自分が参考にしていた鷹の巣さんのサイトが間違っていただけだと分かり、ごちゃごちゃになっていた頭の中がやっと整理できました。もちろん、ウイルスというものはどんどん新しくなっていくものですので、これから新たに出てくるもののことまで[とやかく]言ったりはしません。鷹の巣さんもアクセス制限せずに使っているようですし、僕もそのように使っていこうと思います。あとは、今使っているウイルス対策ソフトがとても重く、しかも古い(2001年のエンジン・最新のウイルス定義ファイル)ので、それをなんとかして行こうと思っています。中田さんも鷹の巣さんも、お忙しい中ありがとうございました。
Patrosystem さん、
鷹の巣さんの訂正もあるので、いまさらかもしれませんが一応書いておきます。
「意味がない」というのは CodeRed と Nimda という既知のワームに関してはそうだということで、今後出てくるであろう新規のワームについてはわかりません。
ですから、アクセス制限をはずして新しいワームにやられたからといって、私の言うことが間違っていたなどと言わないでくださいね。
それに CodeRed と Nimda についても本当はそれぞれのワームの感染の仕組みを知らないと絶対に大丈夫だということは確信できないはずです。ユーザの立場からすればいちいちそんなところまで調べてもいられないというのが普通でしょうから、アクセス拒否をしておく方が安心だと考える人がいることは理解できます。
(2003/02/23 17:34)Patrosystemさんへ
> その自宅サーバ関係のサイトには、「外国からのアクセスを拒否することでワーム等の一次感染を
> 防ぐことができる」と書かれていたので、「した方が安全だ」というように思えてしまうのですが、
「どこの自宅サーバのサイトでしょう。いい加減なことを書いて」と思って、調べて見ると私のサイトでした。
http://sakaguch.com/Security.html#IPaddressBlock
謹んで、下記の様に訂正させて頂きます。申し訳ありませんでした。
(誤)
このアクセス制限を行うと、海外からのアクセスを拒否でき、ワーム等の一次感染を防止できます。
海外からアクセスしてくるCodeRedワーム等によるエラー内容が404エラー(ドキュメントがないか、読み込みができません。)
から403エラー(ドキュメントにアクセスする権限がありません)に変わります。
(正)
このアクセス制限を行うと、海外からのアクセスを拒否でき、WWWサーバを使用した不正なアクセスの絶対数を少なくできます。
海外からアクセスしてくるCodeRedワーム等によるエラー内容は、404エラー(ドキュメントがないか、読み込みができません。)
から403エラー(ドキュメントにアクセスする権限がありません)に変わります。
(少数ですが、海外からの正常なアクセスもありますので、現在はアクセス制限を行なっていません。)
CodeRedやNimdaはIISにしか感染しないウイルスだからAN HTTPDなら大丈夫(関係ない)ということなんですよね。そうすると、そのAN HTTPDについて書かれている自宅サーバ関係のサイトの「外国からのアクセスを拒否すれば一次感染を防ぐことができる」という文章は意味がないように思えてしまうのですが・・・。AN HTTPDの設定について書かれているページなのに、IISにしか感染しないウイルスについてこんな文章を書く必要はありませんし・・・。でも、アクセス制限しなくても大丈夫だということが分かり、安心しました。また何かあったときは教えてください。ありがとうございました。
Patrosystem さん、
するのとしないのとで違いはありません。
ただし、私の言うことが間違っていないという保証はありません。
なぜそうなのかの理由を自分で考えて納得しないとまずいでしょう。
とりあえず理由は以下の通りです。
CodeRed や Nimda は (対策を施していない古い)IIS にしか感染しません。
AN HTTPD では感染したくても感染できないので、アクセス制限をしてもしなくても変わりません。
すみません。最後にこれだけ教えてください。アクセス制限をしてもしなくても一次感染を防ぐことができるとは一体どういうことなのでしょうか。しない場合には何か別のことをしなければならないのでしょうか。その自宅サーバ関係のサイトには、「外国からのアクセスを拒否することでワーム等の一次感染を防ぐことができる」と書かれていたので、「した方が安全だ」というように思えてしまうのですが、するのとしないのとでどう違うのか、どうか教えてください。
Patrosystem さん、
「アクセス制限をすれば一次感染を防ぐことができる」というのは間違っていません。けれども、アクセス制限をしなくても一次感染を防ぐことができる、ということですね。ですから両方とも間違っていません。
いろいろ教えていただき、ありがとうございます。もちろん、「日本からのアクセスなら安全だ」などとは考えていません。日本人向けのサイトなので、少しでも安全にするためにせめて必要のない外国からのアクセスだけでも拒否したかっただけです。特にウイルスのことが心配でアクセス制御していたのですが、ウイルスに対してアクセス制御してもしなくても変わらないということが分かったので、やはりむやみやたらとアクセス制御せずに本当に拒否したいものだけを拒否するようにして行こうと思います。どうして僕が外国からのアクセスを拒否していたかというと、某自宅サーバ関係のサイトに「ワーム等の一次感染を防ぐことができる」と書かれていたからなのですが、このサイトに書かれていることが間違っていたということなのでしょうか。
アクセス制限
patrosystemさんに始まる「アクセス制限」の問題は私も悩まされています.
私はメーラの「拒否」機能を使っています.外国から送りつけられる迷惑メールは
メール中の「送信停止」で申請しても発信元を次々にたらいまわし=横流し してるんじゃないかと疑いたくなるような目にもあっています.自分のクッキーに横流しが仕込まれているのかと調べてみたこともありますが,そのときは発見できませんでした.
私は送信者側に規制をかけさせる仕組みができないものかと思います.
話題をそらして,すみません.
Patrosystem さん
日本からのアクセスは安全と思われているわけではないですよね?
セキュリティ対策として海外からのアクセスを拒否したいのなら、
同様に日本からのアクセスも拒否しないと片手落ちということになります。
そうするとサーバ公開などしないという結論に行き着きます。
Patrosystem さんと同じように海外の全てのサーバが自国以外の
アクセスを拒否したとすれば、インターネットは崩壊しますよね?
そういう意味でも安易にアクセス制御は使ってはいけないと思いますし、
ほとんどの人はアクセス制御などしていないのではないでしょうか。
アクセス制御しているという人は単に誤用しているだけだと思うのですが。
Patrosystem さん、
意味のないことはやめた方がいいのではないかと思います。
「アクセス」の意味にもよるのですが、HTTPサーバで言う「アクセス制御」というのは、「アクセス」そのものを制御しているのではありません。
たとえば、あるIPアドレスに対して「アクセス拒否」したとしてもHTTPサーバへの「アクセス」は拒否されません。
なぜなら、そのIPアドレスに対しても80番ポートは開いているわけで80番ポートへのTCP接続はできるわけです。
ただそれ以上のサーバ上のファイルへの「アクセス」を拒否するだけです。
つまりCodeRedやNimdaなどのウイルスに対して「アクセス拒否」してもしなくても同じことです。
応答するエラーコードが 404(ファイルがない) から 403(ファイルへのアクセス拒否)に変わるだけで、いずれにしても接続は成立しています。
やはりあきらめるしかないですかねえ。毎日ウイルスのようなアクセスが数回あるので、プロキシ経由のアクセスも含め、できれば外国からはアクセスされたくないのですが・・・。Googleには、ロボットを特定したければUserAgentに「Googlebot」と表記されているものがロボットだからそれを利用するようにと書かれているのですが、UserAgentでアクセス制限することはできませんし・・・。一般的にはどうなんでしょう。httpdをまったくアクセス制限せずに使っていて問題ないのでしょうか。簡単にサーバの中身(ホームページ以外まで)を見られたり、いじられたり、ウイルスに感染したりしないのでしょうか。一応2001年のエンジン(定義ファイルは最新)のウイルス対策ソフトは入っていて、システムスキャンはさせているのですが・・・。(エンジンが古く、最新のOSに対応していないため、システムスキャン以外のインターネットフィルタ等は使用できない。)
Patrosystem さん、
あまりよい方法はないでしょう。
一番簡単なのは、アクセス制限などしないことだろうと思います。
教えてください。AN HTTPD 1.42h使わせていただいています。アクセス制御についてなのですが、日本のIPアドレスでのアクセスのみを許可して外国からアクセスできないように設定しているのですが、こうするとGoole等の検索ロボットまでアクセスできなくなってしまうので困っています。ロボットのIPアドレスを調べて許可すれば良いと思うのですが、Googleについて調べたところ、「ロボットのIPアドレスは常に変わる」と書かれていて、固定的なIPアドレスで許可することができません。最終的に日本からのアクセスと検索ロボットのアクセスのみ許可したいのですが、どのようにすれば良いのでしょうか。