•   Login
  •  
  •   Rss
  •   Rss2.0
  •   ATOM1.0
  •   Admin
  •   Top
  •   Home

自前サーバーを持つメリットとデメリット
Windows Serverならある程度アプリケーションが揃っていますが、LinuxはOSをインストールしただけでは何も始められません。
たまに、「サーバー管理って大変じゃないですか?」と聞かれることがあります。
大変と言えば大変なのですが、好きでやっていることなので、しんどいと思ったことはありません。
WindowsとLinuxの両方を経験していますが、コストパフォーマンスと情報量、メンテナンスや拡張のし易さの点では、Linuxの方が優秀じゃ無いかと思います。
Windowsの場合、毎月のWindowsUpdateでシステム停止による再起動がありますからね。


メリットとデメリットを挙げるなら、自分から好きで始めたのであれば、デメリットは全て打ち消してくれると思います。
自前サーバーの持つデメリットは、やはり最初の構築とトラブル遭遇したときの対処方法ですね。
最初の構築は、目的がないと何をして良いのか分からないと思います。
Windows Serverならある程度アプリケーションが揃っていますが、LinuxはOSをインストールしただけでは何も始められません。
そう言う意味では、初心者さんにはWindows Serverを強くお奨めします。
GUIでとっつきやすいし、WebサーバーとかDHCPサーバーとか入っているので、簡単に構築できると思います。
御値段が張りますけどね。。。


一方、Linuxは種類こそ色々ありますが、Google検索と方言さえクリアできればそこそこ使えます。
最近のLinuxは、Windowsを意識したつくりになっているので、GUIでも構築することが可能です。
また、Webminをインストールすれば、Webブラウザからもある程度のアプリケーションをインストールしたり、各アプリのサーバーを設定したり再起動したりすることが可能です。


私は、ある程度Windowsで慣れてきたらLinuxにチャレンジしてもらえたら良いかな。と思います。
なぜ、Linuxをお奨めするのかというと、システムの継続性がWindowsよりも遥かに高いからです。
Windows Serverの定例アップデートをしますと必ずOSの再起動が入ります。
その時間は、数分程度のことですが、その数分の間に大きなチャンスを逃してしまうことがあります。
また、Windowsは優れたOSですが、悪意のあるユーザーから狙われやすいOSでもあるんです。
数ヶ月メンテナンスを放置していると、あっと言う間に管理者ユーザーのパスワードが書き換えられ、ウイルスやスパムメールの発信源に成り代わります。
私の経験から、Linuxによるシステム乗っ取りは1度だけですね。
これは、単純に私のミス(パスワード設定ミス:辞書攻撃)によるものなんですが。


で、Linuxでサーバーを構築するときに迷うのは、何を目的に使うのか?です。
私の場合は、ホームページ公開すること。が主目的でしたので、
・Linux
・Apache(Webサーバーアプリケーション)
・MySQL(データベースサーバーアプリケーション)
・Perl、PHP、Python(スクリプト言語)
のLAMP(ランプ)セットから始めました。
それに味をしめて、今では、メールサーバー、DNSサーバーを追加しています。
こうした自由度が、自前サーバーにはあるのです。
レンタルサーバーだと色々制限があるんでね。


レンタルサーバーで思い出したのですが、まだまだ私の経験値が低かった頃、LAMPセットを格安で提供してくれるところが少なかったんです。
どことは書きませんが、月額500円でLAMPセットのレンタルサーバーがあって、すぐにとびついたんです。
しかし、契約が始まったと同時に規約改正されて、MySQLは提供されないわ、PHPも提供されないわ、で欺された感がありました。
2年くらい我慢して使いましたが、たびたびシステムダウンを起こしてアクセスできなくなるわで、更新時に契約を打ち切りました。
それ以来、今のレンタルサーバーを契約するまではお古のPCを使って、自宅サーバーとして運用し続けていました。


自宅サーバーとして運用し続けるメリットは、ONU側で必要なポートだけオープンしていれば、外部からの不正攻撃がある程度防げると言う事ですね。
当時は、Webサーバーだけの公開でしたので、80ポートと実験的に443(SSL)ポートだけを開けていました。
なので、殆どと言って良いほど不正攻撃とは無縁でした。
その代わり、リモートアクセスすることも不可能でした。


暫くの間そう言う運用をしてきましたが、人間、欲というものは恐ろしいもので、次にCUIでリモートアクセスをしたくなってきました。
当初は、telnetサーバーを立ち上げていたのですが、平文を送る危険性から、sshサーバーで運用するようにしました。
こちらも、デフォルトのポートではない30000台のポートを開けて運用していました。
それも、2015年くらいまで。

そして、自宅サーバーでの運用を諦め、レンタルサーバーに関して長けている方のアドバイスから、さくらVPSを選びました。
ドメインも新たに取得して再出発です。
そこに、メールサーバーとDNSサーバーを立てて、ポートも色々と開けて。
今では、ディスクの容量範囲内でメールアカウントを作成しています(^^ゞ
こうした自由が効くのは、メリットの一つですね。


さて、デメリットとは言うと、ネットワーク攻撃を常に晒されることですね。
ブログでも時折書いていますが、頻繁に不正アクセスや踏み台を試みようとする輩が多いです。
特に中国と韓国と北朝鮮。
Fail2banで逐次ブロックしていますが、長期間のブロックから開放してもすぐにブロックされるという、機械的な攻撃にうんざりします。
まぁ、先日の指定IPアドレスで元を絶ったので、かなり平和になりましたけどね。

Linuxでは、Windowsのような大規模なバージョンアップは2~3年に1度で、そのペースはWindowsよりも早いです。
大規模なバージョンアップになると、さすがに各サーバーアプリケーションに影響します。
なので、十分な検証を行わないままにやると、とんでもない目に遭うことがあります。
サーバー構築したらハイ終わり。なんてのは、絶対に有り得ません。
なので、稼働を始めたときからの運用も結構大事ですね。
運用が面倒くさい人には、デメリットしかないですね。


と言う事で、何とも締まりの悪い書きっぷりですが、思いついたことをそのまんま書いているだけなので、他にもメリットとデメリットがいっぱい転がっていると思います。
自前でサーバーを持つと、インフラチックなことからアプリケーション開発まで、好き勝手にやれることが最大の特徴ですね。
そして、全部自己責任です。
管理をちゃんとしておかないと、ある日警察が貴方の家にやってくるかも知れません。
犬・猫のペットと同じですかね。
ちゃんと、定期的に見てあげないと、いけない事ですね。
それが出来ない人は、レンタルサーバーどころかレンタルWebサーバ・ブログすら出しちゃダメです。
更新しないサービスは、速やかに退会、終了、アカウント抹消手続きをしておきましょう。


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: (1人)
Posted by いぐぅ 06:00 | システム | comments (0) | trackback (0)
TCP Wrappers de not BAN iptables DROP de BAN!!!
/etc/hosts.allow と /etc/hosts.deny にそれぞれ書き込むことにしました。
前回、proftpd de BAN を紹介したところですが、最後にこの一文を書きました。

この調子で、今度はメールサーバーも対策をしたいですね。
こちらも、毎日のように届くので、締め出してやりたい。
ただ、ftpと違って、色々なアクセスポイントからログインするので、絞り込むのが非常に難しいのがネック。
国内のアクセスポイントのみの設定にしても良いのだが・・・


探してみたところ、これで出来るのかな?と、TCP Wrappersでの対応。

/etc/hosts.allow と /etc/hosts.deny にそれぞれ書き込むことにしました。
取りあえず、hosts.allowには、ALL:ALL で全許可。
次に、hosts.denyには、次のように記述。
ALL:cn
ALL:kr

にしてみた。
何となくbanメールが少なくなったけど、届いたbanメールのホストは、殆ど中国である。
(違う国もある。)
彼らはどうやって不正アクセスしてくるのだろう。
と、ただただ感心するばかりである。


でも、どうにかして中国からのアクセスを遮断したい。
と思って、いちばんやりたくなかったiptablesによる設定。

linuxで中国からの通信を遮断

有益な情報が掲載されていたので、この資料をもとに作成した。
iptables -I INPUT 1 -s [中国のIPアドレス] -j DROP
:
:
:
これをひたすら入れていく。
コピペで終わるんですけどね。


4~5日様子を見ることにしました。
今のところ、中国経由からのfail2banメールは1通も届いていません。
1日0~2通位に減りました。
さすが、iptables は偉大ですね。
どうして、このコマンドを使わなかったのかというと、一つ間違えると全部アクセスできなくなっちゃうからなんですよね。
だから、一番最後の砦として残していたのです。


俺もやってみたいけど怖いなあ。と思う方。
こちらに、シェルスクリプトを用意しましたので、ご査収ください。
最初の1行目は、お使いの環境によって異なるので要注意です。


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: (1人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
時代の流れかも知れない?
「FM局に転換」制度化、28年にも全国で実施…総務省。
「FM局に転換」制度化、28年にも全国で実施…総務省
9年後なんてあっと言う間だろうなあ。
と考えさせられる記事。

学生時代、実家の往復をするとき、カセットテープにAM放送を録音して良く聞いていました。
120分テープを何本も(笑)
当時、京都市内に住んでいたので、KBSラジオを聞いていました。
また、今はどうか分かりませんが、ラジオ関西も聞けてました。


でも、今住んでいるところは、AM放送の電波が貧弱で全くと言って良いほど聞けません。
AMワイド放送なんて聞こえが良くても、うちの地域は対象外なんですよ。
これだったら、自然とラジオを聞く機会なんて失われていきますね。


どうやって、ラジオ放送をより多くのリスナーに聞いてもらうかが大事じゃないかなぁ。
AMからFMに変わっても、聴取エリアがより狭めることになったら、本末転倒になりかねません。


続き▽ 記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: (1人)
Posted by いぐぅ 06:00 | システム | comments (0) | trackback (0)
proftpd de BAN!
なので、proftpdサーバーに次の一文を追加した。
最近、と言うかここ3ヶ月くらい?FTPサーバーへの不正アクセスが急増し、その都度、fail2banがメッセージを送ってくる。
最初の頃は、1日に2~3通だったんですが、ここ3ヶ月くらいは、1日20~30通位届くので尋常じゃない。
その殆どが、中国・韓国・台湾と東南アジア系ばかり。


よくよく考えたら、私がFTPサーバへアクセスするのは、ごく限られたプロバイダー(1つじゃないよ)であることに気付いた。
なので、proftpdサーバーに次の一文を追加した。
<Limit LOGIN>
Order allow,deny
Allow from *.@@@@@.@@.jp,*.@@@@@@@@@@@.@@.jp,*.@@@@@@.@@.jp,14.@@@.0.0/@@
Deny from All
</Limit>

これでproftpdサーバーを再起動したところ、ピタッとメールが来なくなった。
念のため、効果を確認してみたところ、割と効いているようだ。

アクセス拒否


この調子で、今度はメールサーバーも対策をしたいですね。
こちらも、毎日のように届くので、締め出してやりたい。
ただ、ftpと違って、色々なアクセスポイントからログインするので、絞り込むのが非常に難しいのがネック。
国内のアクセスポイントのみの設定にしても良いのだが・・・


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: (1人)
Posted by いぐぅ 06:00 | システム::linux | comments (0) | trackback (0)
恐れていたことが起こりました

アマゾンのクラウドサービス「AWS」で大規模障害

先週末、クラウドシステムの大手Amazonが手がけるAWS(Amazon Web Service)で大規模なシステム障害が発生しました。
これにより、SNSの一つであるmixiやQRコード決済の「PayPay」、一部のスマホゲームアプリなど広範囲に影響が出ました。


クラウドとは自前のインフラサービスを持たず、クラウド業者にインフラシステムを預けて、運用固定費用を安く済ませる(これはほんの一部分)ことです。
システム屋からすれば、こうした発生リスクは当然考えて、システムの二重化を提案するわけですが、顧客がコスト増を嫌うため二重化をしないシステムを要求するんですね。
悪質なシステム屋となると、分かっていて提案しないケースもあります。


記事には3メガバンクや証券業界の影響が掲載されていますが、やっぱり金融機関ですね。
ちゃんと、システムの二重化で影響を最小限に抑えていたようです。
信用を失ったら顧客流出して、屋台骨が揺らぎますからね。


これを機会に顧客はクラウド一本によるリスクの影響をよく考えるべきでしょう。
システム屋が、なぜ、くっそ高い値段で提案しているのか、システム屋に質問しましょう。


続き▽ 記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: (2人)
Posted by いぐぅ 06:00 | システム | comments (0) | trackback (0)
7payが9月末で廃止
私は過去にネットでセブンイレブンのシステムに関する記事を読んだのですが、その時もオムニ7のシステム開始時に、セキュリティーの脆弱性を突かれたインシデント事故をやらかしていました。
7pay、9月30日で廃止。「継続は難しい」と未使用分は返金

ちょっと古い記事になりますが、スパッと辞める決断は良い経営判断だと思います。
闇雲に延命処置をし続ければ、傷口を広げることになりますし、何よりもブランドに大きな傷を残すことになります。
私は過去にネットでセブンイレブンのシステムに関する記事を読んだのですが、その時もオムニ7のシステム開始時に、セキュリティーの脆弱性を突かれたインシデント事故をやらかしていました。
(この辺は、不正確ですが記事があったと思います。)


どうも、セブンイレブンの情報システムは、世間一般のセキュリティーについて疎いのか、意図的に避けているのか、真意が定かではありませんがズレていますね。
7月の社長会見で2段階認証のことを御存知でないことや、セブンイレブンの経営幹部は、ITに完全に疎いという印象を植え付けられました。
なので、システム会社との設計段階の擦り合わせで、全く噛み合っていなかったどころか、セブンイレブン側から「そんな敷居の高い入り口にしたら誰も登録してくれなくなる!」なんて恫喝まがいのことで押し通したんじゃないでしょうかね。想像ですけれど。


そして、これはユーザーにも一因が有るのですが、IDとパスワードの使い回しは、こうした惨劇を生むと言うことをよく知っておくべきです。
漏洩して被害が遭っても、企業が何とかしてくれる。なんて甘い幻想は捨てるべきでしょう。
今回は、たまたま被害が大きく報道されたので、企業ブランドとして対応を取ったまでの話しで、これが小さな会社ならまともに返金に応じてくれないと思います。


それに対してd払いは、ユーザーがそこそこいて、加盟店もかなり増えてきていますが、セキュリティーインシデントを殆ど聞きませんね。
セブンイレブンは、ドコモに門戸を叩いて提携することが改善の一歩となるかも知れませんね。
(ファミリーマートがその一例ですよね。)
しかし、頑なに拒むところをみると、セブンイレブンと言う会社はかなりプライドがお高いんでしょうね。
なんでも自前主義は良いのですが、最低限のことを知っておくことも大事でしょう。


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: (2人)
Posted by いぐぅ 06:00 | システム | comments (0) | trackback (0)
マイナンバーカードは色々便利
悔しいけど、マイナンバーカード作ったら色々便利だった。
悔しいけど、マイナンバーカード作ったら色々便利だった
ふふふ。ようやく便利さに気がつきましたか。。。
と言うのが僕がこのコラムを読んだ感想。


そりゃあ、住民票とか戸籍謄本なんてそんなに頻繁にコンビニで出すもんじゃないけれど、タダでマイナンバーカードを作っておけば、自治体によっては、窓口で発行してもらうよりも数百円節約できます。
それ以外にも、何と言っても確定申告。
忙しい人ほど、電子確定申告を強く推奨したいですね。

まぁ、節税を超えた脱税をしている人には、このカードを作成することはお奨めしませんが、そのうち包囲網にかかること間違いないでしょう。
私は既に銀行口座、証券口座をマイナンバーカードに紐付けられています。
法律の範囲内で節税することはあっても、脱法してまで節税することが出来ないですし。
高額な臨時収入があっても、まぁ、困りませんわ。

早くお薬手帳と健康保険証をマイナンバーカードを紐付けてもらえませんかね。
電子予約して自動的にカレンダー登録されたら、もう完璧ですわ。


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム | comments (0) | trackback (0)
無線LANルーターを買い替えた時にnasneが繋がらなくなったときの対処法
先日、アイ・オー・データ機器の無線LAN(WN-AX2033GR2)にしたときのこと。
多分、物凄くレアケースなんだけど、事例として記録しておきたいと思う。
以前までAtermの無線LAN親機を経由してnasneに繋がっていたPCがある。

先日、アイ・オー・データ機器の無線LAN(WN-AX2033GR2)にしたときのこと。
Windows10のファイル共有サーバーは、全く問題なかったのが、nasneのファイル共有サーバーには、ユーザーIDとパスワードが要求される。
この場合、何を入れて良いのか分からないときがある。

答えは、Windowsへのログインユーザーアカウントとパスワードで解消される。
最初は、全然分からなくてnasne再起動したり、ネットワークの初期化、ipconfig /flushdnsなどをしたんだけどダメだった。
もしかして資格証明書の問題かなぁ~?と思ったんだけど、確たる証拠がないので、ダメもとで、Windowsへのログインユーザーアカウントとパスワードを入力したら通った。

備忘録的に残しておきます。



皮肉にも昨日でnasneの出荷が終了したとのお知らせが。
結構、便利なのでPS VitaやPS3/PS4を持っている人は、お奨めします(^^)


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム::Windows | comments (0) | trackback (0)
電話世論調査を受けることが多くなった今日この頃
通常、こう言うのは名簿から電話をかけてくることなく、RDD方式と呼ばれるやりかたでかけてきます。
私事ではありますが、一昨年前の神戸市長選挙(平成29年(2017年) 10月22日執行)あたりから、ちょくちょく選挙シーズンになると電話が掛かってきます。
最初、なんで神戸市長選挙の調査なのか、皆目見当つきませんでした。
電話番号の市外局番も全然違うし。。。
でも、真面目に答えてしまいました。

その次にかかってきたのは、一昨年前の衆議院選挙。(これは9月頃だったかな?)
そして、昨年の地元市長選挙。
んで、今年の地方選挙。
ほんで、今回の参議院選挙。(2回)

これまで、電話世論調査なんて関係無いよなぁ。なんて冷ややかな目でニュースを見ていたのですが、いざ自分がその調査対象になると、どうしても結果が知りたくて見たり調べたりしちゃいますね。
選挙への関心も俄然高くなります。

それにしても、なんでこんなに頻繁にかかってくるようになったんだろう。
うちは全然迷惑じゃないので、積極的に応じるのですけど、どういった基準でかかってくるのか興味が湧いてきました。

通常、こう言うのは名簿から電話をかけてくることなく、RDD方式と呼ばれるやりかたでかけてきます。
とは言え、これほど選挙前、期間中にかかってくることになると、本当は、RDD方式じゃないんじゃないのか?
なんて思うようになります。

これは、私の妄想に過ぎないのですが、RDD方式を採りながらも、真面目に回答してくれるところはデータベース化して次も調査対象にしているんじゃないかと思います。
ガチャ切りされた番号は、フラグを立てて次からかけないようにして、新たなランダム番号でかけていく。
留守番電話になった番号は、次回も調査対象に保存していくか、一定数をこえたらかけるのを止めて、新たなランダム番号でかけていく。

なんて事を考えてしまいました。
事実、留守番電話になったケースは何度かあって、その後も世論調査の電話が絶えないんですよ。
だから、1~2回くらいの留守番電話は、次も調査対象にしている可能性があるんじゃないかと思います。

調査母数が1000~2000で回答率が60%くらいらしいのですが、毎回、新たなランダム番号に電話をかけて回答率を半数以上にするのは、かなり至難の業だと思いますよ。
電話によるアポイントセールスをやっている人ならよく分かると思うのですが、話を最後まで聞いてくれる人が60%もいるとは考えにくいのと同じだと思います。
ある程度調査回答に応じる番号は、調査会社のデータベースに保存されていると私は見ています。
多分ね。


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: (1人)
Posted by いぐぅ 06:00 | システム | comments (0) | trackback (0)
QRコード決済に新たな歴史が刻まれましたね
アカウント管理は、既にパスワードリスト型攻撃という不正利用の手順が確立されているので、利用者自身がセキュリティー意識を高めていないと悪用される危険性が高いです。
いや~先週、7payが盛大にやらかしましたね。
paypayの時もそうでしたが、QRコード決済システムは、非接触型ICと違って、色々と問題点が露わになっていますね。
お金が絡む決済システムは、やはり銀行やクレジット会社などがピラミッドの頂点で、QRコードは最底辺なんじゃないかと思うほどです。


銀行の決済システムは、国の根幹(国際間の信用)に関わるだけに、いくつものテストを繰り返して更改し続けています。
それも、1年や2年ではなく、数年単位でシステム改修を行っています。
昨今では、仮想通貨も関わっているので、対外系システムのテスト項目が狂っているくらいあるんじゃないかと夢想します。

私は、QRコードと非接触型ICを同列に見ているのですが、非接触型ICの方は大規模にやらかしたニュースが殆ど記憶に残っていません。
Suicaカードがシステム都合で何度か交換したくらいでしょうか。
Suicaの次にサービス開始となったICOCAに至っては、交換するニュースを1度も見聞きしていません。
今は、楽天Edyも10年以上サービスを続けていますが、不正利用されるニュースを聞いたことがありません。
他にもクレジット系であるドコモのiDやVISAのQuick Payも同様にハッキングされて不正利用されたニュースは、探せばありそうですが記憶に残っていません。
ドコモアカウントiDのハッキングニュースはありましたけどね。


では、QRコードと非接触型ICの大きな違いはどこにあるのでしょうか。
全ての決済システムを使ったことがないので、「こうだ」と断定出来ませんが、QRコード決済は、利用者がログインIDとパスワードを入力することによって使うもの。
非接触型ICは、こうした括りが一切無い、或いは業者(システム)側で全てコントロールされており、利用者は何も考えずに使うもの。
に分けられるのではないでしょうか。

例えばドコモは両方のシステム(クレジットのiDとQRコードのd払い)を持っていますが、iDは届出した暗証番号のみで使えるのに対し、d払いはドコモのアカウントIDとパスワード(+2段階認証)を最初に入力する必要が有ります。
(難しい仕組みを抜きに単純な考えにすると)それぞれの決済する紐付けとして、iDはクレジットカード、d払いはドコモ月額利用請求払いとなっています。


第三者不正利用を企てる視点からすると、QRコード決済はアカウント管理を正しく設定しないといけないのに対し、非接触型ICは物理的に盗まないと使えません。
アカウント管理は、既にパスワードリスト型攻撃という不正利用の手順が確立されているので、利用者自身がセキュリティー意識を高めていないと悪用される危険性が高いです。

今回、7payの不正利用ニュースを見ると、利用上限金額も定めていないようですね。
こうなると、もうザルとしか言いようがなく、被害に遭われた方にはご愁傷様です。としか言葉が出ないです。
7payは、システムの基本設計に問題があったので、QRコード決済の脆弱性以前の問題でした。


私は、濫立するQRコード決済よりも10年以上早く普及している非接触型ICをどんどん推進した方が、利用者側のセキュリティー意識を高める必要なく、安全な決済システムとして攻めていくべきじゃないのかなあ。と思います。
店側としては、非接触型IC読み取り機器の設置にコストがかかりますが、顧客のセキュリティーに投資をすると言う考えに立てば、安い投資だと思うんですけどね。
セブンイレブンも折角nanacoという非接触型ICがあるのですから、世の中の流行に乗らずに突き進んで欲しかったな。なんて思います。


記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 06:00 | システム | comments (0) | trackback (0)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31