7サーバー保護対策

前回、 サーバーを選択する方法と、サーバーを自分の手でオフィスにインストールする方法について説明しました 。



次のステップ-アプリケーション、Webサービス、およびデータベースを操作するITインフラストラクチャを確立する-を実行します。 これは簡単な作業ではありませんが、適切な保護がなければ、インフラストラクチャ全体が危険にさらされます。



今回は、サーバーの使用を開始する前にとるべき基本的なセキュリティ対策について説明します。

SSHキー

この技術は、パスワード認証の代替として認証に使用される暗号キーのペアに基づいています。 ログインシステムは、認証前に作成された秘密鍵と公開鍵を使用します。 秘密キーは信頼できるユーザーによって秘密にされますが、公開キーは接続する必要がある任意のSHHサーバーから配布できます。











SSHキーによる認証を構成するには、ユーザーの公開キーをサーバー上の特別なディレクトリに配置する必要があります。 ユーザーがサーバーに接続すると、SSHに接続要求が表示されます。 次に、公開キーを使用して、コールを作成および送信します。 呼び出し-サーバーにアクセスするために適切な応答を必要とする暗号化されたメッセージ。 秘密鍵の所有者のみがメッセージに正しく返信できます。 つまり、彼だけがチャレンジを受け入れ、適切な応答を作成できます。 公開鍵はメッセージの暗号化に使用されますが、同じメッセージを復号化することはできません。



コールとアンサーはユーザーに気付かれずに通過します。 通常は〜/ .ssh /に暗号化された形式で保存されている秘密キーがある限り、SSHクライアントはサーバーに正しい応答を送信できます。



SSHキーはどのようにセキュリティを向上させますか？



SSHでは、あらゆる種類の認証が完全に暗号化されます。 ただし、パスワードベースの認証が有効になっている場合、攻撃者はサーバーデータに到達できます。 最新のコンピューティングパワーの助けを借りて、ハッキングの試みを自動化し、正しいパスワードが見つかるまで組み合わせて組み合わせて入力することにより、サーバーにアクセスできます。



SSHキーで認証を設定することにより、パスワードを忘れることができます。 キーはパスワードよりもはるかに多くのデータビットを持っているため、クラッカーが取得しなければならない組み合わせの数が非常に多くなります。 多くのSSHキーアルゴリズムは、一致するのに時間がかかりすぎるという理由だけで、現代のコンピューティングテクノロジーでは解読できないと考えられています。



SSHの実装はどれくらい難しいですか？



SSHキーの設定は非常に簡単です。 多くの場合、LinuxおよびUnixサーバー環境にリモートでログインする方法として使用されます。 コンピューターでキーペアが生成されたら、数分で公開キーをサーバーに転送できます。



キーを設定するための基本的な手順は次のとおりです。



1.コンピューターでキーペアを生成するには、次のコマンドを入力する必要があります。

ssh-keygen -t rsa
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

2.キー生成コマンドを入力したら、たとえば、ファイルの保存場所や選択するキーフレーズなど、いくつかの質問に答える必要があります。 一般的に、結果は次のようになります。

 ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/home/demo/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/demo/.ssh/id_rsa. Your public key has been saved in /home/demo/.ssh/id_rsa.pub. The key fingerprint is: 4a:dd:0a:c6:35:4e:3f:ed:27:38:8c:74:44:4d:93:67 demo@a The key's randomart image is: +--[ RSA 2048]----+ | .oo. | | . oE | | + . o | | . = = . | | = S = . | | o + = + | | . o + o . | | . o | | | +----------------------------+
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

3.鍵を入手したら、使用する仮想サーバーに公開鍵を配置します。 これに類似した何かを得ます：

 The authenticity of host '12.34.56.78 (12.34.56.78)' can't be established. RSA key fingerprint is b1:2d:33:67:ce:35:4d:5f:f3:a8:cd:c0:c4:48:86:12. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '12.34.56.78' (RSA) to the list of known hosts. user@12.34.56.78's password: Now try logging into the machine, with "ssh 'user@12.34.56.78'", and check in: ~/.ssh/authorized_keys
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

サーバーでまだ認証パスワードが必要だと思う場合は、パスワードの試行回数を制限するFail2banなどのソリューションをご覧ください。

ファイアウォール

ファイアウォールは、ネットワークトラフィックをフィルタリングし、ネットワークアクセスを制御するソフトウェアまたはファームウェアです。 これは、例外を除き、開いている各ポートへのアクセスをブロックまたは制限することを意味します。











一般的なサーバーでは、多くのファイアウォールコンポーネントがデフォルトで起動されます。 それらはグループに分けることができます：



-インターネット上で誰でも接続できるオープンサービスは、多くの場合匿名です。 良い例は、サイトへのアクセスを許可するWebサーバーです。



-特定の場所または許可されたユーザーのみが利用できるプライベートサービス。 例は、サイトまたはデータベースのコントロールパネルです。



-外部ソースへのアクセスなしで、サーバー自体の内部で利用可能な内部サービス。 たとえば、ローカル接続のみを受け入れるデータベース。



ファイアウォールを使用すると、上記のカテゴリに従ってソフトウェアとデータへのアクセスが制限されます。 クローズドサービスはさまざまな方法で構成でき、セキュリティを構築する柔軟性を提供します。 未使用のポートについては、ほとんどの構成でブロッキングを構成できます。



ファイアウォールはどのようにセキュリティを高めますか？



ファイアウォールは、サーバー構成の不可欠な部分です。 ソフトウェアに内部セキュリティ機能がある場合でも、ファイアウォールは追加のセキュリティ層を提供します。



慎重に構成されたファイアウォールは、すべてへのアクセスをブロックしますが、あなた自身は例外をスローしません。 ファイアウォールによって攻撃される脆弱なコンポーネントは、サーバーの攻撃対象領域を減らします。



ファイアウォールを実装するのはどれくらい難しいですか？



LAMPサーバーでは多くのファイアウォールが利用可能です。 一般に、ファイアウォールのインストールは数分で完了し、2つのケースで必要になります。サーバーの初期セットアップ中と、既に実行中のサーバーの特定のサービスを変更する場合です。



この記事では特定のファイアウォールを推奨しません。これは別の議論のトピックです。

VPNおよびプライベートネットワーク

VPN（仮想プライベートネットワーク）は、リモートコンピューターと現在の接続の間に安全な接続を作成する方法です。 セキュリティで保護されたローカルエリアネットワークを使用しているような方法で、サーバーでの作業を構成できます。











VPNはどのようにセキュリティを向上させますか？



プライベートネットワークとパブリックネットワークのどちらかを選択する場合は、常に最初のオプションをお勧めします。 同時に、データセンターのユーザーは1つのネットワークで接続されていることを覚えておく必要があります。サーバー間の安全な通信のために追加の対策を講じることで、リスクを最大限に排除する必要があります。



VPNを使用することは、基本的に、サーバーだけが見ることができるプライベートネットワークを作成する方法です。 通信は完全にプライベートで安全です。 さらに、VPNを個々のアプリケーションとサービス用に構成して、それらのトラフィックが仮想インターフェイスを通過するようにすることができます。 したがって、クライアント側のみにパブリックアクセスを許可し、VPNからサーバーの作業の内部部分を隠すことにより、社内のプロセスを保護することができます。



VPNの実装はどれくらい難しいですか？



サービスとしてのデータセンターのプライベートネットワーク-それは簡単です。 複雑さは、サーバー、そのインターフェイス、ファイアウォール、および使用するアプリケーションのパラメーターによってのみ制限されます。 データセンターは、あなただけではなく、複数のサーバーを接続する大規模なプライベートネットワークを使用することに注意してください。



VPNに関しては、初期セットアップはもう少し複雑ですが、ほとんどの場合、セキュリティの向上は投資の価値があります。 各VPNサーバーは、安全な接続に必要な共有データとセキュリティ構成を使用してインストールおよび構成する必要があります。 VPNを開始したら、VPNトンネルを使用するようにソフトウェアを構成する必要があります。

PKIおよびSSL / TLS暗号化

公開キー基盤（PKI）-個人を識別し、送信データを暗号化するための証明書を作成、管理、検証するように設計されたシステムのセット。 認証後、暗号化された通信にも使用できます。











SSLはどのようにセキュリティを強化しますか？



サーバー用の証明書と証明書管理センターを作成すると、サーバーインフラストラクチャ内の全員がトラフィックを暗号化し、他のユーザーのIDチェックを使用できます。 PKIは、攻撃者がインフラストラクチャ内のサーバーの動作をシミュレートしてトラフィックを傍受したり、メッセージを偽装したりする際に、中間者攻撃を防ぐのに役立ちます。



各サーバーは、すべての参加者が公開鍵と秘密鍵のペアを作成する認証局を通じて認証されるように構成できます。 CAは、相互の信頼度は低いがCAの信頼度が高いすべての参加者に公開鍵を配布できます。 公開鍵がその所有者に属していることを確認できるのは、後者のみです。



TLS / SSL暗号化をサポートするアプリケーションとプロトコルを使用する場合、これはVPNコスト（SSLを使用することが多い）を削減する方法です。



SSLの実装はどのくらい難しいですか？



証明機関とその他のインフラストラクチャのセットアップには、多くの初期努力が必要です。 さらに、証明書管理は追加の管理負担です。必要に応じて、新しい証明書を作成し、署名し、失効させる必要があります。



多くのユーザーにとって、本格的な公開キーインフラストラクチャの導入は、インフラストラクチャが大幅に増加した場合にのみ意味があります。 VPNを介した接続は、企業がPKIおよび追加の管理投資が不可欠となるポイントに達するまで、サーバー保護の優れた手段となります。

監査サービス

これまで、サーバーのセキュリティを向上させるテクノロジーについて説明してきました。 ただし、セキュリティのほとんどはシステムの分析にあります。 利用可能な攻撃対象領域と、ブロックする必要のあるシステムコンポーネントを理解すると、最高の防御結果が得られます。



監査は、サーバーインフラストラクチャで実行されているサービスを示すプロセスです。 多くの場合、オペレーティングシステムは、既定で起動時に特定のコンポーネントを読み込んで実行するように構成されています。



監査は、システムが使用するポート、受け入れられるプロトコルを分析するのに役立ちます。 この情報は、ファイアウォールの構成に役立つ場合があります。



監査はセキュリティをどのように向上させますか？



サーバーは、内部目的および外部データの処理のために多くのプロセスを実行します。 各プロセスは、サーバーに対する攻撃の潜在的な脅威です。



インフラストラクチャの仕組みを理解したら、分析を開始します。 各プロセスにはいくつかのテスト問題があります。



-許可なくサービスを開始する必要がありますか？

-インターフェースでサービスが起動されていますか？ 1つのIPに関連付ける必要がありますか？

-このプロセスを通過するトラフィックを許可する場合、ファイアウォールは正しく構成されていますか？

-ファイアウォールは特定のプロセスからの不要なトラフィックを通過させますか？

-各サービスに脆弱性がある場合にセキュリティ通知を受信する方法はありますか？



このタイプの監査は、新しいサーバーをセットアップするための必須のプラクティスです。



監査の実施はどれくらい難しいですか？



基本的な監査は非常に簡単です。 netstatコマンドを使用して、各インターフェイスでリッスンしているサービスを確認できます。 プログラム名、プロセスID（PID）、TCPおよびUDPトラフィックをリッスンするためのアドレスを示す簡単な例：

 sudo netstat -plunt
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次のようなものが得られます。

 Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 887/sshd tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 919/nginx tcp6 0 0 :::22 :::* LISTEN 887/sshd tcp6 0 0 :::80 :::* LISTEN 919/nginx
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

プロト、ローカルアドレス、およびPID /プログラム名の列に注意してください。 0.0.0.0がそこにリストされている場合、サービスはすべてのインターフェースで接続を受け入れます。

ファイル監査および侵入検知システム

ファイル監査は、現在のシステムの状態を、システムが良好な状態にあるときにファイルレコードおよびシステムの特性と比較するプロセスです。 このメソッドは、許可が必要な変更を検出するために使用されます。











侵入検知システム（IDS）は、システムまたはネットワークの不正行為を監視するソフトウェアです。 多くのホスティングIDSは、システムの変更をチェックする方法としてファイル監査を使用します。



ファイル監査はセキュリティをどのように改善しますか？



上記の例のサーバー保守監査のように、これはセキュリティを強化する非常に便利な方法です。 ネットワーク管理者は定期的にファイルを監査できますが、IDSを使用して自動的に監査することもできます。



ファイル監査は、ユーザーやプロセスによってファイルシステムが変更されないようにするための数少ない方法の1つです。 多くの理由から、クラッカーはサーバーを長時間使用するために気付かれずに行きたがります。 ハッキングされたバージョンのファイルを置き換えることができます。 ファイル監査を実施すると、どのファイルが変更されたかがわかります。これにより、サーバー環境の整合性を確認できます。



ファイル監査を実装するのはどれくらい難しいですか？



IDSの実装またはファイルの検証は困難な場合があります。 初期セットアップには、サーバーで行ったすべての非標準の変更と除外するすべてのパスの説明が含まれています。



監査により、日々のサーバー管理に時間がかかります。 これにより、更新を開始する前とインストールした後、ソフトウェアバージョンの変更をキャッチするためにシステムを再確認する必要があるため、更新プロセスが複雑になります。 さらに、攻撃者が監査ドキュメントを変更できないように、十分に保護された場所にレポートをアップロードする必要があります。



一方では、監査は管理上の負担であり、他方では、変更からデータを保護するための信頼できる方法です。

分離ランタイム

専用のスペースでシステムコンポーネントを起動する方法。











サンドボックスを使用すると、個別のアプリケーションコンポーネントを個別のサーバーに分離できます。 分離レベルは、アプリケーションのシステム要件とインフラストラクチャ内のアプリケーションの場所に大きく依存します。



分離されたランタイムはどのようにセキュリティを改善しますか？



プロセスを個別のランタイムに分割することにより、潜在的な脅威を迅速に隔離する能力が向上します。 船体の隙間を保持して船がdrれるのを防ぐ船の区画のように、サーバーインフラストラクチャの分離されたコンポーネントは、システムの他の部分への攻撃者のアクセスを遮断するのに役立ちます。



隔離された環境を実装するのはどれくらい難しいですか？



選択するシェルのタイプによっては、断熱は簡単な手順になる場合があります。 コンポーネントをコンテナに梱包することで、すぐに優れた断熱性能を実現できます。



各部分にchroot環境を設定すると、ある程度の分離が得られますが、完全ではありません。 最適なオプションは、コンポーネントを専用のマシンに転送することです。これははるかに簡単ですが、コストがかかります。



結論として



上記の技術と対策は、サーバーを保護するために行うことができる機能強化のほんの一部です。 このような保護方法の導入は非常に重要であり、待機時間が長くなるほどセキュリティ機能の効果が低下するため、早ければ早いほど良いことに注意することが重要です。



この記事では、理論的な観点からサーバーのセキュリティ問題を検討します。 開業医からの追加を楽しみにしています。 便利なマニュアルを一緒に作りましょう！



練習でどのような保護手段を使用していますか、またなぜそれらを効果的であると考えるのですか？