[plamo:18468] Re: Plamoインストールメモ

[KAMOSAWA, Masao]

鴨澤です。

> ウチの袋戸棚サーバはサーバ

えーと、ウチの袋戸棚サーバはいろんなサーバを兼ねてます。
書き出すと長いんですが、要するに内向けのファイルサーバとしての面と
外向けの Web サーバとしての面が主としてあり、また ADSL モデムを
繋いであるのでルータとなってます。

・ファイルサーバ
NFS と Samba と Netatalk を使っております。
80GB のメインディスクと 120GB のバックアップディスクが繋がってます。
バックアップは毎朝 pdumpfs 
http://www.namazu.org/~satoru/pdumpfs/
を走らせて 120GB のディスクに取ります。
この時以外、120GB のディスクは止まっています。

・Web サーバ
動的 DNS サービスを利用して名前をいろいろ取り、Apache の
バーチャルホスト機能を利用して友人たちのホームページを
サブディレクトリではない URI でたくさん置いています。
http://plamo.minidns.net/ もそのひとつです。

・セキュリティ
うちのサーバはあくまで実験用。生産システムではありません。
何かいやなものを見てもそれは人生の修行サ。
という感じでぜんぜん気を付けていない状態です。
まあ、一定の注意を払いながらもフルオープンでした。

なんだかんだ言っても、Linux は Windows+IIS なぞより
はるかに安全で、よほどポピュラーな穴を放置しない限り
クラックされることはない、という前提で・・・。

まさかいきなり root 権限を取られるとは(゜o゜)＼バキ

何でやられたかというと、Samba です。本当にやられました。

このときは root 権限を奪った人の遊びが過ぎて、超巨大 ping を
送ったりしたため、ADSL コネクションがあっという間に切れて
対策ができましたが、やはりこの手のノーガード戦法はリスクが
大きい、と身を以って実感した次第です。

このあいだの Samba のバグの際、ぼくは smb.conf の 
interfaces 行を指定してあるので関係無いな、と踏んで
何も対策しなかったのですが、これでは不十分でした。

これに関しては

http://www.samba.gr.jp/news-release/2003/20030317-1.html

の「パッチを適用しない Samba サーバを防御する」を読んでみると
わかりますが、interfaces 行を指定するだけでは不十分で、
bind interfaces only も指定してやる必要がありました。

またフィルタリングで 139、445 を落とすという「普通の」対策を
してあれば大丈夫でもあったので、ちょっとさすがに無用の穴を
空けておきすぎたかなあ、と感じた次第。


まあ、こんな具合に自宅サーバは楽しいですよ。