著者:takahashi
自宅サーバーを始めるときに最低限気を付けたい3つのこと
最近、自分の周りで、自宅サーバーを始める方が増えてきました。
自分も自宅サーバーを稼働させているのですが、今回はサーバーについて今まで勉強してきた中で、始めるにあたって最低限気を付けたいことをまとめてみました。
-
OSやファームウェアのアップデートは可能な限りこまめに行う
LinuxやWindows、サーバーを構築するにあたって、必ず何かしらのOSをセットアップするかと思います。
このOS、人間が作っているためどうしても何かしらのバグが出てくる可能性があります。
このバグですが、場合によっては権限のない利用者に対して管理者の許可なくサーバーを操作する手段を与えてしまう”脆弱性”になる可能性があります。
大抵の場合、これらの脆弱性は、開発元が定期的に修正したものを配信しており、それを受信・適用する”アップデート”機能が必ず備わっていると思います。
普段使っている、使うときにしか電源を入れない”クライアントPC”は通常直接インターネット上に公開されていない上に、ネットワーク上にその存在があるかどうかも調べなければ外部からは分からないので、アップデートをさぼっていてもすぐにやられる可能性はまだ低いですが、サーバーの場合はインターネットからいつでもアクセスできる状態である上、その存在もネット上に一般公開されているため、だれでも簡単に接続できます。したがって、脆弱性が見つかったら直ちにパッチをあてないと侵入されてしまう危険性が出てくるのです。
ただ、実際のところ、パッチを適用する際にOSの再起動が必要になることも少なくありません。
実際に運用する際は、アップデートの有無を定期的に確認するようにし、もし再起動の必要のない更新がある場合はすぐに適用、もし再起動が必要なものについてはあらかじめメンテナンス日時を決めておき、利用者に通知したうえで適用するようにするといいと思います。
OS以外にも、使用しているネットワーク機器(ルーターなど)や、仮想環境で使っている場合はホストマシンのOSやハイパーバイザーのアップデートなども併せて確認しておきましょう。
-
メールの不正中継対策を行う
自宅のサーバーでメールサーバー(SMTP)を建てる場合、特に注意しないといけないのはメールの不正中継対策です。
例えば、自分のサーバーでSMTPサービス(postfixやsendmailなど)を立ち上げ、外部からアクセスできるような状態にしている場合、SMTPサーバーから認証なしにメールを送信できるようにしていると非常に危険です。
スパムメール業者などは、使用しているメールサーバーから大量に迷惑メールを送信している関係上、各メールサービスプロバイダからブロックされやすい為、常にブロックされていない新たなメールサーバーを探している可能性があります。
もし不正中継対策をしていないSMTPサーバーを公開してしまうと、こういった業者に、迷惑メールやウイルスメールなどの送信に使われてしまう可能性があります。
もし上記のようになってしまった場合、たとえ自分が送ったわけではないことが証明できたとしても、社会的信用を失ったり、場合によってはその責任を求められる可能性が出てきます。
パソコンが「踏み台にされる」という表現を目にすることがあります。踏み台にされると何が起きるのか、またどんな対策をすればいいのか教えてください。 – マルウェア情報局
対策として、自分のSMTPサーバーを認証なく利用できないように設定しておくと、不正中継を防ぐことができます。
【図解】初心者にも分かるメールの仕組み(SMTP、POP、IMAPの違い) – SEの道標
また、自分のサーバーが不正中継されない設定になっているかテストができるサイトがあります。
-
火事に注意
こちらは技術的な話からは離れるのですが、自宅で24時間PCを動かしていると、サーバーマシンが壊れた際に火事になるリスクがあるようです。
ノートPCをサーバーにして大惨事になった話 – VPS比較メモ
危険なのはノートPC、UPSなどのバッテリーを積んだ機器を使って稼働させている場合。
特にノートPCは持ち運びできるようにするために筐体を小さくすることに重点を置いて設計されており、長時間動作させることはあまり想定されていないようです。
そのため、サーバーのような24時間稼働させるような使い方をすると熱がこもり、バッテリーの爆発や中にたまったほこりなどに引火して火事になってしまうことがあるようです。
一方、デスクトップPCの方も火事になることはあまりないようですが、電源周りがショートして中で火花が飛ぶ、といったことが起こる可能性はあるようです。
自作PCからの出火が原因で火事になる確立はどのくらいでしょうか?- Yahoo!知恵袋
こちらもやはり、定期的なメンテナンスを設けて、ほこりの除去などの定期的な手入れをした方がよさそうです。
また、監視ツールなどを使ってハードウェアの状態を常に監視しておくことも有効かもしれません。
-
最後に
自宅サーバーの稼働には確かにリスクがあります。
それ故に「VPSなどを使えば事足りるし、安くて安全だし、自宅にサーバーを置くべきではない」という論調も目立ちます。
しかし、実際のところは、ガッツリサーバーを利用したい場合はVPSはかなり高くつきます(例えば、1TBのストレージを使おうと思ったら、自鯖ならHDDを追加すれば済みますが、VPSやクラウドの場合は月額でだいたい1万弱かかります)し、ハード構成やネットワークも含めて、一から自分で設計・構築ができるのはかなり魅力だと思います。
また、データはすべて自分が管理しているマシンの中に納まっているので、業者の不手際による情報流出や情報の不正利用のリスクを防ぐことができます。
ちなみに、有名なITニュースサイト Gigazine は、自分たちの発信する情報に対して圧力がかかっても公開が停止させられることがないように、という理由で、敢えてオンプレミスで運用している、という例もあります。
海外にディザスタリカバリを複数箇所設置 – Gigazine
自宅サーバーとクラウド(VPS)、どちらが優れているのかはそのままオンプレミスかクラウドか、の議論に発展していくわけですが、個人的にはこの議論はナンセンスだと思っています。
クラウドもオンプレミスも一長一短があり、どの形態が適しているのかは自分がどういったサービスを建てたいのかで決まってくるからです。そしてその選択肢として、クラウド(VPS)も自宅サーバー(オンプレミス)いずれもなり得えるということです。
また、どちらを選んだとしても、ネット上に自分の環境を公開することはリスクを伴います。そのリスクに対してどう対応していくか、考えていくのも勉強の一つだと思います。
普段何気なく利用しているWebサイトやWebサービスですが、その裏側がどうなっているのかを知ることはとても面白いです。
自分が構築したインフラやコンテンツが、インターネットを通じて全世界の人に見てもらえることの楽しさを、ぜひ多くの方が体験出来たら素敵だな、と思っています。
著者:ym
DoH にしてみる
DoH (DNS over HTTP) という実装。Google だけが対応していたけど、こないだの 1.1.1.1 で Cloudflare も DoH に対応してきた様なので、少し試して見ることにします。
cloudfrare は proxy-dns というバイナリを配布していて、それを使う事で 127.0.0.1:53 で待ち受けるキャッシュとして利用できる様です。
Running a DNS over HTTPS Client – Cloudflare Resolver
と思ったら既にやっている人がいたので、参考に。
Cloudflareが1.1.1.1で超高性能DNS始めたし、いっちょ俺のパソコンもDNS over HTTPSしてみる – Qiita
Google が 8.8.8.8 の DNS over HTTP 出したときに、これどうやって使うんだ。。って思っていましたが、確かにこれが現実的な実装だろうね。簡単に利用できて納得。
なんでも HTTP 越えの時代ですね。
著者:takahashi
ApacheのRewriteでメソッドの種類を条件にした時の書き方
久々にApacheのmod_rewriteをこねこねしたので、その備忘録。
Apacheのmod_rewriteはかなり柔軟な指定をすることができ、それ故に”黒魔術”と呼ばれることもあります。
そんなmod_rewriteですが、プログラムを介することなくGET/POSTなどのメソッドに応じてリダイレクトさせることが可能です。
書き方としては
RewriteCond %{REQUEST_METHOD} ^(メソッド名)$
こんな感じです。
例えば、POSTの時だけリダイレクトしたいのであれば
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(POST)$
RewriteRule ^(.*)$ /post/only/path%{REQUEST_URI} [R=301,L]
のように書けます。
Rewriteは非常にたくさんのオプションを指定でき、柔軟に振り先を分けることができます。
Apacheのmod_rewriteモジュールの使い方を徹底的に解説 – OXY NOTES
ただし、誤った設定をしてしまうと、リダイレクトループに陥ってしまい、ページが表示できなくなってしまうこともよくあります。
すでに動いているサイトなどでは十分に注意して使用してくださいね。
著者:ym
ワイドFM SBS 94.7Mhz
最近になって車の FM ラジオで 94.7 MHz でも綺麗な音声の放送局があることを発見しました。調べてみると、ワイド FM と言われる周波数帯での放送で、浜松市では SBS 放送が対応してるんだそうです。
SBS FM は昨年12月にワイドFM対応して開始したようです。
一応、プリセットへ 94.7Mhz 登録しておきましたよ。
ワイドFMの特徴は。
- 音がクリア
- ビルやマンションでも受信しやすい
- 雑音が少ない
災害対策としてもFM電波はいいんだそうです。
昔コンクリートなアパートだったので、窓際でアンテナを微調整しながら、くんちゃんの「パソコンアタッククラブ」を聞いていたことがあるけど、その時代もFM電波だったら受信できたんでしょうね。
著者:takahashi
意外と分からないインターネットの仕組み…DNSのキャッシュ時間(TTL)とは
今回は、ホームページなどをWeb上に公開している方向けです。
自分のサイトを持っている方の多くは、”独自ドメイン”をもっている方が多いと思います。
インターネット上で接続先のサーバーを指定する際、本来は192.0.2.1のようなIPアドレスで指定する必要があります。
しかし、数字だけのアドレスは人間からすると非常に覚えづらいですよね。そこで出てきたのが”ドメイン”という仕組みです。
ドメインの詳しい仕組みについては、こちらのサイトにおまかせし、今回は割愛します。
ドメインとは?をわかりやすく解説します – カゴヤのサーバー研究室
このドメインなのですが、IPアドレスとドメインを紐づける”対応表”を公開しているサーバーがあり、このサーバーをDNSと呼びます。
例として、DNSの仕組みをexample.comというドメインのIPアドレスを調べるときの流れをおって説明します。
まず、ユーザーから一番近いDNS(たとえば、自分の所属する組織が管理しているDNS、プロバイダが管理するDNSなど)へ問い合わせが行われます。このDNSをリゾルバと呼びます。最初に問い合わせを受けたDNSは自身が管理するドメインとIPアドレスの対応表にexample.comが存在していないか確認をします。
もし、自身の管理する対応表にドメインが存在していない場合は、最上位のDNSへ問い合わせを行います。このDNSを”ルートDNS”と呼びます。
ルートDNSでは各TLDのついたドメインはどのDNSへ問い合わせれば情報が引き出せるか、という情報のみを持っています。例えば、example.comであれば”.com”のドメインはどこのDNSへ問い合わせればいいのかをルートDNSが教えてくれます。
次にリゾルバは.comを管理するDNSへ問い合わせを行います。ここで、”example.com”とIPアドレスを紐づけているDNSのIPアドレスを教えてくれます。リゾルバはさらにそのDNSサーバーへ問い合わせを行うことで、初めてexample.comのipアドレスを入手することができる仕組みになっています。
このexample.comのIPアドレスを持っているサーバーのことを”権威DNS”と呼びます。
権威DNSでは、具体的に下記のような情報を持っています。
・管理しているドメインのIPアドレス・ホスト名
・Aレコード(ドメインに対応するIPアドレス)
・MXレコード(ドメインに対してメールを送付された際に担当するメールサーバーのホスト名)
・TXTレコード など
これらの情報をひっくるめてレコードと呼びます。
先程のリゾルバにキャッシュ機能がある場合、これらの情報を権威DNSから取得すると、自身の対応表にこの情報をコピーし、再度自身に対して同じドメインの問い合わせが来た場合、自身の対応表の情報を直に渡すことで、問い合わせの時間を短縮しています。
この仕組みをもつDNSを”キャッシュDNS”と呼びます。
例にしているドメインは違いますが、仕組みはこんな感じです。
引用元:cman
今回ご説明するTTLとは、キャッシュDNSが権威DNSからコピーした情報の”有効期限”です。この情報は権威DNSか各レコード情報と一緒に持っています。
有効期限が過ぎた情報は、キャッシュDNS内の対応表にあったとしても無視され、再度ルートDNSへの問い合わせが行われます。
いろいろと説明してしまいましたが、簡単にまとめると
・DNSには元のデータを持つ権威DNSと、データのコピーを持つキャッシュDNSがある。
・DNSがもつIPとドメインの対応情報(レコード)にはTTLという有効期限がある。
・キャッシュDNSは権威サーバーの値をコピーし、有効期限が切れるまでキャッシュDNS内の対応表に保持する。
となっています。
逆に言うと、自分の持っているDNSの情報を書き換えても、このTTLが過ぎるまでは古い情報がキャッシュDNSに保持されている可能性があるということ。
例えば自分のサイトを別のサーバーへ移動する場合を考えた時、IPアドレスをDNSに設定しなおすことになりますが、設定変更した時間から前に指定していたTTL時間が経過するまでは、古いサーバーにもアクセスが来る可能性を考慮しなければいけません。
もし頻繁にIPアドレスが変わる可能性があれば、権威DNSのTTL時間を短くしておくのがおすすめです。
ただし、TTLを短くすると権威DNSや上位のDNSに対してかかる負荷が大きくなるので、注意が必要です。まだ、この理由でTTLの変更を禁止しているホスティング業者もあります。
DNSの仕組みは一見複雑ですが、知っておくと自分のサイトの運営の際、役に立つこともあると思います。
頭の片隅にも入れていただければ幸いです。
著者:takahashi
長野 諏訪市のフリーWi-Fi”すわなび”
先日、長野に旅行に行ってきました。
一泊二日の旅行だったのですが、諏訪湖周辺をめぐっていて気づいたことが。
引用元:諏訪市
いたるところの施設や、諏訪湖周辺で、”すわなびSPOT”というフリーWi-Fiが飛んでいました。
このフリーWi-Fiは誰でも無料で利用ができる点に加え、接続直後の初回の画面で、諏訪市周辺の観光スポットを案内するページ、”諏訪をあいく“が表示されるとのこと。
引用元:諏訪市
また、諏訪市は観光案内アプリも公開しています。
と、観光案内にかなり力が入っています。
観光地の多い諏訪市ならではの工夫ですね。
自分も今回初めて諏訪市へ行ったのですが、”景色がきれいな場所がある”という情報しか知らなくて、それ以外の見どころがわかりやすくまとめられている場所があるのはとても助かりました。
諏訪市、本当にいいところなので是非行ってみてください!
ちなみに、宣伝になりますが、浜松市も”HAMAMATSU Free Wi-Fi”という、フリーWi-Fiを市内に多数展開しています。
HAMAMATSU FREE Wi-Fi
こちらも登録不要でどなたでも無料で使えますので、浜松市にいらっしゃった方、浜松市にお住まいの方は是非じゃんじゃん使ってみてください!
著者:takahashi
Torの仕組み
よくハッカーが出てくる映画で、「クソッ、複数の海外サーバーを経由されていてアクセス元が特定できない!!!」なんて展開がよく出てくるかと思います。
実際のところ、現実でそんなことが可能なのかと思ってしまいますが、実際に複数のノードを経由することで自分のアクセス元情報を隠して相手サーバーに接続することができる仕組みが存在します。
しかも、それを利用するのに映画に出てくるハッカーのような特別な知識は必要ありません。誰でも利用できます。
この仕組みは”Tor”とよばれています。
名前を聞いたことがある方は多いのではないでしょうか。
Torの仕組みはちょっと面白いです。
まず、Torを使ったネットワークでは、デフォルトで必ず3つのノードを経由するようになっています。
匿名通信「Tor」はどういう仕組みなのか分かりやすく解説 – Gigazine
◆リレーのタイプ
デフォルトではTorは3つのリレーを経由することになっています。この3つのリレーはそれぞれ特定の役割を担っています。・ガードリレー(Guard Relay)
Torネットワークの入り口部分にあるリレーが「エントリー/ガード リレー」です。安定して高帯域を持つと示されたリレーがガードリレーに選ばれます。・中間リレー(Middle Relay)
「中間リレー」はガードリレーから出口リレーへトラフィックを中継するリレーです。このリレーを配置することで、ガードリレーと出口リレーがお互いの情報を得られないようにしています。・出口リレー(Exit Relay)
「出口リレー」はTorネットワークの終端にあるもので、その名の通り通信の出口となる部分です。出口リレーが最終的な目的地にトラフィックを送ることになります。以下の図はTorネットワークでの経路を簡単に示したもの。ユーザー(Client)はTorネットワークの入り口となるガードリレーから中間リレーを経由し出口リレーに到着し、最終的な目的地となるウェブサイトなどに到着するというわけ。もちろんこの経路は複数あるリレーの組合わせなので、一定時間ごとに変更されるようになっています。
ただ、これだけではまだ完全に安全とは言えません。
各ノードに、どのIPのユーザーのデータがどこへルーティングされたかが各ノードに記録される可能性があるためです。
そこで、TorはTorネットワークへ情報を送信する前にデータを暗号化し、さらにノードを経由するごとに多重に暗号化をかけていくことで、どのネットワークからアクセスされたのかを、最終的に把握できないようにしています。
これにより、Torネットワークでは、提供される各中継ノードが信頼できなくてもセキュア性を保てる設計になっています。
Gigazineより引用
一見するとただのアンダーグランドなツールに見えてしまいますが、なぜこんな仕組みが存在しているのでしょうか。
そこには社会的な理由があります。
それは、インターネット上の自由な表現を政治的な検閲や弾圧から守る必要があるからです。
日本に住んでいるとピンとこないですが、国によっては、インターネット上での情報取得や、発言を検閲し、意図的に制限、場合によっては懲罰を行う国があります。
しかし、インターネットは本来的に自由な空間です。誰でも自分の好きな意見を発信し、好きなように表現をすることができます。
そのインターネットに対して、言論の統制を目的とした介入を行う国が、残念ながら出てきてしまいました。
自由な表現を保護するため。自由な発言しても迫害を受けないように保護するため。
Torは自由な思想が認められない国々にいる人々の人権保護に、一役買っているというわけです。
どんな技術も、使い方次第では薬にもなるし、毒にもなります。そしてそれは強力であればあるほど影響力も大きくなります。
Torが強力なのは必然でした。”権力”という、強力な圧力に勝てるだけの物が必要だったからです。
願わくば、Torのような仕組みに頼らなくてもインターネットを安心して自由に楽しめるような世の中になってほしいものですが、現状を見るとその日が来るのはまだまだ先のことなのかもしれません。
著者:ym
Adaptec RAID maxView Storage Manager でファームウェアバージョンアップ
遠隔でBIOS更新とか、ファームウェア更新というのは大変。
無事バージョンアップが完了しまいた。
FreeBSD で arcconf getconfig 1 をすると、kill -KILL も出来ないプロセスとなってしまう症状があるのでバージョンアップをしたのですが、これで解決できるとよいが。
著者:takahashi
世界中のサイバー攻撃を地図上に可視化しているサイト
サイバー攻撃という、かつては映画にしか出てこなかったようなワードが当たり前のように聞こえてくるようになってしまった昨今。
そんなサイバー攻撃の状況を、地図上にわかりやすく可視化するサービスを提供しているところがあります。
今回は、個人的に分かりやすいと思ったサイトをいつくか紹介します。
NORSEは運営元のNORSE社が世界各地に設置したハニーポット(一見脆弱性対策されていない、攻撃者が攻撃しやすいように見せかけわざと攻撃させることでその攻撃手法を解析する目的で設置されるホスト)から受け取ったデータを解析し、発信元と発信先、使用プロトコルを地図上に可視化してリアルタイムに表示しているサイトです。
プロトコルごとに色分けされており、視覚効果もビームを打った/打たれたような表現になっていて非常に分かりやすいです。
見ていると常に何かしらドンパチやっている様子がうかがえますが、まれに大量のトラフィックが見えることがあり、”あっ、集中攻撃されているな…”というのがよくわかるときもあります。
〇CYBERTHREAT REAL-TIME MAP(カスペルスキー)
有名なセキュリティソフトベンダーであるカスペルスキーが運営しているサイバー攻撃可視化サイトです。
こちらはカスペルスキー社製の各製品から報告された脅威の統計をリアルタイムで表示しているようです。
セキュリティソフトが検知する情報なので、ネットワーク経由の攻撃だけでなく、ウイルスやスパイウェア、脆弱性の検出なども表示されます。
こちらはGoogle Ideas提供の攻撃可視化サイト。
内容としてはDDoS攻撃元の発信元と発信先を可視化しています。
自分が確認した時点でも、常時攻撃のトラフィックが表示されていて、ちょっと衝撃的です。
ただ、どういった仕組みで取得されているのかがよくわからかったので、何を基準にしてDDoSと普通の通信を見分けているのかは不明です。
もしかすると、一部通常の通信も混じっているかもしれませんね。
ちなみに、UI的にはちょっと見づらいですが、日本でもNICTという団体が可視化サービスを公開しているようです。
NICTERWEB – NICT
見ていると世界中のサイバー攻撃の規模の大きさにただただ驚くばかりです。
もし自分がこれらの攻撃の対象になってしまったら…そんな最悪な事態を想定しながら、できるところから対策していきたいですね。
著者:takahashi
[あなたのVPNは大丈夫?]VPNサービス利用の注意点
最近大幅に普及してきた公衆無線LAN。
ものによってはパスワードを入れなくても接続が行える無線LANもあり非常に便利ではあるのですが、これらの無線LANは無線で送受信されるデータが暗号化されておらず、だれでも簡単に傍受可能であることは有名な話です。
最近では対策としてVPNサービスを利用して通信経路を暗号化するユーザーも多くなっているようです。
VPNとは簡単に言うと、暗号化技術を使ってインターネット上に「仮想的に自分専用の通信線を引く」ことができる技術です。
VPNを使えば、例えば遠隔地からインターネット経由で自宅のLANや会社のLANに直接接続しているのと同じ状態を実現することができます。
つまり、一度VPNのコネクションさえ確立してしまえば、たとえどんな経路を使っていたとしても自宅や職場の拠点のLANに安全に接続できる…!
…なんて思っている方が多いのではないでしょうか?
確かに、VPNを利用すれば、自分のPCからVPNサーバー(ゲートウェイ)までの通信の安全性は(暗号が解読されない限り)担保されます。
しかし、その先の経路についてはVPNの保護のはんいがいであり、第三者の目にさらされる可能性があります。
なぜなら、VPNは飽くまで遠隔地のLANに接続する機能であり、そこから目的地までのアクセスはVPNでつないだ接続先のネットワークが担当することになります。
そこにながれるデータはVPNによる暗号化はされていないので、同じ接続先のLANに接続する人や、そのLANの管理者、さらにその上位のネットワークの管理者に傍受される可能性も考えなければいけません。
アクセス先が自宅のLANや社内LANであれば、同じLANに接続するのは身内の人間のはずなので、たとえ見られたとしても問題はさほどないでしょう。
ただし、もし接続先がVPNサービス業者が提供するような、公衆VPNのようなものの場合、場合によっては同じLANに接続する別の利用者や管理者によって自分の通信がのぞき見される可能性があることを頭の片隅に置いておく必要があります。
つまり、VPNサービス提供業者が確実に信頼できるところであればいいのですが、もしあまり信頼できない、ということであれば、安全性のレベルとしては公衆無線LANに直接接続するのとさほど変わらなくなってしまう、ということになります。
Android5.0以降でVPNに接続すると、こんな警告が通知領域に表示されます。
上記のようなことがあるので、注意してくださいね。という警告です。
ただ、ここまではっきりと警告が出てしまうとちょっとびっくりしてしまいそうな人も出てきそうですね。
ちなみに、VPNサーバーは必ず業者のサービスを利用する必要はなく、ある程度の知識とVPN接続先にするネットワークに十分な帯域があれば、だれでも自分のネットワークに設置することができます。
自分の場合は、Raspberry Pi 3 にSoftEther VPNというフリーのVPNサーバーソフトをインストールして利用しています。
自分の自宅のネットワークを経由してインターネットへ接続するので、どこかのVPNを借りるよりも個人的には安心できるかなと思います。
普通のPCにもインストール可能なので、是非検討してみてはいかがでしょうか?
インターネット上ではあらゆる仕組みが動いていますが、その基本的な動作を理解していないと落とし穴にはまってしまうことも少なくありません。
ざっくりとでも仕組みを理解して、インターネットをより便利に使いこなしていきたいですね。