(しばらく工事中)
昔話「私とWWW」から。
WWWサーバーとのお付き合いというか、運用役というのか、
何となくやらねばならない羽目になって、
色々覚える羽目になって、
現在所属している学科では、
WWWサーバーのお守りは仕事とはならなかったのだけれど、
自分と自分のゼミでの活動の結果を公開するために、
自分の研究室にある Mac を自分専用のWWWサーバーとして使うようになった。
https:// 対応とか、定年後のことを考えて、
学外 (sakura インターネット) にも WWW サーバーを持って、そちらが本体で、
学内にあるのは予備ということにしたのだけれど、
過去の経緯か、まだまだアクセスは学内に置いたサーバーの方が多いようだ。
そのうちに学内サーバーでも https:// 対応ができたのと
(「Let's Encript 備忘録 (WWWサーバーのSSL対応)」)、
とある理由から学外には置きにくい情報もあって、
学内サーバーも真面目に使うようになった。
さて今回、所属する大学で、サーバーのセキュリティを見直すことになった。
以前の私ならば、面倒なことはやらない、
この際、学外オンリーでやっていこうか考えたと思うが、
少し頑張ってみる気になった。
- 簡単にするため、やりたいことは絞る。
- やりたいことに必要のないことはどんどん切り捨てる。
- WWW をやるのだから、Apache2 を使うのは自然だろう。
これは良くメンテナンスされていて、大変便利である。
- 大学に置いてあるサーバーをローカルに扱うだけでは、
運用管理が困難なので、リモートログインは必須である。
OpenSSH を導入して、リモートログインやファイルの転送に使うのは自然であろう。
- Apache2, OpenSSH は macOS にも含まれているが、
更新がそんなに頻繁にないので、両方とも MacPorts で導入する。
その更新頻度は十分だと考えている。
- Apache2 と OpenSSH の設定については、ネットに詳しい情報があって、
それに従えば安全な状態にするのはそれほど困難ではない。
- httpd と sshd のログをきちんと取れればゴールに近づくはずだが、
sshd 関係が意外と面倒であった。Apple の趣味のせいなのかしら。
まあ、見通しは立ったけれど。
- Mac は UNIX マシンなので (法律的な意味でそうらしいと聞いた覚えが)、
su と sudo はちゃんと扱えないといけない。
root ユーザーを無効にしたので su で悪いことはできない
(なんか UNIX らしくないかも)。
問題は sudo である。
/etc/sudoers を macOS 標準の設定で使っていると、
必要な情報が記録されない、ということに気づくのに時間がかかった。
気づけばどうということはなかったのだけど。
- ある程度見通しが立った。しばらくは安定して動くか様子見して、メモ書きだ。
桂田 祐史
