VPSのセキュリティ設定ちゃんとできていますか?この記事を読んでる人のほとんどは、ホームページやブログサイトを運営している人だと思いますが、Webサイトのセキュリティ設定を行っていますか。
サーバの管理をしていれば、必ず「セキュリティ」という言葉を耳にすると思います。今回は、セキュリティ対策の中でも、Webサイトのセキュリティに必須な「WAF」の設定方法をご紹介します。
また、私が本ブログを運営するために使用している「さくらのVPS」での設定方法をご案内します。「さくらのVPS」であれば高機能で高品質なWAF(SiteGuard Server Edition)を無料で使えます。通常の価格だとライセンス料金に何万円もしますが、無料で使用できるので使うしかありません!
WordPressであれば、「SiteGuard WP Plugin」というプラグインが有名で、対策は可能ですがWordPressだけでなく、Webサイトへの攻撃全てを防ぐことができますので、ぜひ参考にしてください。セキュリティ対策をしていない方は、安全のためにも設定をおすすめします!
しばいぬ
のどかもめ
しばいぬ
目次
なんでセキュリティ対策が必要なの?
あなたのサーバはいつも攻撃されているかも。。。
Webサイトを普通に公開すれば、日本だけでなく世界中からアクセスすることができます。インターネットの世界では平和で安全なものではなく、悪いことを企んでいる人もいます。
あなたのWebサイトに不正ログインして、メールアドレスや電話番号を盗まれたり、Webページの改ざんをされて、ウィルスサイトへのリンクを書かれる可能性もあります。
「私のサイトは大丈夫!誰も見てないし」、ではなく必ずセキュリティの設定は行いましょう。Webサイトをどれだけいいものにしていても、悪い人に攻撃されれば水の泡です。そうなる前に必ず対策しましょう。
どれくらい攻撃されているのか
いろいろ調べましたが、一般的にどれくらい攻撃されている、といった情報は見つかりませんでした。(そんな統計どうやって取るのか知りたいです)
SiteGuardを設定すると、どれくらい攻撃が来たのか、分かりやすい分析レポートを出力することができます。
ぜひ、このレポートをご覧ください。実際に2020年4月1日から4月13日まで私のWebサイトに来た攻撃の件数です。
最近ブログ始めたばかりでしたが、13日で95件の攻撃が来ていました。。。(恐ろしい)
ちなみに、レポートの内容としては、攻撃の種類や件数だけでなく、どこのIPアドレスから攻撃が来たか把握できます。接続元IPアドレスは、あくまで私のWebサイトに攻撃に来ているIPなので、このIPを踏み台にしている、IPがある可能性があります。なので、通報とかはせず、アクセス拒否などのブロックで抑えましょう。
「WAF」はWebへの攻撃から守ってくれる
レポートには「OSコマンドインジェクション」「SQLインジェクション」「クロスサイトスクリプティング」などいろいろ書いてありますが、「WAF」を導入すれば、こんな怖い攻撃からも守ってくれます!セキュリティ設定をしていないあなたも、ここまで読んで設定する気持ちになっていただければ幸いです。
では、次から実際にWAFの導入をしてみましょう!!!
SiteGuard Server Edtionの設定方法
ここからは「さくらのVPS」を使用している方限定になりますが、WAF(SiteGuard Server Edition)の設定方法をご紹介します。
参考記事
設定方法は、以下のURLを参考にさせていただきました。
さくらのナレッジには、ためになる情報がいろいろ書いてあるので、ぜひ参考にしてください。
0.環境
今回の環境は、以下で行います。
サーバー:さくらのVPS
OS :CentOS7
さくらのVPSでのCentOS7の設定方法は以下のページを参考にしてください。
また、WAFの設定なので事前にApacheやNginxでWebサイトを公開している方に効果がある設定です。もし、公開をしていない方であればあんまり意味はないですが、よろしければ参考にいただければ幸いです。これから公開しようと思っている方も以下のサイトからWordPressサイトなど構築してみてください!!分かりやすく書いてあります。
参考 ネコでもわかる!さくらのVPS講座 〜第一回:VPSてなんだろう?〜さくらのナレッジ1.前準備として必要なもの
ご利用ガイドPDFを開くためのパスワードを控える
さくらのVPSのコントロールパネルの左メニューSiteGuard利用から、ご利用ガイドPDFを確認するためのユーザ名とパスワードを控えてください。
SiteGuardのマニュアルやライセンスを使用するために後程必要な情報なので、最初に控えておきましょう。
マニュアルを閲覧する場合、というボタンを押すと以下のように表示されます。
右下のサポート情報を開く、というボタンからさくらのサポートサイトに遷移しますので、こちらからマニュアルを開いてインストール方法を確認しましょう。
OpenJDK 8をインストールする
# yum install java-1.8.0-openjdk
firewalldでTCP/9443のポートを開放する
# firewall-cmd --add-port=9443/tcp --zone=public --permanent
# firewall-cmd --reload
2.SiteGuard Server Editionのインストール
準備ができたらさっそくWAF本体のSiteGuard Server Editionのダウンロードとインストールをしましょう。
インストールのURLは、マニュアルに記載されている最新のものを使用してください。
# wget http://(インストールファイルの場所)
ダウンロードが完了したら、以下を実行しましょう。
# rpm -Uvh (ダウンロードしたrpmファイル)
# cd /opt/jp-secure/siteguardlite
# ./setup.sh
3.管理画面へのアクセスとライセンス情報の登録
siteguardの設定が完了したときに管理画面へのURLとユーザIDとパスワードが表示されますので、その情報からログインしましょう。
ログインすると最初に自分でユーザIDとパスワードを設定します。
現在のパスワードは、先ほどログインするときに使用したものですが、ユーザIDと新しいパスワードは、ご自身で好きなものを設定してください。
次に使用するために必要なライセンス情報を反映させるシリアルキーを入力してください。
サポートIDとパスワードについても2で紹介したマニュアルに記載されています。
以上で初期設定は完了なのですが、WAFを利用していくための攻撃検知と通知設定を行いましょう。
基本設定のウェブ攻撃検査を有効にすることで、攻撃が来た時に弾くことができます。
管理者への通知設定から、攻撃があった際の連絡について設定できます。私は毎日朝7時に来るようにしていて、メールアドレスなども設定しています。
この辺りは運用しながら考えていけば大丈夫です。
4.外部からの攻撃を検知できることを確認する
3.の設定が完了したら、WAFが有効になっているか確認しましょう。
ウェブから確認することができて、http://自分のドメイン/WAF-TEST-SIGNATURE/ にアクセスすると以下のようになれば成功です!
https://自分のドメイン/WAF-TEST-SIGNATURE にアクセスした結果
実際に攻撃してみても面白いです。ここから自分のホームページを攻撃することができます。
entity bodyには、画像と同じスクリプトを入力してください。
https://so-zou.jp/web-app/network/post/
攻撃後に管理画面のログを表示させると、以下のように検出されていることがわかります!
(参考)5.自分のIPアドレスを検知対象から外す
1.~4.でWAFの設定が完了しました!これで外部からの攻撃を防げるわけなんですが、悲しいことに今の状態では自分が投げたPOSTやGETもブロックされ開発中に上手くいかないことが起きます。
例えばWordPressのプラグインの処理やphpMyAdminでの操作がサーバで防がれてしまいます。
そこで以下のようにWebの設定に記載することで(x.x.x.x)のIPアドレスからはブロックせず、通すことができます。
自宅のIPアドレスやスマホのIPアドレスを入力してみましょう。保存できたら、systemctl restart httpdなどで設定を反映させてくださいね。
<Directory "/var/www/html/">
SiteGuard_ExcludeSig ip(x.x.x.x)
SiteGuard_ExcludeSig ip(x.x.x.x)
<Directory>
あとがき
いかがでしょうか。正しくWAFの設定ができましたか?今までセキュリティ設定とかしたことない人も、これだけ入れておけば、Webへの攻撃は防ぐことができます!
今後は、OSやミドルウェアのアップデートなどでしっかりと対策しましょう。参考にしていただければ幸いです。
しばいぬ
のどかもめ
今後も、VPSで当サイトのようなブログサイトを構築する方法をご紹介します。
「WAF」が無料で使えるVPSサーバは、「さくらのVPS」で決まり!!
おすすめなので、ぜひ以下のリンクから商品を見てください!