最近はインターネットの世界でも何かと物騒になってきました。そこでさくらのVPSでCentOS7をインストールしたときに同梱されている、そこでWAF(Web Application FireWall)を当ブログを運営しているサーバーに導入することにしました。
SiteGuard Liteとは
「さくらのVPS」ではCentOS7を標準でインストールするときにSiteGuard Liteが同梱されています。SiteGuard Liteとは株式会社ジェイピー・セキュアの製品で、WordPressの設定ファイル読み取りを試みる攻撃や、データベースの不正操作(SQLインジェクション)など、Webアプリケーションの脆弱性を悪用した攻撃の防御に大きな効果があります。
セットアップスクリプトの実行
このたび当ブログサイトをテストケースとして、SiteGuard Liteのセットアップを実際に行いましたので、そのノウハウを紹介いたします。なお今回のノウハウの記事は、無料SSL証明書である、Let’s Encryptをすでに導入しているという前提でお話を進めていきます。
# cd /opt/jp-secure/siteguardlite # ./setup.sh
まずSiteGuard Liteのセットアップスクリプト(./setup.sh)を実行します。
するとSiteGuard Lite setup start…として、上記のような画面が表示されます。いくつか質問されますが、基本的にはすべてreturnキー(Yesと答える)を押せばOKです。
1箇所だけ要注意 固定IPアドレスかDHCP環境か?
ただし、この質問の箇所については、returnキーを押す前に注意が必要です。この質問の意味は「どのIPアドレスから(SiteGuard Lite)にアクセスを許可しますか?」という意味です。
please enter the addresses allowed to access the web console for https. ex:192.168.1. 10.0.0.0/24 please enter allowed addresses. [ALL] --> allowed addresses=[ALL] is correct? [yes]|no →
ふだんインターネットに接続するために利用している固定IPアドレス、ルータ等のWAN側に付与されているグローバルIPアドレスを入力します。あらかじめSiteGuard Liteに接続できる固定IPアドレスを特定しておきます。
ただしDHCP環境により、IPアドレスが固定されない、モバイル接続を中心に利用するなどの理由で接続元IPアドレスを制限することが難しい場合は、そのままreturnキー(ALL)にします(自分の場合はDHCP環境なのでそのままreturnキーを押しました)。
セットアップスクリプトの完了
セットアップスクリプトが完了すると、緑色でOKが表示されます。引き続きreturnキーを押すと、自動的にApacheの再起動も行われます。ユーザー側(自分)がWebサーバー(Apache)の再起動をする必要はありません。
次回の記事では、Webサーバーで作業を行い、SiteGuard Liteのログイン画面にアクセスするところまでをご説明いたします。