Linux万歳なタイトルですが私はBSD育ちです~元MacintoshユーザーがWindowsを使ってPC-UNIXに辿り着いた道

まだ「さくらVPS」の障害を完全復旧させることは出来ていませんが、もう全部復元しなくても良いかなと、気持ちに変化が出てきたのでどこまで元と同じ構成にするかちょっと考えています。必要なものだけ再構築すれば良いんじゃないかと思うのです。失ったものは取り返せないし。

私がさくらVPSを使うまでの経緯

どこまで遡るか困ってしまいますが、FreeBSDでPC-UNIXを覚えた私は、FreeBSDを古いノートパソコンでWebサーバーに仕立てて長年使っていました。そのノートパソコンはCPUがIntelの486DX位ののどかな時代のものでしたが、3年以上トラブル無く動いてくれました。FreeBSDは驚異的な安定性を持つサーバーOSだという事を身を持って体験した私は、UNIXにどっぷりはまっていきます。冷却ファンも無い様なレトロなノートパソコンだった事もありますが動作も静かで古き良き時代だったなと思います。

その次に使ったのがLinuxです。当時Redhat系のベンダー資格を取得する学習をしたりしたので、Redhat系の軽い奴が良いなと、Vinelinuxを使ってWindows98SE辺りが動いていたCeleronのデスクトップパソコンをWebサーバーにしました。マシンパワーに余力が出来たのでSQLサーバーとしても使い、出始めたばかりのブログシステム「MovableType」を使ってブログという仕組みを覚えました。ブログシステムの登場は画期的だったと記憶しています。

“Linux万歳なタイトルですが私はBSD育ちです~元MacintoshユーザーがWindowsを使ってPC-UNIXに辿り着いた道” の続きを読む

さくらVPSでdebianを使っていく(4)~sshに鍵認証方式を追加してよりセキュアに対策

さくらVPSにdebian8をインストールして、TCPWrapperで制限を掛けましたが、まだ簡単にできるセキュリティ対策は有るので設定しておきます。

SSHサーバの認証は、一般的なパスワード認証に加えて、SSL証明書による電子鍵による接続認証を使うことが出来ます。

この電子鍵にはパスフレーズと呼ばれる一種のパスワードも組み合わせており、電子鍵のペアを組み合わせる事とパスフレーズを正しく入力できる事の二段階のセキュリティを実現出来ますので、セキュリティ目的には使わないと損だと言える位の効果があると思います。

私は今まで使っていた鍵のペアを持っている(バックアップしていた)のでそれを使いますが、LinuxのSSHにはたいてい鍵を生成する機能が付いているのでそれで生成しても良いでしょう。

“さくらVPSでdebianを使っていく(4)~sshに鍵認証方式を追加してよりセキュアに対策” の続きを読む

さくらVPSでdebianを使っていく(3)~hosts.allowとhosts.denyで不正アクセスを拒否る

Linuxには大抵、TCPWrapperという仕組みがあって、アクセスしてくる接続を拒否したり、許可したりという事が比較的簡単にできる様になっています。

ネットワーク接続制限

TCPWrapperは、タイトルの通り2つのファイルで制御されています。

  • hosts.allow
  • hosts.deny

この2つのファイルは、allow(許可)、deny(拒否)という意味なので、設定のポリシーにもよりますが、denyにALL記述(全拒否)した状態で、allowに特定のIPアドレスやドメイン(プロバイダ)を記述して一部だけ許可するのが一般的かなと思います。

ウチのサーバーの場合は、Webサーバーとしても稼働させたいので、ネット接続全拒否は現実的では無くその方法は取りませんが、一番安全な方法としては全拒否して一部だけ許可とする事でしょう。

なお、全拒否と表現しましたが、「SSH接続だけ全拒否」ということも出来ますので、ウチの場合はSSHは全拒否、一部のSSHだけ許可という感じで細かく制御する方法を取らざるを得ません。それでもTCPWrapperによる接続制限は手軽なので是非使いたい方法です。

“さくらVPSでdebianを使っていく(3)~hosts.allowとhosts.denyで不正アクセスを拒否る” の続きを読む