さくらの専用サーバーの無防備っぷり
先日、さくらインターネットで専用サーバーをレンタルしました。で、サービスのセットアップや動作確認など準備を進めている最中なのですが…
サーバーをレンタルしてから数日後、ふとログファイルをチェックしていたところ、/var/log/maillogに見覚えのないログがつらつらと…
…思いっきりSPAMの踏み台にされていましたorz
もしや!! と思い、iptablesで解放portを調べてみたところ…
# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destinationChain FORWARD (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destination
うは、完全ノーガード!! iptablesの設定が空っぽでした。/etc/sysconfig/iptables ファイルが見あたりません。せめてhttpとsshだけとか、初期状態で解放portを絞っておいてくれればいいのになぁと思うのですが。すっかり油断していました。さくらさん、頼みますよ…
慌てて/etc/sysconfig/iptablesを用意し、httpとssh以外はrejectするように設定。/etc/sysconfig/iptables を以下の内容で作成します。
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited
COMMIT
そしてiptableを再起動します。
# /etc/init.d/iptables restart
再起動後、iptablesでチェック。
# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all — anywhere anywhereChain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all — anywhere anywhereChain OUTPUT (policy ACCEPT)
target prot opt source destinationChain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all — anywhere anywhere
ACCEPT icmp — anywhere anywhere icmp any
ACCEPT esp — anywhere anywhere
ACCEPT ah — anywhere anywhere
ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp — anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp — anywhere anywhere state NEW tcp dpt:http
REJECT all — anywhere anywhere reject-with icmp-host-prohibited
というわけで、無事反映されました。今のところ問題はなさそうです。
最近、利用者の多いさくらインターネットのレンタルサーバーですが、利用開始したら、まず真っ先にiptablesの設定を見直して、不要なportを塞いでおきましょう。あと不要なサービスの停止も忘れずに。
追記:
SMTPのリレーに関してご指摘があったので、再度ログを精査したところ、リレー拒否されていました。というわけで「SPAMの踏み台に~」のくだりは訂正します。申し訳ありません。とはいえ、portを塞いでおくのは重要だと思うのと反省の意味を込めてこのエントリは残しておきます。
35 Comments so far
Leave a reply
さくらに言えよ、小心者。
さくらさんには、問い合わせ(というか要望)は投げてあります。
あと、自分で当然やるべきことじゃないか、という意見はもっともで、
自分で最初に気づかなかったのも落ち度があるとは思います。
しかしそれでも納品されてから最初にアクセスできるようになるまで、
タイムラグが発生しているわけですし、その間に外部からアクセスされる
可能性も否定はできないですよね。
というわけで
・納品された時点で最低限のセキュリティ対策はとっておいてほしかった
・それが手間がかかって無理なのであれば、納品時の注意事項として
ユーザーに真っ先に対策をするよう注意喚起をしてほしい
というのが、私がさくらさんに投げた要望です。
これはなない! 無防備っぷりなのはあなたでしょ
まぁ・・・
レンタル鯖借りる人って基本的に自己責任が求められますからなぁ
厳しい言葉を投げかける方を冷たいと詰ることはできません
ただ、ブログ主さんの意見は世間一般的にもっともなものだと思います
さくらさんもビジネスとして一考すべきことでしょうね
要望は出してよかったと思います
あと、ブログに書かれたことも
それでは失礼します
初心者です。勉強になりました。
TimeLogから来ました。
私も最低限のセキュリティー対策をするのが当たり前だと思います・・・
Sは元々スキルが低いのか、単純ミスなのか・・・
ポートを閉じてて欲しいというのは確かにポリシーとしてアリだと思うし、全部空いてるのも、まあ優しくないよね、っていう印象もあるんですが、
そもそもSPAMの踏み台ってことは、ディフォでSMTPリレーが無制限に許可されてるってことですよね?問題視するのはむしろそっちじゃないかと思うんですが。
SMTPリレーの件、訂正、追記しました。申し訳ありません。
さくらの専用サーバーの初期設定はかれこれ数年以上前からこんな感じです。
まぁ、さくらは全体的に「安かろう悪かろう」なんで、仕方ないと思いますがね。。
データセンター環境とかもっとひどいもんです。
上場企業なんだから、もう少しまともにして欲しいですよね。
iptablesということはOSはlinuxの何かだと思うのですが、セットアップ状態で余計なdaemonは動いていないとか、リモート脆弱性は無しの状態では無いんですか?(FreeBSDやdebianなどはちゃんとシステム管理者が設定しなければデフォルトセキュアに成るので、単純に素朴な疑問です)
もしそうだとすると、最低限のセキュリティ対策はとっているとも言えるのかなぁと。
納品時の注意事項として「セキュリティ対策は自己責任です」をくどいほど徹底させろってのは同意です。
ほっておいても自己責任でセキュア設定をする人ばかりが貸しサーバーを借りる時代でもないでしょうし。
OSはLinuxでFedora Core 6です。
どこまでが「余計な」になるかは分かりませんが、
httpd,sshd,dovecot,vsftpd,telnetあたりは最初から動いていました。
他社サバ管です。
iptablesは普通設定してないと思いますよ。
専用サーバでも結構スキルの低い人がオーナーだったりすることが多いので、
初期状態でiptablesなんてかかってると余計トラブルのもとになります。
でもサービス起動しまくった状態での引渡しは無しですね。。。
さくらの専用サーバはそんな無防備というほどでもない…
創意無限空間 » さくらの専用サーバーの無防備っぷり サーバーを借りた直後の初… (more…)
レンタルサーバで勝手にiptablesだの設定されてたら僕なら怒りますよ。
何もかも自己責任というのがレンタルサーバというものだと思いますが。
ただ、
> httpd,sshd,dovecot,vsftpd,telnetあたりは最初から動いていました。
これは逆にダメですね。sshd以外のモノが1ミリでも動いてたら駄目でしょう。telnetに至っては、もう今すぐすぐ電源切った方がましだ。
問題なのはポートが開いているかどうかではなく、
Listenしているプロセスにセキュリティーホールがあるかどうかですよね。
その上で、未知のセキュリティホールがあるかもしれないから
Listenするプロセスはsshdだけにするという話でしょう。
皆さん、コメントありがとうございました。
色々な意見が聞けて大変勉強になりました。
(あまりの反響の大きさに驚いているのですが…)
皆さんの動かしているサーバーのセキュリティが大丈夫かどうか
見直すきっかけになったらいいな、と思っています。
さくらの専用サーバをいじったことがありますが、ほかのさくらの専用サーバからsshのブルートフォースをくらうことが数ヶ月に一度ありました。管理が甘くて踏み台にされているサーバがあるということですね。
さくらに落ち度あるんでしょうか?
同じさくらの専用サーバを借りてるものですが、借りる際に
「その時点で最新のセキュリティパッチを当てた状態でお渡しします。」とあります。
当ててなかったのなら、さくらの落ち度でしょう。
あと入れておくサービスの指定も出来たはずですが、そちらはどうなっていましたか?
iptableを設定しているから安心とかFirewallをいれてるから安心とか
話がちがいますね
確実に自分の意図したポートが正しくあいていれば良くて、要らないポートは閉じればいいぢゃないですか
そんなの契約する前に自分で確認するでしょうが。共有F/Wあるのか、ないならiptablesを設定してくれるのか、自身でやらなきゃならないのか。
さくら…というか業者のせいにするあたり、自分の低レベルを恥じるべき。というか、この記事、赤面ものでしょ…。
「専用サーバ契約したけど、F/Wの責任を事前に確認しなかったwwおれ馬鹿ww」という告白ですか?
あなたが空けといて欲しいポートをあなたからヒアリングせずに設定して
くれる、エスパーな業者、さくら以外のほとんどなのでしょうが、教えてください。
契約直後の使いやすさや初心者へのわかりやすさをとるか、できるかぎり厳しくするか(sshdぐらいしか開けないとか)のポリシーの違いなのかなあと思います。
できるだけ厳しくしたほうがより安全なのでしょうけど、そうすると動かない動かないとサポートの問い合わせが増えたりするのでは。
iptables -Lとかnetstat -tl辺りは
まず一番最初に確認するべきことじゃないですかね。
一週間も経ってから始めて気づいて業者のせいにするような初心者は
root権限など持つべきではないんじゃないかな。
あと、sshなら開いてても良くてftpやtelnetは開いてちゃ駄目とか、
デフォルト設定のapacheが駄目とか言ってる思考停止状態の人も
セキュリティの勉強し直さないとだめだわ。
見知らぬものですが、1つ指摘したいところがありまして。
設定し終わったあとの iptables -L の出力の一部抜粋 :
>Chain INPUT (policy ACCEPT)
>Chain FORWARD (policy ACCEPT)
>Chain OUTPUT (policy ACCEPT)
って言うのは, policy がすべてACCEPTになっているため、以降の設定事項がほぼ無駄だと思います.
通常は、policy で DROP させて、必要なパケットのみを通すのが筋だと思います。
もしかたら、私の言っていることが違うかもしれませんが。
ただ、少なくとも、私の自鯖はそのようになっています。
最近iptablesの使い方を知って、iptablesという言葉を使いたいだけの文章に見えます。
よりセキュアなポリシーではsshやhttpを規定のポートでListenしない、ということなどもあります。誰もが同じポートでListenすることを前提としたiptablesの初期設定など不要です。
自分本位すぎませんか?
「オレ天才、オマエ馬鹿」みたいな書き込みが多くて吹いたw
わたしゃ、ブログ主さんの情報ですごく助かったよ。
はいはい、オイラもバカでぷ~~~~
hello everybody. my Japanese is not good but it seems like a very nice web site. thanks
そんなこというのであれば、借りるべきではないと思います。
自分で設定するものだと思います。
最小構成で借りれば初期起動サービスも最低限ですむはず。
下手にへんな設定されていたら問い合わせ殺到するでしょ?
管理者からすればそれこそ困るし・・・。
皆さん、黙っていられかったんでしょうね。。うんうん。
通りすがり 7 月さんがえらい。w
設定してないのはしてないやつが悪い、というのはわかるんだけど、
デフォ状態だと踏み台にされるようなものは、
ちゃんとやってる人のサーバにも迷惑になるわけだから、
こんな状態で売るのは企業としてどうかな、と思う。
できる人の意見はわかるんだけど、そうならなおさら、
できない人には使えないように設定すべきでしょうよ。
[...] ■さくらの専用サーバーの無防備っぷり これひど [...]
[...] http://detail.chiebukuro.yahoo……213919417″; target=”_blank”>専用サーバーを借りたのですが、設定方法がさっぱりわかりません。 一週間にわた…専用サーバーを借りたのですが、設定方法がさっぱりわかりません。 一週間にわたって調べまくったのですが、 結局よくわからなかったので、 <私がしたいこと>にたどり着くためには どうすればよいか、最短のステップを 専用サーバーを借りたのですが、設定方法がさっぱりわかりません。 一週間にわたっ…Yahoo!知恵袋より【サービス】DTIが“ワンコイン"仮想専用サーバーサービスに上位版を投入 (10/04/27)…ドリーム・トレイン・インターネット(DTI)は2010年4月27日、28日からVPS(仮想専用サーバー)サービス「ServersMan@VPS」に 新プランを追加すると発表した。同社は4月2日に月額490円の「ServersMan@VPS Entryプラン」の提供を…2chより自宅サーバー/専用サーバー/メリット/デメリット…見つからない ところが、主に自宅サーバーと比較した場合ですが、専用サーバーの特徴がよく理解できません。 例えば、セキュリ的に言えば、自宅サーバーより、専用サ……教えてGooよりつくるぶガイドブログ: 失敗しない Rails が動かせるホスティング…望ましく、こうなると専用サーバーか、あるいは共用サーバー(一台を複数の利用者で使うのですが、仮想的に分割されていて、あたかも専用サーバーのように使えるサーバー)か、ということになります。 2008/03/20 追記 » re: 失敗しない rails が動かせ…はてなブックマークより10GBで月額490円、DTIが仮想専用サーバー「ServersMan@VPS」[10/03/09]…、 個人向け仮想専用サーバーサービス「ServersMan@VPS」を4月下旬より提供開始すると発表した。ストレージ容量10GB、メモリー256MBで、初期費用が無料、月額料金が 490円。ServersMan@VPSでは、一般的なWebやメールなどのサーバー機能のほか…2chよりTechCrunch Japanese アーカイブ » Scalr:自動的にスケーリングで…クというのは、アプリ専用サーバー、ロードバランサー、データベース専用サーバーといったサイトの基礎ニーズの一つ一つのサーバーイメージの連なりである。このサーバーイメージはアマゾンの国では「amazon machine images(ami)」というクソ面白くもな…はてなブックマークよりとほほのWWW入門www.htm 惑星専用サーバーサービス/ホスティングのサービス開始までは ↓専用サーバーならばatlinkがおすすめだと思います↓ このぺーじは、以前にウェブ作成で定番の杜甫々さんのwww入門のトップページだった様です。 このサイトは、以前にこのアドレ…はてなブックマークより仮想専用サーバー(VPS)/プロビジネス・サービス/レンタルサーバ…権限付きvps(仮想専用サーバー)『プロビジネスシリーズ』が登場!virtuozzoにより仮想化plesk標準搭載『プロビジネス5』『プロビジネス10』はサービスラインナップの見直しを予定している為、現在お申込みの受付を停止しております。 ご検討中のお客様はお…はてなブックマークより創意無限空間 » さくらの専用サーバーの無防備っぷりくらインターネットで専用サーバーをレンタルしました。で、サービスのセットアップや動作確認など準備を進めている最中なのですが… サーバーをレンタルしてから数日後、ふとログファイルをチェックしていたところ、/var/log/maillogに見覚えのないログがつらつ…はてなブックマークより[メモ]専用サーバーを VPN で接続して社内サーバーとして使う : a …で、データセンターの専用サーバーを社内サーバーとしてセットアップしてみました。しかもかなり古典的な方法で。で、そのときのメモ。 社内サーバーといっても、web でアプリ動かしてファイルサーバーとして動作してるだけ、というのがほとんどだと思うので。 とりあえず実…はてなブックマークより loadAdSense(’149475′, ‘00′);loadAdSense(’149475′, ‘04′);このサイトは、専用サーバーについての記事を自動的に投稿し掲載していますが、ときどき関係ない記事や、「そうじゃなくて・・・」、みたいな記事がまざることがあります。ごめんなさい。 [...]
[...] 「再販権付き」アーティクルジェネレーターBee Family 「再販権付き」アーティクルジェネレーター アーティクル提供サイトを格安で構築してあなた … いようにアーティクルジェネレーターとイージーデスクの専用ビデオマニュアルをご用意しました。?アーティクルジェネ … 境が必要です。データベースは必要ありません。ご利用のレンタルサ…インフォカートよりGmailで全てのメールアカウントを管理する方法 – GoogleMania | グ…るロリポップ!というレンタルサーバーでは、「 ユーザー専用ページ > メールツール > メール転送設定 」で転送で転送先のメールアドレスを5件まで設定できます。 もし、無料メールサービスを使っていても、ほとんどの場合同じように転送設定をすることができます。 …はてなブックマークよりレンタルサイトをしたいのですが・・?…? レンタルサイトをしたいのですが・・?個人伝言版を幾つも提供するようなサイトを持ちたいのですが、専用サーバーでなくても可能でしょうか?領域再販とか言われているものに……教えてGooよりhttp://detail.chiebukuro.yahoo……138126056″ target=”_blank”>OPENPNEいれるためにレンタルサーバを探しています。 携帯電話投稿ができるレン…OPENPNEいれるためにレンタルサーバを探しています。 携帯電話投稿ができるレンタルサーバーやレンタル専用サーバーどこか知りませんか ?Yahoo!知恵袋より携帯サイト専用レンタルサーバーを探しています…携帯サイト専用レンタルサーバーを探しています 携帯サイトを使って仕事をしたいと考えています。 携帯サイトを制作したことがないので、今ひとつわからないのですが携帯専用レ……教えてGooより創意無限空間 » さくらの専用サーバーの無防備っぷりくらインターネットのレンタルサーバーですが、利用開始したら、まず真っ先にiptablesの設定を見直して、不要なportを塞いでおきましょう。あと不要なサービスの停止も忘れずに。 追記: smtpのリレーに関してご指摘があったので、再度ログを精査したところ、…はてなブックマークよりWordPress Plugins/JSeries » Ktai Entry方式に関する注意) レンタルサーバーではまず動作しないと考えてください。メールサーバーとウェブサーバーが別マシンだったり、シェルアカウントがなかったり、.qmail/.forward/.procmail の編集ができなかったり、任意のメールアドレスを追加できな…はてなブックマークより仮想専用サーバー(VPS)/プロビジネス・サービス/レンタルサーバ…レンタルサーバーのファーストサーバからroot権限付きvps(仮想専用サーバー)『プロビジネスシリーズ』が登場!virtuozzoにより仮想化plesk標準搭載『プロビジネス5』『プロビジネス10』はサービスラインナップの見直しを予定してい…はてなブックマークより専用サーバーの個人グループでのシェアの実現…専用サーバーの個人グループでのシェアの実現 再販業者のレンタルサーバーは、専用サーバーを借りて複数の人に貸し出していますが、業者を通さずに専用サーバーを……教えてGooよりレンタルサーバー…レンタルサーバー レンタルサーバーを探しています。 使用内容は、モバイルへのメール大量配信ができて、ftpからサイトを公開でき、オリジナルCGIが使用できるようなサーバーを……教えてGooより [...]
Hi, Thank you for this specific material I had been seeking all Yahoo to be able to locate it!
How can I search blog posts from during the olympics?