Linuxサーバーのセキュリティを学ぼう：基礎から理解するLinuxサーバー［Cent OS 7.0編］（9）（1/3 ページ）

本連載は、Linuxサーバーに初めて触れる人、基本から学習したい人に向けて、「CentOS 7」をベースにLinuxサーバーの基礎を解説していきます。今回は、Linuxサーバーのセキュリティについて学びましょう。

[中島能和，著]

連載目次

書籍の中から有用な技術情報をピックアップして紹介する本シリーズ。今回は、秀和システム発行の書籍『たった2日でわかる Linuxサーバー Cent OS 7.0対応（2015年2月6日発行）』からの抜粋です。

ご注意：本稿は、著者及び出版社の許可を得て、そのまま転載したものです。このため用字用語の統一ルールなどは＠ITのそれとは一致しません。あらかじめご了承ください。

※編集部注：前回記事「Sambaでファイルサーバーを構築しよう」はこちら

サーバーのセキュリティとは

サーバーにはどんな危険があるのか

　Linuxサーバーをインターネット上で運用していると、さまざまな危険に遭遇します。少し脅すようですが、インターネットというのは銃弾が飛び交っている戦場のようなものです。何も知らずにノコノコ出ていくと狙い撃ちされて（もしくは流れ弾に当たって）大怪我をしてしまいます。インターネットにはどんな危険があるのかを知ることが、危険を避ける第一歩です。

　攻撃手法は多岐にわたりますが、大きく分けると以下の2つに分類できます。

・不正侵入

　インターネット上には、スキあらばサーバーに不正侵入しようとする輩が大勢います。不正侵入が成功すれば、サーバーはいいように操られてしまいます。大切なデータが漏洩したり破壊されたりすることはもちろん、何らかの攻撃の足場（踏み台）として利用されてしまうかもしれません。

　不正侵入の方法にはいくつかあります。サーバーに登録されているユーザーのパスワードを不正に入手したり（なりすまし）、ソフトウェアの欠陥（脆弱性）を利用して強引にサーバー上で動いているプログラムの権限を奪う、などです。

　前者に対しては、パスワード管理を徹底して弱いパスワードを使わせないようにすることや、パスワードを使ってログイン可能なユーザーを制限すること、などが対策となります。

　後者については、脆弱性が発見されたらすかさずシステムのアップデートを行うことが必要です。

・DoS攻撃

　大量のデータをネットワーク経由で送りつけ、サーバーの正常なサービスを妨害することをDoS（Denial of Service）攻撃といいます。DoS攻撃を大規模化したものがDDoS攻撃で、数千〜数万台のコンピューター^★からいっせいにターゲットに向けて接続が行われます。一つ一つの接続は問題がなくても、一時の膨大な接続はサーバーの処理能力をあふれさせ、正当な利用者がサーバーを利用できなくなってしまいます。

参考情報

攻撃に使われるコンピューターは、セキュリティ管理の甘さからコントロールを乗っ取られたパソコンやサーバーです。

　DoS攻撃への対処としては、一定時間に大量の接続が試みられたら接続を遮断するよう設定することです^★。

参考情報

Linuxではファイアウォール等でそのような設定が可能です。

COLUMN　設定ミス

　意外に思われるかもしれませんが、サーバーの設定ミスがセキュリティ上の欠陥（セキュリティホール）を生み出してしまっていることは少なくありません。不正侵入やDoS攻撃が泥棒や強盗だとすると、設定ミスはドアの閉め忘れ、鍵のかけ忘れのようなものです。

　Linuxサーバーは、設定の自由度が高いものがたくさんあります。よく知らずに設定をしてしまうと、まったく予期しない危険を生み出してしまう可能性があります。例えば、Apacheの設定をミスして、BASIC認証のパスワードファイルが誰でも見られる状態になっていたとしたらどうでしょうか。パスワードは暗号化されているとはいえ、時間をかければある程度は解析できます。

　設定ミスを100％なくすことはできないかもしれませんが、生半可な理解のまま、インターネット上で見つけたサーバー設定をコピペしたりしていると、実は穴だらけの状態になっているかもしれません。サーバーの設定を変更する場合は、変更箇所について十分に理解した上で行っていきたいものです。

　とはいっても、あまりに神経質になりすぎると、サーバー構築の実践ができなくなってしまいます。慎重さを忘れないだけで、ずいぶん多くの危険を避けることができます。