自宅サーバ構築の手順概要(脆弱性確認や運用、監視など)

自宅サーバ構築の手順概要(脆弱性確認や運用、監視など)

レンタルサーバ

自宅サーバ構築の手順概要(脆弱性確認や運用、監視など)

自宅サーバ構築手順の概要です。

※詳細な手順は別のページに記載しました。

 

本ページの目次

1. 回線の用意

 

2. 固定/動的IPアドレスの選択とドメインの取得

 

3. サーバの構築

 

4. 脆弱性について

 

5. 運用監視

 

 

 

回線の用意

サーバ専用で使用する回線を導入する。
または家庭のPCと共用の回線のみで有ればDMZを作りたいです。
そしてできればインターネット側からの攻撃を防御できるUTMやFWも導入したいです。
自宅用の無料UTMについては以下のページに記載しました。

 

 

固定/動的IPアドレスの選択とドメインの取得

プロバイダにて固定グローバルIPアドレス契約を行う。または動的グローバルIP
アドレスで構築する場合は、ドメイン名を紐付けるためダイナミックDNSを使用する。
ダイナミックDNSは有料サービスで有れば独自ドメインも可能なものが多いです。

 

独自ドメインはレジストラやリセラーで取得します。
自宅サーバでの独自ドメイン使用を推奨していないところも有ります。
DNSサーバはレジストラやレンタルサーバ会社のDNSサーバを使用するか
自宅でDNSサーバを構築しレジストラに登録、になるかと思います。

 

また、1つのグローバルIPアドレスでホームページを複数運用する場合は
WEBサーバでバーチャルホストやホストヘッダ-などの設定になるかと思います。

 

 

サーバの構築

サーバを構築する。自宅WEBサーバでの構成としては無料Linux(CentOSなど)
でのapacheがよくある構成かと思います。Windowsで構築する場合はIISか
その他フリーソフトかと思います。
ウィルス対策ソフトも最低でも無料ソフトは入れたいです。

 

各OSごとの有料/無料のウィルス対策ソフトついては以下のページに記載しました。

 

また、CentOSでの無料のウィルス対策ソフトについては以下のページに記載しました。

CentOS7

  • Sophos Anti-Virus for Linux (Free Edition)の設定方法
  • AVG Anti-Virus free for Linuxの設定方法
  • ClamAV(Clam AntiVirus)の設定方法
  • COMODO Antivirusの設定方法

    •  

    CentOS6

  • AVG Anti-Virusの設定方法
  • ClamAV(Clam AntiVirus)の設定方法(CentOS6)

    •  

     

    脆弱性について

    サーバ公開前や公開中の折々で脆弱性の診断もやっておきたいです。
    そもそもサーバに到達する前に、プロバイダのIPSなどのネットワーク機器で防御して
    くれる事も有るかもしれませんが。
    また、運用中にもIPA 情報セキュリティなどを確認し、定期的に
    使用しているパッケージなどに脆弱性が無いか確認が必要です。

     

    ・ツールによる脆弱性診断

    脆弱性診断ツールはOWASP ZAPやNessusなどが有名です。
    ポートスキャンやWEBアプリのチェックなどを行います。
    IPAがOWASP ZAP、Paros、Ratproxyの比較や紹介を行っています。

     

    関連リンク

     

    また、脆弱性スキャナーの概要については以下の記事に分かりやすく書かれていました。

     

     

    ・WEBサービスによる診断

    マルウエアに感染していないかやブラックリストに登録されて
    しまっていないかなどが確認できます。

     

    ・googleによる診断
    http://www.google.com/safebrowsing/diagnostic?site=調べたいサイトのURL

    と入力すると以下の画面のように、他サイトへの感染媒体となっていた
    形跡やサイトで不正なソフトウェアをホストしていたかどうかが分かります。

     

    ・DNSサーバや自宅のルータのオープンリゾルバの確認

     

    wgetでの確認方法も記載されていました。

     

    [root@dti-vps-srv94]# wget -qO - http://www.openresolver.jp/cli/check.html

    Configured DNS server: [NOT open] 202.216.224.10(nsc0-06.dti.ad.jp)
    Source IP address: [NOT open] 27.120.*.*(v-27-120-*-*.ub-freebit.net)

    1行目はresolv.confでの(負荷分散後)DNSサーバ、
    2行目は自サーバ(wgetを実行したサーバ)の結果です。

     

     

     

    自宅のルータと、プロバイダのDNSサーバ(=または自分で
    構築したDNSサーバ)を一度にチェック可能。

     

    BINDやオープンリゾルバの説明については以下のページに記載しました。

     

    ・メールサーバのオープンリレーの確認

    第三者中継チェック RBL.JP

     

    postfixの説明については以下のページに記載しました。

     

    ・UPnPの脆弱性の確認

     

    ※UPnPのバグのチェックやPing、ポートスキャン、トレースルートを行うツールなど。

     

     

    ・IPA、JPSERTサイトの確認、パッケージの適切なアップデート

    以下の表示がIPAからのお知らせです。

     

     

    特にBIND9は四半期や半期に1度くらいのペースで脆弱性が発見されています。

     

    IPA 情報セキュリティ

     

    またJPCERTも脆弱性について掲載しています。
    JPCERT/CCのメーリングリストに加入しておくのも良いかと思います。

     

     

    運用監視

     

    SavaMoni.(サバモニ)やCMANでの死活監視が良いかと思います。

     

    無料のサーバ監視 SavaMoni.(サバモニ)の設定方法

     

    Androidからサーバを監視、チェックするアプリケーション

     

    エラーコードの表示など

     

    ポートスキャン

     

    またgoogleのPlayストアで「Sever Monitor」で検索するとサーバ監視ソフトが色々有ります。

     

    さらに監視するならば以下かと思います。

    ●WEBサーバなどサービスのログ

     

    ●シスログ
    シスログの例

    ※設定方法はCisco ASA5505の(VPN)設定方法に記載しました。

     

     

    ●logwatch(ログ監視ツール)

    設定方法は以下のページに記載しました。

     

    ●Zabbix(サーバの監視)

     

    ●Cacti(サーバの監視)

     

    ●Munin(サーバの監視)

    AndroidからLinuxサーバの状態を確認するアプリ(munin for Android)も有ります。
    設定方法は以下のページに記載しました。

     

    ●TWSNMP(ネットワークの監視 インストール先:Windows)

    TWSNMPの概要は以下のページに記載しました。

     

    ●MRTG(トラフィック量やサーバ監視)

    MRTGの設定については以下のページに記載しました。
    MRTG(トラフィック量閲覧ソフト)の設定方法

     

    ●Siege(WEBの負荷計測)

     

    ●Apache Bench(WEBの負荷計測)

     

    などかと思います。