さくらのVPS関連のつぶやきやブログ記事を見たり運用してたりすると、アプリとか上層レイヤーばっかり注目されてて、TCP/IPな低層レイヤーのセキュリティがないがしろにされてる疑念を抱くな。
2012-03-01 19:19:36というわけで、@yahweh_sa のリクエストにお答えして、さくらのVPSにまつわる周辺事情に対する雑感をつぶやいてみようかな。長くなるので、あとでTogetterするか。
2012-03-02 12:22:48前にも少しつぶやいたけど、さくらのVPSを使ってると隣近所からの不審なパケットが思いの外多い。たいていは無害なブロードキャストではあるけど。
2012-03-02 12:23:43で、「さくらのVPSで◯◯」系の記事を見ると、いきなりApacheの設定を始めたりして、iptablesとか/etc/hosts.allowとかに触れてないエントリーがたまにあるのが気になる。
2012-03-02 12:24:11「さくらのVPSで◯◯」なエントリーは、別にさくらのVPSに特化した内容じゃないことも多いけどねぇ。お前、さくらのVPSって言いたいだけちゃうんかという。
2012-03-02 12:24:36触れてる記事があっても、インバウンドを制御する例は多いんだけど、アウトバウンドまで制御する例はあまり見かけないのよね。多少は流派の問題かもしれんけど。ご本尊ですらOUTPUT ACCEPTだし。 http://t.co/5XH3244R
2012-03-02 12:25:50さくらのVPSは習作として使うにはコスト的にもスペック的にも申し分はないんだけど、「自由に使えるグローバルIPアドレスが無防備に提供される」ことがメリットでありリスクであることを忘れないでほしいな。
2012-03-02 12:26:32特にさくらのIPアドレスはたまに絨毯爆撃のようなポートスキャンが飛んでくることがあるので、穴を残しておくことは非常に危険。ましてや初期状態では完全に素のCentOSが提供されるので、もう無防備なんてもんではない。
2012-03-02 12:27:22VPSがどういうユーザ層に人気があるのかを想像すると、Webアプリ屋が多いのかなという気がしてる。で、これは偏見なんだけど、Web屋の人は特にTCP以下の低いレイヤーのことについて知らなかったり理解してないことが多いと思うのよ。
2012-03-02 12:28:26ワタクシはインフラ屋なので、逆に高いレイヤーのことはよくわからんけどな。特にPHPとかの言語とかDBの話とかはよくわからんのよ。本当は勉強したいんだけどねぇ。
2012-03-02 12:28:55「VPSを運用する」ということは特にL3からL5までの知識と理解が必要なのよ。使い方によってはL7まで知らなきゃいけないけど、L3L4辺りはどうやっても切り離せない。それは自由なグローバルIPアドレスが使えるがゆえ。
2012-03-02 12:29:45その辺が忘れ去られたまま、「ひゃっほー、格安で好き勝手にWebアプリ動かせるぜ」という思いで借りてる人が多いんじゃないかなぁという疑念があるわけです。
2012-03-02 12:30:08OSI参照モデルの全レイヤーをまんべんなく理解してる人ってのもそうそういないとは思うけどね。だからこそアプリ屋とインフラ屋ってのは分業することが多いんだろうし。
2012-03-02 12:30:33余談だけど、公開サーバにおいてアウトバウンドパケットって制御すべきなのかなぁ。可能であれば制御すべきだとは思うんだけど、どんなパケットがあるか想定できないと難しいのも事実。
2012-03-02 12:31:13@phase_d おお、そういうことかいな。確かにTCPWrapperやiptablesをちゃんと導入時にやるのを紹介してるサイトはないわな。ぶっちゃけ、さくらのIPからアタックは結構聞くんだよね。
2012-03-02 14:31:55@yahweh_sa そうなんだよね。さくらは攻撃元にも攻撃先にもどっちにもなりやすいから、タチが悪い。世界中からハニーポットだと思われてるんじゃないかとすら思える。それだけ適当な運用のサーバがいるのかもしれんが。最低限の設定だけで防げはするけどね。
2012-03-02 14:40:42