ちょっと物知り博士のちょこっと講座 | 戻る |
第14回 インターネットサーバーがぶっつぶれてしもうた
自前のDNSサーバーが無事に立ち上がって、筆者の会社の従業員にも得意になって、isi-webnet.co.jp のサイトの使用をすすめ、さらにはこれからはNETWORKの時代だと吹聴し、ネットワークの時代にはサーバーのセキュリティをしっかりとしておかなければならないと、書籍に書いてあることの受け売りを講演して悦にいっていた次の日、サーバーの様子がおかしい。
通常linuxのサーバーは立ち上げたままの状態では login: のプロンプトが表示されて静止した画面のままであるはずなのに、訳のわからんメッセージが画面をスクロールするが如く流れている。login コマンドを入力しようとしても制御できない。WWWサーバーの方はLogin はできたもののステイタスログが全く見えない。調べてみると log のディレクトリが完全に消された状態になっている。
DNSサーバーの方をみると相変わらず訳のわからんメッセージが画面を埋めている。ログインできないから shutdown も出来ない。仕方なく電源を強制的に遮断して再度bootしてみるとローダーがディレクトリーが破壊されているメッセージを表示し完全に立ち上げが出来ない。
・・・サービス開始してやっと1週間なのに、早速クラッカーの攻撃を受けてしまった。昨日セキュリティの重要性を皆に説いたばっかりなのに・・。
そうです、セキュリティの重要性は本に書いてあり頭では解っていたのですが、サーバーの設定、立ち上げに一生懸命なあまり、「まさか」自分のサーバーは大丈夫だろう、そのうちにセキュリティを施せばいいやと多寡をくくっていたのです。
ほとんどセキュリティに対しては手を打ってないインターネットサーバーは簡単に壊されるもんです。「まさか自分のサーバーは」というのは全く通用しません。 ここで一句「壊されて始めて身につくセキュリティ」・・負け惜しみを言っている場合ではないでしょうが。
インターネット上にサーバーを公開したら世界中のクラッカーから攻撃を受けるのは常識で、別に筆者が世界中のクラッカーから恨みを買っているわけでもなく、セキュリティを施さずにインターネット上に公開するのは、カギのかからない家を人通りの多い街路に建てるのとおんなじことです。
講釈はいいから、早いこと修復しなきゃ。WWWサーバーはともかくDNSサーバーは「壊れたからすみません」では納まりません。
早速 OCNのトラブルセンターへDNSサーバーが攻撃を受けてダウンしている旨連絡をし、直ちに復旧作業にとりかかった。
DNSサーバーの構築を行なって間もないので、その全ての手順をまだ覚えていたので、LINUXの再インストール、DNSサーバーの構築は苦もなく実施できたが、問題はセキュリティだ。おんなじ状態ならばまた壊されてしまう。とりあえず今知っている知識の範囲内でセキュリティを施そう。
まずはパスワード。壊される前のrootのパスワードは非常に簡単でまさにカギの無い家とおんなじだった。内緒ですが前のパスワードは「isiadmini] ・・・こんなんパスワードとはいえません。えー今度のパスワードですか?教えられません。非常に難解なものにしました。
次にインターネットでの信号の出入り口であるrouter。前は NAT 変換のみを行なう設定でした。今度は、サービスを行なう信号のみ透過しそれ以外は遮断する設定にしました。これをフィルターをかけるといいます。
そして、サーバーの設定。壊される前は、近い将来に使うかもしれないサービスデーモンも動く設定でした。たとえばDNSサーバーはメールも使える、WEBも置く、ftp サービスも行なうという設定でした。WWWサーバーは同様にメール、httpd、ftp のサービスを行なう設定でした。今度は、サービスを行なわないデーモンは起動しない設定に変更しました。
皆さんの為にどこをさわったか公開します。
/etc/inetd.conf にどの随時デーモンをサービスするか、止めるかが記述されています。たとえば ftp 、 telnet、pop2、pop3 などが記述されているので、サービスしないデーモンには先頭カラムに '#' を付して起動しないように止めます。 さらに、httpd 、smb などは、常時起動しないように設定します。最後に、公開したくないファイル、壊されたらまずいファイルは絶対にインターネットサーバーに置かないことです。
インターネットサーバーのクラッカー攻撃が以上のセキュリティぐらいで完全に防げるとは思いません。 インプレス社発行の「クラッカー迎撃完全ガイド」 を開いてみると今世界中で無数のクラッカーたちが目の色を変えてセキュリティホールを探しクラッカー攻撃をかけようと「ネットワーク技術」の研鑚に励んでいる。その中で100%安全なインターネットサーバーを作り上げることなぞ不可能に近いと表現している。筆者やあなたが考えるパスワードなんかはいとも簡単に解読してしまうしまたその解読ソフトがFreeに手に入る状態らしい。
クラッカーの攻撃が怖くて、100%安全を求めるならば、サーバーをインターネット上に公開しないこと。 これはけだし真理ではあるけれども、「生きていくのがこわいからはじめから生まれてこない」と言っているようなもので、当然ネットワーク技術の進歩もあったもんではありません。
筆者は自分で構築したインターネットサーバーがクラッカー達に何回壊されようともそのたびにまた新しいセキュリティを考えてサーバーを立ち上げていくつもりです。まあそんなpoorな知識ではクラッカー達には勝てんわな。
また近いうちにセキュリティーの実践記録を公開します。(えー、泥棒にカギを渡すようなもんだって? そうですなー)