1. TOPTOP
  2. インフラ

さくらのVPSでSiteGuard Lite(Web Application Firewall)をセットアップする方法(その1) ~ セットアップスクリプトの実行

|

siteguradlite_0

最近はインターネットの世界でも何かと物騒になってきました。そこでさくらのVPSでCentOS7をインストールしたときに同梱されている、そこでWAF(Web Application FireWall)を当ブログを運営しているサーバーに導入することにしました。

SiteGuard Liteとは

「さくらのVPS」ではCentOS7を標準でインストールするときにSiteGuard Lite(新しいタブで開く)が同梱されています。SiteGuard Liteとは株式会社ジェイピー・セキュアの製品で、WordPressの設定ファイル読み取りを試みる攻撃や、データベースの不正操作(SQLインジェクション)など、Webアプリケーションの脆弱性を悪用した攻撃の防御に大きな効果があります。

セットアップスクリプトの実行

このたび当ブログサイトをテストケースとして、SiteGuard Liteのセットアップを実際に行いましたので、そのノウハウを紹介いたします。なお今回のノウハウの記事は、無料SSL証明書である、Let’s Encrypt(新しいタブで開く)をすでに導入しているという前提でお話を進めていきます。

# cd /opt/jp-secure/siteguardlite
# ./setup.sh

まずSiteGuard Liteのセットアップスクリプト(./setup.sh)を実行します。

siteguradlite_1_1

するとSiteGuard Lite setup start…として、上記のような画面が表示されます。いくつか質問されますが、基本的にはすべてreturnキー(Yesと答える)を押せばOKです。

1箇所だけ要注意 固定IPアドレスかDHCP環境か?

siteguradlite_2
ただし、この質問の箇所については、returnキーを押す前に注意が必要です。この質問の意味は「どのIPアドレスから(SiteGuard Lite)にアクセスを許可しますか?」という意味です。

please enter the addresses allowed to access the web console for https.
ex:192.168.1. 10.0.0.0/24
please enter allowed addresses. [ALL] -->
allowed addresses=[ALL]
is correct? [yes]|no →

ふだんインターネットに接続するために利用している固定IPアドレス、ルータ等のWAN側に付与されているグローバルIPアドレスを入力します。あらかじめSiteGuard Liteに接続できる固定IPアドレスを特定しておきます。

ただしDHCP環境により、IPアドレスが固定されない、モバイル接続を中心に利用するなどの理由で接続元IPアドレスを制限することが難しい場合は、そのままreturnキー(ALL)にします(自分の場合はDHCP環境なのでそのままreturnキーを押しました)。

セットアップスクリプトの完了

siteguradlite_3

セットアップスクリプトが完了すると、緑色でOKが表示されます。引き続きreturnキーを押すと、自動的にApacheの再起動も行われます。ユーザー側(自分)がWebサーバー(Apache)の再起動をする必要はありません。

次回の記事(新しいタブで開く)では、Webサーバーで作業を行い、SiteGuard Liteのログイン画面にアクセスするところまでをご説明いたします。