さくらのVPSユーザに意識して欲しいことの話

個人用まとめ。さくらのVPSを使ってる人は低レイヤーセキュリティをちゃんと意識して欲しいなぁという話。
3
お兄様 @phase_d

さくらのVPS関連のつぶやきやブログ記事を見たり運用してたりすると、アプリとか上層レイヤーばっかり注目されてて、TCP/IPな低層レイヤーのセキュリティがないがしろにされてる疑念を抱くな。

2012-03-01 19:19:36
ヤハウェ @yahweh_sa

@phase_d ほう。その見解にいたった理由とどういったセキュリティがないがしろなのか教えてけろ。

2012-03-01 21:28:57
お兄様 @phase_d

@yahweh_sa 真面目に考え出したら、結構な連続ツイートになりそうなので、また明日にでもまとめて

2012-03-01 22:45:52
ヤハウェ @yahweh_sa

@phase_d 了解。結構興味深いコメントだったので是非

2012-03-02 09:37:50
お兄様 @phase_d

というわけで、@yahweh_sa のリクエストにお答えして、さくらのVPSにまつわる周辺事情に対する雑感をつぶやいてみようかな。長くなるので、あとでTogetterするか。

2012-03-02 12:22:48
お兄様 @phase_d

前にも少しつぶやいたけど、さくらのVPSを使ってると隣近所からの不審なパケットが思いの外多い。たいていは無害なブロードキャストではあるけど。

2012-03-02 12:23:43
お兄様 @phase_d

で、「さくらのVPSで◯◯」系の記事を見ると、いきなりApacheの設定を始めたりして、iptablesとか/etc/hosts.allowとかに触れてないエントリーがたまにあるのが気になる。

2012-03-02 12:24:11
お兄様 @phase_d

「さくらのVPSで◯◯」なエントリーは、別にさくらのVPSに特化した内容じゃないことも多いけどねぇ。お前、さくらのVPSって言いたいだけちゃうんかという。

2012-03-02 12:24:36
お兄様 @phase_d

触れてる記事があっても、インバウンドを制御する例は多いんだけど、アウトバウンドまで制御する例はあまり見かけないのよね。多少は流派の問題かもしれんけど。ご本尊ですらOUTPUT ACCEPTだし。 http://t.co/5XH3244R

2012-03-02 12:25:50
お兄様 @phase_d

まあかくいう俺も気になって後からアウトバウンド制御はするようになったんだけどね。

2012-03-02 12:26:03
お兄様 @phase_d

あるいはTwitter経由で流れてくるのを眺めてると、「習作」として借りてみたという人が意外と多そうという感想を持ってしまうのよね。

2012-03-02 12:26:15
お兄様 @phase_d

さくらのVPSは習作として使うにはコスト的にもスペック的にも申し分はないんだけど、「自由に使えるグローバルIPアドレスが無防備に提供される」ことがメリットでありリスクであることを忘れないでほしいな。

2012-03-02 12:26:32
お兄様 @phase_d

前に使い始めてから数分で怪しいsshアクセスが来たとかそんな話も見たことあった気がするし。

2012-03-02 12:26:53
お兄様 @phase_d

特にさくらのIPアドレスはたまに絨毯爆撃のようなポートスキャンが飛んでくることがあるので、穴を残しておくことは非常に危険。ましてや初期状態では完全に素のCentOSが提供されるので、もう無防備なんてもんではない。

2012-03-02 12:27:22
お兄様 @phase_d

VPSがどういうユーザ層に人気があるのかを想像すると、Webアプリ屋が多いのかなという気がしてる。で、これは偏見なんだけど、Web屋の人は特にTCP以下の低いレイヤーのことについて知らなかったり理解してないことが多いと思うのよ。

2012-03-02 12:28:26
お兄様 @phase_d

ワタクシはインフラ屋なので、逆に高いレイヤーのことはよくわからんけどな。特にPHPとかの言語とかDBの話とかはよくわからんのよ。本当は勉強したいんだけどねぇ。

2012-03-02 12:28:55
お兄様 @phase_d

「VPSを運用する」ということは特にL3からL5までの知識と理解が必要なのよ。使い方によってはL7まで知らなきゃいけないけど、L3L4辺りはどうやっても切り離せない。それは自由なグローバルIPアドレスが使えるがゆえ。

2012-03-02 12:29:45
お兄様 @phase_d

その辺が忘れ去られたまま、「ひゃっほー、格安で好き勝手にWebアプリ動かせるぜ」という思いで借りてる人が多いんじゃないかなぁという疑念があるわけです。

2012-03-02 12:30:08
お兄様 @phase_d

OSI参照モデルの全レイヤーをまんべんなく理解してる人ってのもそうそういないとは思うけどね。だからこそアプリ屋とインフラ屋ってのは分業することが多いんだろうし。

2012-03-02 12:30:33
お兄様 @phase_d

余談だけど、公開サーバにおいてアウトバウンドパケットって制御すべきなのかなぁ。可能であれば制御すべきだとは思うんだけど、どんなパケットがあるか想定できないと難しいのも事実。

2012-03-02 12:31:13
お兄様 @phase_d

というオチのあるんだかないんだかな話。平野綾ないいともTLのこの隙なら言えるぜ、というわけでもないけど。

2012-03-02 12:32:55
ヤハウェ @yahweh_sa

@phase_d おお、そういうことかいな。確かにTCPWrapperやiptablesをちゃんと導入時にやるのを紹介してるサイトはないわな。ぶっちゃけ、さくらのIPからアタックは結構聞くんだよね。

2012-03-02 14:31:55
お兄様 @phase_d

@yahweh_sa そうなんだよね。さくらは攻撃元にも攻撃先にもどっちにもなりやすいから、タチが悪い。世界中からハニーポットだと思われてるんじゃないかとすら思える。それだけ適当な運用のサーバがいるのかもしれんが。最低限の設定だけで防げはするけどね。

2012-03-02 14:40:42

いま話題のタグ

初見感想からしか取れない栄養素がある25 出禁46 絵師502 ポケモン1922 イラストレーター762 あすけん8 ザ!鉄腕!DASH!!526 カープ374 すがやみつる33 同人1992 志摩スペイン村26 柴犬249 水曜日のダウンタウン123 孤独死65 ファンタジー1657