クラウド・VPS・専用サーバーなど、root権限付きサーバーの最低限のセキュリティ対策

本ページはプロモーション・広告が含まれています。

root権限付きサーバーのセキュリティ対策の必要性

VPSや専用サーバー、クラウドサーバーを契約する場合、最低限のセキュリティ対策が必要です。

エックスサーバーなどの共用レンタルサーバーと言われるサーバーはサーバー会社でOSのセットアップから、セキュリティ対策、アップデート更新の実行を行っています。

専門のスタッフがいる事でレンタルサーバーの安全が保たれているのです。

しかし、VPSや専用サーバー、クラウドサーバーなど、root権限と言われる管理者権限が付与されるサービスは、
LINUXなどのOSにプログラムのインストールを行えたり、自由度が高い半面、セキュリティ対策を契約者自身で行う必要があります。

そのroot権限付きサーバーの基本となるセキュリティ対策を紹介します。

まず、OSのパッケージなどの更新、最新化を行う必要があります。
Linuxのyumコマンドなどで更新します。

アクセスが少ない朝方に自動アップデートを行うのが理想ですが、
アップデートが自動で実行されると不具合がおきるものもありますから、アップデートの自動化は慎重に考えなくてはなりません。

その都度のセキュリティパッチを適用することが一般的でしょう。

SSH、シェルコマンドの制限をかけます。

簡単なのが、rootにログインできるユーザーを制限する事です。

そうすると特定のユーザーでSSHログイン後、管理者root（スーパーユーザー）のパスワードでログインする2段階のログインになります。
（初期パスワードは必ず変更しましょう。）

そして、もう１つ有効なのが、鍵認証です。
できれば鍵認証でSSHの接続を制限しましょう。

SSHのポート22番は常時海外からアクセス、攻撃の的にされます。
22から別の番号に変更しましょう。

22番PORTへのアクセス、アタックはサーバー公開後、有名なサイトでなくても1か月も経過する前にアクセスログで確認できると思います。
必ず変更しましょう。

SSHのPORT番号を変更したら、Firewallなどでサーバーにアクセス、接続できるIPやプロバイダーの情報を登録します。

登録したIPやプロバイダー以外のSSH接続やFTP接続を拒否します。

特にSSHの接続を特定のIPに制限する事でリスクをさらに回避できるので設定しましょう。
FTPも同様に行える場合は制限を行います。

設定を間違えると設定管理者がSSH接続できなくなったりするのでご注意を。
慎重に設定を行いましょう。

SSHのPORT番号の設定に関係しますが、使用するポート番号だけポートを開放します。

SFTPやSSH、http、https、メールサーバーも使う場合は25番、587番、110番、143番などです。

また、遮断するIPを登録すると登録したIPを遮断できます。

サーバーへの攻撃はほとんどが海外からの攻撃です。クラッキング対象とされているサーバーは日本国内からのIP接続に限定することも考えましょう。

データベースのセキュリティーを高めるため、DBサーバーはパブリックなインターネット接続からアクセスされないようにするのが望ましいです。

例えば、WebサーバーとＤＢサーバーでサーバーを分け、DBサーバーをプライベート接続にしてインターネットからアクセスできないようにすれば、DBサーバーのセキュリティーを数段上げる事ができます。しかし、サーバー費用が高くなるデメリットがあります。

AmazonのAWSの場合は、VPC（Virtual Private Cloud ）のサブネットでパブリック環境とプライベートを分けて設定するのが基本です。

サーバーのセキュリティー、特にDBの安全性を考える場合は、DBサーバーにアクセスできない環境を構築できるサーバーやAWS、root権限付きのサーバーも含めて考えましょう。

DBデータの暗号化

DBに保管されている個人情報は流出すると大問題です。

人為的に流出するケースもありますが、DBサーバーのデータは暗号化しておいた方が良いでしょう。

VPSや専用サーバー、クラウドサーバーなどのroot権限付きサーバーは定期的にログのチェックを行う必要があります。
secureログ、アクセスログ、エラーログの確認が必須です。

必要に応じて、ログ監視ツールやウィルス対策ソフトの導入、サーバー会社のファイアウォールオプションも利用しましょう。

自由度や機能性からroot権限があるサーバーは魅力的ですが、サーバーを管理するスタッフの体制を整える必要もあります。

ここに記載したのは最低限のセキュリティ対策です。

セキュリティ対策をしないとWebサイトだけではなく、サーバー自体が乗っ取られサーバーを初期化する事態になりかねません。専用サーバーやクラウドサーバー、VPSサーバーなどをサーバーをレンタルする場合は必ず最低限のセキュリティ対策と日々ログの確認を行いましょう。

このようなroot権限はサーバーのセキュリティ対策の知識や経験が必要になります。
サーバー担当を置く余裕がない企業にオススメなのが、CPIのマネージド専用サーバーです。

専用サーバーでありながら、コントロールパネルが標準であり、FTPやメール設定が管理画面で設定する事が可能です。
共用サーバーではDBの容量が足りない、しかし専用サーバーだとセキュリティに不安がある。

そんな場合はCPIのマネージド専用サーバーも検討してみてはいかがでしょうか。