お世話になっていますakuroと申します。
現在、固定IP1個でBBR内にサーバーを構築しています(BBRのポートマッピングしています)。
[internet------modem----bbr-----server]
そこでお聞きしたいことがあるのですが、現在サーバが一台稼動しているのですが、
その他にもう一台稼動させて、BBRのポートマッピングにて、例えば
http://aaa.com:8080/index.html の場合はもう一台のサーバへ設定すれば
二台稼動させることもできるのでしょうか?
二台目にsshをいれて、外部からアクセスしたいと思っているのですが、
可能でしょうか?
(一台目のサーバは外からログインしたくないので、、、)
よろしくお願いします。
こんばんは。
> そこでお聞きしたいことがあるのですが、現在サーバが一台稼動しているのですが、
> その他にもう一台稼動させて、BBRのポートマッピングにて、例えば
> http://aaa.com:8080/index.html の場合はもう一台のサーバへ設定すれば
> 二台稼動させることもできるのでしょうか?
ポートさえ違えばマッピングはどうにでもなるので、何も問題ないですよ。
理屈で考えても、そうなりませんか?
> 二台目にsshをいれて、外部からアクセスしたいと思っているのですが、
> 可能でしょうか?
> (一台目のサーバは外からログインしたくないので、、、)
ここの理由が、今一わかりませんが。セキュリティには気をつけてください。
返信ありがとうございます。
> ポートさえ違えばマッピングはどうにでもなるので、何も問題ないですよ。
>理屈で考えても、そうなりませんか?
たしかにそうです。
>ここの理由が、今一わかりませんが。セキュリティには気をつけてください。
現在稼動中のサーバは外からアクセスしたり、ちょっとした実験
でソフトを入れたりしたくないのですが、今度購入予定のPC
なら、完璧にテスト用として使うので、最悪な状況に陥ってもいいかなと考えています。
(最悪な状況にはしないよう努力しますが)
でも、乗っ取られたらそこからlocalのPCも餌食になることもありますよね、、、
> 現在稼動中のサーバは外からアクセスしたり、ちょっとした実験
> でソフトを入れたりしたくないのですが、今度購入予定のPC
> なら、完璧にテスト用として使うので、最悪な状況に陥ってもいいかなと考えています。
> (最悪な状況にはしないよう努力しますが)
>
> でも、乗っ取られたらそこからlocalのPCも餌食になることもありますよね、、、
だけじゃないですよね。外に向かっても何でもできるので、加害者になる可能性もあります。
テスト用なら設定ミス等でなおさら甘くなる可能性があるので、気をつけてください。
>テスト用なら常時sshで外からアクセスする必要があるのでしょうか?
最近、会社が忙しくて家でPCをつける時間が殆どなく、休み時間とかでちょっと試したいこととかを
遠隔ででればいいなと考えています。
あと、テスト用は常時での使用は考えていません。
(それでも、結構な時間起動することになってはしまうのですが)
>だけじゃないですよね。外に向かっても何でもできるので、加害者になる可能性もあります。
>テスト用なら設定ミス等でなおさら甘くなる可能性があるので、気をつけてください。
被害が自分の所だけならまだましなのですが、それが一番怖いです。
sshで注意する所では
●定期的にパスを変更する
位でしょうか?
(ログ見たりインストールも行いたいのでrootで入りたいんですが、危険ですよね。
あと、FTPも立ち上げなくては、、、)
こんにちは。
> >テスト用なら常時sshで外からアクセスする必要があるのでしょうか?
> 最近、会社が忙しくて家でPCをつける時間が殆どなく、休み時間とかでちょっと試したいこととかを
> 遠隔ででればいいなと考えています。
> あと、テスト用は常時での使用は考えていません。
> (それでも、結構な時間起動することになってはしまうのですが)
そもそも会社から、sshで外部アクセスできるのでしょうか?確認しておいたほうがいいですよ。
おやじの会社はfirewallがきついので、webもproxy経由しか出られませんし、メールも直接自宅サーバにはアクセスできません。nslookupもできません。ガチガチに止まっています。
アクセスを限定するとセキリティはかなりあがるので、xinet.d経由で起動して、会社のアドレスとローカル以外からは起動できないようにすればかなり安全ではないでしょうか?
> >だけじゃないですよね。外に向かっても何でもできるので、加害者になる可能性もあります。
> >テスト用なら設定ミス等でなおさら甘くなる可能性があるので、気をつけてください。
> 被害が自分の所だけならまだましなのですが、それが一番怖いです。
>
> sshで注意する所では
>
> ●定期的にパスを変更する
>
> 位でしょうか?
> (ログ見たりインストールも行いたいのでrootで入りたいんですが、危険ですよね。
> あと、FTPも立ち上げなくては、、、)
パスワードログインは止めて、RSA2鍵認証にしたほうが言いと思います。
こういうケースでは、rootログインは止めて、一般ユーザで入ってsu/su -したほうがいいです。
sshがあれば、sftpで大丈夫ですが会社がwindowsならappaさんのようにFTP+SSLもありでしょうか?
返信ありがとうございます。
>そもそも会社から、sshで外部アクセスできるのでしょうか?確認しておいたほうがいいですよ。
それは大丈夫なようです。
会社のとはいっても、個人でADSLやってるのと環境は同じでfirewallすら存在しません。
(というか多分将来的にはそういうのは自分がやらなくちゃならないようなのですが、、、)
>おやじの会社はfirewallがきついので、webもproxy経由しか出られませんし、メールも直接自宅サーバに>はアクセスできません。nslookupもできません。ガチガチに止まっています。
内部から外部に対してそんなに厳しくする必要ってあるんでしょうか?
> アクセスを限定するとセキリティはかなりあがるので、xinet.d経由で起動して、会社のアドレスとロー>カル以外からは起動できないようにすればかなり安全ではないでしょうか?
なるほど、IP制限があればかなりセキュリティーはあがりますね。
(たしか、TCPラッパーとかいうのもありますよね)
> パスワードログインは止めて、RSA2鍵認証にしたほうが言いと思います。
> こういうケースでは、rootログインは止めて、一般ユーザで入ってsu/su -したほうがいいです。
> sshがあれば、sftpで大丈夫ですが会社がwindowsならappaさんのようにFTP+SSLもありでしょうか?
sftpとftp+sslは別物なのですか?
RSA2ですか、実は今のサーバーでSSHは使ってはいるのですが、実際
は暗号とかそういうのはまったく詳しくなかいので、今回を機に
勉強してみます。