いしたいのですが、サーバを外部に公開・運用するにあたって"ここは注意しておいた方がいい"とか、"こういったソフトは入れておいた方がいい"などありましたらご意見をいただけないでしょうか？

今の時点で自分がやっていることとしては、

・yumでのアップデートを日ごろから行う
・アンチウイルスソフト(Clam AntiVirus)を入れて、毎日定期的にウイルススキャンを行う
・rootkit検知ツール(Chkrootkit)で毎日定期的にrootkitのチェックを行い、インストールされていた場合、root宛にメールが届くようにする
・ファイル改ざん検知システム(Tripwire)で毎日ファイルの差分をチェックする。
・使用していないポートは開放しない

ということなのですが、これ以外に何か対策できること、知っておいた方が良い知識などありましたらご教授のほどお願い致します。

No.3 ベストアンサー 回答者： nnori7142 回答日時： 2010/10/30 09:49

　もしかして、先刻Postfix及びDobcotサーバの設定概要をご案内した方ですか？

　セキュリティ対策については、Unixサーバのシステムアップデート、iptables記述設定と専用ウイルス対策が基本となりますが、iptables記述及びファイアーウォールの設定が運用サービスの観点から難しいと言うことであれば、インターネット回線・ルーターモデムに対してUTM機器を設置する方法も御座います。商品的にはYamaha製「SRT100」等をルーターモデムとサーバ間へ設置し、UTM動作させる形ですね。
　ウイルス対策ソフトについては、「Kaspersky Anti-Virus for Linux Mail Server」や「ServerProtectTM for Linux」等の利用が良いかと存じます。

この回答へのお礼

nnori7142さん

ご回答ありがとうございます。

>もしかして、先刻Postfix及びDobcotサーバの設定概要をご案内した方ですか？

そちらの件ではお世話になっております。毎回色々とご教授いただき、非常に助かっております。

メールサーバの件や今回の件のご回答からしても、サーバを公開するにあたり、やはりルータはあった方が良いのかな、と思うようになりました。あって損はないと言いますか、あった方が何かと便利そうですしね。

また、ウイルス対策ソフトのご紹介、ありがとうございます。
両方のソフトを見てみましたが、どちらも多機能で現在使用しているフリーのソフトよりも安全そうなことが分かりました。
今後、サーバを常時公開していきたいということを考えると、被害者・加害者にならないためにも必要そうですね。

とても参考になりました。
度々のご回答、感謝しております。

お礼日時：2010/11/01 04:27

No.2 回答者： oktuburero 回答日時： 2010/10/30 01:49

引きこもりになって常時(365日24時間)絶えず監視する。

睡眠も禁止。

この回答へのお礼

oktubureroさん

ご回答、ありがとうございます。

以前、今回の質問と同じような内容を調べていた際にもoktubureroさんの仰ることと同じことを言っておられる方がいました。

やはり、それくらい管理をしないと安全であるとは言い切れないということですかね。睡眠も禁止となると、個人でサーバを立てて公開するということはやめた方が良いということですよね。手厳しいご回答ですが、仰ることの意味も少し分かる気がします。

ありがとうございました。

お礼日時：2010/11/01 04:34

No.1 回答者： seednyan 回答日時： 2010/10/30 00:40

こんばんは。

まず、サーバーを公開と書いておられますが、どのようなサーバーを公開されたのでしょうか？
それによって、色々とあります。
どのようなサーバーをどういうサーバーソフトを使ってどのような用途、目的なような事を書かれると回答しやすいです。
例えば、Postfixを利用して、smtpサーバーを公開したなら、auth機能を設定して、送信の際にユーザーIDとパスワードを入れさせ、踏み台にされるのを防ぐとか、メンテナンス等でサーバーにログインする時は、直接rootでログイン出来ないような設定したなど、色々とケースバイケースでアドバイス出来ると思いますよ。

この回答へのお礼

seednyanさん

こんばんは。ご回答ありがとうございます。

>どのようなサーバーをどういうサーバーソフトを使ってどのような用途、目的なような事を書かれると回答しやすいです。

情報量が少なくて申し訳ございません。現在は、サーバを一台しか持っておらず、その一台でウェブサーバ(Apache)、メールサーバ(Postfix、dovecot)の両方を兼任しております。
今回、サーバを立てるのは初めてで、もともとLinuxの知識は全くと言っていいほどありませんでした。なので、「Linuxについて勉強したい」ということと、仲間うちで使える(掲示板やメーリングリストなど)機能を自分で作りたいと思い、現在に至ります。

auth機能を設定して、ID、パスワードで踏み台にされるのを防ぐ、直接rootでログインできないように設定する、ということにつきまして、とても参考になります。

上記のことにつきましてはもちろん、まずは勉強をしてケースバイケースでどうしたら良いか、今後煮詰めていきたいと思います。その上で、何か分からないことがあれば、再度この場をおかりして質問させていただきたいと思います。

どうもありがとうございました。

お礼日時：2010/11/01 04:45