- ベストアンサー
サーバーのセキュリティ対策
自宅でメールサーバーを立てようとしてるんですが、みなさんはどの程度セキュリティに気を使ってるのでしょうか?現在の僕の環境では、 vinelinux3.2アップデート済み ルーターで25番ポートのみ開放 メールウイルス対策にアンチウイルスソフトClamAVを入れています 不要のサービスの停止 Rootkit Hunter、snort導入 logwatch導入してまめにログチェック メール不正中継テスト これではサーバー公開するには不十分ですか?詳しい方 ご指導お願いします
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (1)
- qaaq
- ベストアンサー率36% (146/404)
客観的にどの程度が"サーバー公開するには十分か?"は、判断できませんが、失うモノとのトレードオフだと思います。 私は、勉強を兼ねて専用の境界マシンを作っています。 境界マシンは、自作(P3:600Mhz,256M OS:FreeBSD 5系)を使っていますが、 参考になればとおもいます。 サーバAPでは、 基本的に、境界マシンではプロトコル中継だけをさせて、 Mailは内部マシンに全て転送しておりスプールは持ちません。 Webサーバも、この境界マシンでは立ち上げず、delegateで内部の専用マシンにHTTPプロトコルレベルで中継してます。 また、sshを除く主要なサーバAPは個別にchrootして隔離しています。 遠隔の操作は、ssh2だけに限定してデフォルトポート(tcp/22)から変更しています。 これは、(sshに限らず)デフォルトポートに対するスキャンが非常に多く、 Logの増大防止と、攻撃対象となる可能性を減らし、外部からの(私の)接続を許容するためです。 Logについて、 境界マシンは全logを内部のマシンに転送していて、内部マシンでログを保存/検査しています。 カーネル設定について、 (Linuxで出来るか不明ですが)FreeBSDでは、kern_securelevelを設定し、特定のフラグのついたファイルの改変を出来なくしています。 不要サービス&ファイルについて、 当然ですが、不要サービスは全て停止し、実行ファイルも削除します。 コンパイラ等のメンテナンスに不要なファイルも全て削除しています。 侵入チェックについて、 侵入チェックは良いツールが沢山あるのですが、OS標準のものを使っています。 mtree にてキャッシュ/スプール以外のMD5を取得しMailで内部に送り、 内部マシンで改変チェックの確認しています。 インターネットにムキダシ状態なので、この程度は中の下程度だと思いますが、 OS/APのバージョンアップは結構手間なので、内部のサーバに専用の予備DISKを作って、些細な変更でもDISKごと入れ換えています。 # USB-DISK起動が可能なマザーボードにしたのでだいぶ楽になりましたが。 色々な考え方/実現方法があり、環境/費用/能力/努力のバランスが必要なので参考程度に見て下さい。
お礼
回答ありがとうございます!そこまで出来たらかなりの上級者ですよね。。初心者の僕にはかなり難しいように思うのですが。でもサーバーを公開するにはセキュリティは大事ということで、少しずつ勉強していきたいと思います。どうもありがとうございました!
補足
さっそく回答ありがとうございます!メールサーバーはPostfixを使っていて、デフォルトの設定では外部からメール送信できないようになってるみたいなので、SPAMは心配ない??とは思いますが。。。BitDefenderも入れてみます。しかしサーバ作ってて思ったのですが、 Linux用のセキュリティソフトは大半が監視するだけのツール?ですかね?