この記事は全然予定してなかったんですけど、さすがに気になったので書いてみたいと思います。
書くきっかけになったのは、以下の記事です。
初心者でもわかる!さくらVPS | Sakura VPS 設定マニュアル
そもそも、初心者がさくらVPS(全部、自分で設定を行わなければいけない)を触るのは危ないのでは?という気もしますけど、
これは本質的な話じゃないと思うので省略。
で、気になったのは、以下の箇所です。
これ、sshd_configのポート番号の行しか変えていないんですけど、不十分ですよね。
「ポートスキャン」という単語でググる事を激しく推奨します。
しかしなぁ。
この前のページで、鍵認証の設定をしているだけに、惜しいよなぁとは思うんですけどね。
sshd_configの設定については、
「ssh」「総当り攻撃」「ブルートフォースアタック」「公開鍵認証」「sshd_config」辺りを組み合わせれば、
ガンガン記事はヒットしますね。
で、ココが重要な所だと思うんですけど、
色々な記事に目を通してみると、上記の記事の様に「設定箇所の抜け」が結構あるんですよね。
なので、情報の「組み合わせ」が必要になると。
だから、別のこのネタに限った話ではないんですけど、
「一つの情報だけで完結したと思ってはいけない」と思いますね。
自分の話で、
時々現場で「どうして、そんなにブラウザのタブが何十個も開いているんですか?」って言われるんですけど、
「一つの調査に対して、複数(最低でも5ページぐらい?)のページを開いていて、
それをやっている内にタブを閉じるのを忘れているw」だけなんですけどね。
というか、あらゆる情報って師匠の話でさえも、鵜呑みにしないですからねぇ。
話を聞いて、自分で検証して、自分が納得したらではないかと。
だって、鵜呑みにしたら、問題があった時に全部相手のせいにしちゃうじゃないですか。
ということもあるので、「情報は複数のルートから」って話に繋がると思います。
さて、上述の話も十分問題だと思う(SSHでクラック出来るだけで、結構な事が出来る可能性がありますしね。お客さん、キレても驚かないですね)んですけど、
一番問題だと思うのは、上記の事をしただけで「出来た」とか、酷いと「精通した」とか思ってしまう事だと思います。
そう思った瞬間に、この事については何も考えなくなってしまうだろうと。
実例、何人も知ってますし(苦笑)
まぁ、おそらくは、「達成感を味わいたい」んでしょうけどね。
で、別に味わうのは良いとは思うんですけど、
100段の階段があって、1段上がったぐらいで達成したとか言われてもねぇ(苦笑)
「学びは一生」。
だいぶ昔に、自分が総務のおばさんから言われた言葉ですね。
最後に、多分最も重要な所を。
上述に該当される人々がどうなろうが、
別に知ったことではない(だって、自分のシャドウは他人の話を聞かないですから)んですけど、
まだ経験の浅い(だから、おそらく見抜けないと思うんですよね)新人さんとかが、
こういう人々に巻き込まれる事を、自分は最も懸念しています。
なので、赤い大文字で書いておく事にします。
一人の話だけじゃなくて、「沢山」の人の話に耳を傾けて下さい。
そして、「何かおかしい」と思ったら、ブログや日記やツイッター等に書き込んだり、
知り合いにその事を話してみたりして下さい。
いくらなんでも文字が大き過ぎる気もしますけど、まぁ良いでしょうw
