さて、先日のハードウェア問題が無事に復旧して48時間が経過し、その後も微細な障害は感知されていません。おかげさまで、(土)のセガレsたちの保育園の運動会には無事に家族で行くことができ、愉しむことが出来ました。暑かったですけどね。雨が降らなくてよかった。
 
pic key secureところが、やはりサーバー管理をする者に特有(なのか?)な、コネクションやセキュリティーにパラノイア的な性向があるからでしょうか、全てが上手く行っても何か気になる。で、色々とツールを使ってテストしてみて、はまる。そんなことを(日)はしていました。今回は、サーバーセキュリティーに必須であるFirewallについて書いてみましょう。
 
新しいハードウェア換装後の、回線のコネクション速度を測定するのに使っていたのは、「just-ping」というフリーのネットツール。これ(http://just-ping.com)はとても優れたもので、世界に分散して設置されている50箇所のサーバーからpingコマンドを打って、パケットの状態やTTLを把握できます。新米サーバー管理者がよくやるように、自分のPCからだけpingを打っても不完全なので、これは便利。ぜひお使いを!
 
すると、弊社サーバーの結果が「packet loss(80%)」などとなったのです。何度やっても。IPアドレスで打ってもそうなので、ドメイン周りのDNSうんぬんではなく、まじでサーバー自体の問題です。んん?ピカピカなのに何故?おかしい。サーバー設定に不備かあるのか?
 
すぐに、ハードウェア換装などで世話になっているデータセンターのネットワーク技術者とやりとりをして(お疲れ様です)、結局、弊社サーバーを守っているFirewallサーバーが、ちょっと「堅すぎ」ており、パケットをわざといくつか落としていたことに気付きました。それは知らんかった。もちろん、通常のサーバー接続は無問題で、速度も変わらないのですけどね。ただ、pingの結果が「packet loss」となります。パラノイアとしては気になるのです。
 
そして、前回のcPanelアップデートのときに、firewallとして、従来の備え付けのものから、CSF(ConfigServer Security & Firewall)というオープンウェア(v5.61)を導入していたことを知りました。これはまだパラノイア的に触っていなかったので、早速はまります。
 
このCSFは非常に優秀なセキュリティサーバーで、特に、cPanel-WHMを用いての仮想サーバー運営の場合は、あの、GUI上で設定できる膨大な設定項目の中に、甘いところや見落としがないかを固めて示してくれるので、勉強にもなります。約150箇所ぐらいの設定チェックポイントをスキャンしてくれます。
 
その結果、自分では「削りすぎてんのちゃうか、なんぼ不要な(サーバー)サービス言うてもここまで!」なんて自負していたのよりさらにいくつかのサービスを、「不要なので、コンマ数%のセキュリティアップのためにも削れ」と有り難いアドバイス。かしこまりました、CSFさま。
 
他にも、FTPサービスへloginしたときのバナー(サーバー側の自己紹介)も、「不要な情報を他人に与えるな」と手厳しい。SSHのポートも「いつも22にするな...しょっちゅう動かせ」、DNSサーバーも「動かせ」と、私より遥かにパラノイア。いくつかの指摘は、個人的にサーバー管理の際に邪魔になるものだったし特にセキュリティのブリーチに繋がらないので、そこはスルー。が、基本的には、ほぼ全てアドバイス通りにサーバーの堅牢化を行って、そして日が暮れたのでした。
 
ブログトップへ

 blog update calendar

June 2019
MoTuWeThFrSaSu
272829303112
3456789
10111213141516
17181920212223
24252627282930