サーバー管理者の手引き

はじめに

サーバーは、機能的には メールサーバー、Web サーバー、ssh サーバーなどがあり、1 つ以上の機能を有するマシン自身をサーバーとも呼びます(ここでは、機能的な意味でサーバーと呼びます)。 この手引では、研究室等でサーバーを立ち上げる際の注意点を述べます。


pagetop

サーバーの管理

管理者と実務担当者

管理者は教職員であり、学内諸規則(巻末備考参照)を守って運用することが必要です。実際面倒を見る副管理者や実務担当者は学生でも構いませんが、「放任」せずに担当者への指導を心がけて下さい。また、卒業などでいなくなるときは必ず後任の担当者を決め、十分引継ぎが行われるようにして下さい。引継ぎ等がはっきりせずにサーバーが脆弱性を持ったまま運用されていて、外部から攻撃される例が少なくありません。それが予想される場合はサーバーの運用を一旦停止し て下さい。
学外向けにサービスを行うサーバーは申請が必要です。ただし、年度ごとに継続申請(申請は次年度4月締め切り)が必要となりますのでご注意下さい。また、サービスを停止する場合は速や かにご連絡願います。

2010 年度から、情報システム管理者講習が始まりました。特に学外向けサーバー管理者及び副管理者は必ず受講しなければなりません。対象者のうち一人も受講していないサーバーについては、学外向けの運用を停止する場合もありますので、ご注意下さい。


pagetop

セキュリティ

学外に開放するサーバーはもちろん、学外に開放しないサーバーについても、セキュリティを考慮したプログラムや方法で運用して下さい。そのために、ユーザー管理を厳格にし、パスワード(できるだけ暗号化して通信)を必ず設定して下さい。アクセスを許す経路をできる限り限定(IP アドレスなど)して下さい。


pagetop

バージョン管理と情報収集

フリーのサーバープログラムはもちろん、商用のサーバープログラムでもバージョンアップやパッチ(修正)情報が発表されます。中には深刻な脆弱性を改修するための緊急情報が発表される場合もあります。実務担当者はこれらの情報を良くつかんで対応することが求められます。
下のリンクが役に立ちます。
http://www.jpcert.or.jp/(JPCERT/CC:有限責任中間法人 JPCERT コーディネーションセンター)
   
OS が Windows の場合は WindowsUpdate や、ウィルス対策ソフトウェア・スパイウェア対策ソフトウェアの導入を必ず行って下さい(センターのサイトから無料でダウンロードできるソフトウェアがあります)。
https://www.icte.muroran-it.ac.jp/soft/fsecure/(ウィルス対策ソフトウェアのインストール) 学内限定


pagetop

ログ確認

サーバープログラムのメッセージログを確認し、異常や不正なアクセスが無いかを必ず(少なく とも 1 日 1 回)チェックして下さい。


pagetop

サーバー毎の設定

メールサーバー

メールを学外と送受信する場合は、学外向けサーバー運用申請書で申請しなければなりません。 送信する場合の送信先は「send.mmm.muroran-it.ac.jp」(スパム&ウィルス対策サーバー)を経由するように設定しないと送信されません。
メールはスパム&ウィルス対策サーバーでの制限により、添付ファイルを含めて 20MB 以内でな ければなりませんのでご注意下さい。学外からのメールを直接学内のメールサーバーで受信することはできません。従って学内のメールサーバーを学外からの送信サーバーとしても設定できません。 メールサーバーを pop3 サーバーや imap サーバーとして運用することも原則許可していません。ただ し、セキュリティ認証を前提とした方法については許可していますのでその旨申請して下さい(現在 APOP は脆弱性が判明し許可していません)。


pagetop

Webサーバー

学外に向けた Web サーバーを運用する場合は、学外向けサーバー運用申請書で申請しなければなりません。 Web ページの作成に当たっては「ホームページ作成ガイドライン・運営方針」を守って作成して下さい。
https://www.icte.muroran-it.ac.jp/etc/hp_guideline/(ホームページ作成ガイドライン・運営方針)


pagetop

sshサーバー

学外に向けたサーバーを運用する場合は、学外向けサーバー運用申請者で申請しなければなりません。相手先が学外の場合は、できる限り IP アドレスを特定して申請して下さい。 SSH サーバーについては、「SSH ブルートフォース攻撃」(攻撃者がサーバーに向けて「ユーザー名とパスワードの組」を次々と試してくる総当たり攻撃)が行われており、特に厳重な対処が求めら れます。下記の点を参考にして下さい。

【参照】
SSH 運用について(緊急アピール) 2006.5.12 SS 研セキュリティガイド委員会

  • SSH のバージョン 1 を使わない。
  • rootへのログインを許さない。
  • パスワード認証をやめて公開キーとパスフレーズによる認証を使う。
  • 待ち受けポート22を例えば22000等に変更する。
  • tcpwrapper等でアクセス制限を実施する。
  • denyhosts(http://denyhosts.sourceforge.net/)等のツールを利用する。
  • 不要なIDや保守用IDを見直し削除する。


pagetop

ftpサーバー

学外に向けた ftp サーバーを運用する場合は、学外向けサーバー運用申請者で申請しなければなり ません。また、相手先が学外の場合は、できる限り IP アドレスを特定して申請して下さい。 ftp サーバープログラムは sftp などセキュアな ftp にして下さい。不特定多数を相手とした anonymous ftp は運用しないで下さい。学外との回線は大学全体で 200MB と決して十分ではありません。大容量のファイルのやり取 りを前提とした ftp サーバーはご遠慮下さい。


pagetop

その他のサーバー

学内のみのアクセスに限定するサーバーに申請や種類の限定は不要です。 学外に開放するサーバーについては、上記でも述べた pop3(APOP 含む)、imap、ftp、telnet などでセキュリティ上問題のあるサーバーについては許可していません。また、運用中のものでも脆弱性が判明したものについては学外とのアクセスを緊急に停止する場合もあります。その点を考慮して下さい。


pagetop

備考

  • 国立大学法人室蘭工業大学情報セキュリティポリシー
  • 室蘭工業大学情報システム運用基本方針
  • 室蘭工業大学情報システム運用基本規程
  • 室蘭工業大学情報システム運用及び管理規程
  • 室蘭工業大学情報システム利用規定

本内容についての質問や意見、サーバーの運用相談については情報教育センター技術室までご連絡下さい。