develop

プチ・オールドなPowerMacをファイルサーバーに!~第5回~ 防人の孤独

Return of the“Petit-Old Mac” Vol.005

~セキュリティ設定~
■先ずは脅威の認識を

サーバーのセキュリティと言えば、運用上実に多くの脅威が考えられますが、本連載では個人や小規模オフィスでのファイルサーバー運用を前提とし、下記のように必要最低限かつ、身の丈にあった対処を実施するものとします。

  • サーバーの設置場所の配慮、盗難防止
  • パスワード、アカウント設定(管理)、スクリーンセーバーの設定
  • ファイアウォールの設定
  • アンチウィルス
 
■どこに置くべきか

大きな企業であれば空調及び防犯設備の行き届いたサーバールームなどがありますが、個人や小規模オフィスでは専用のスペースはなかなか確保することができません。とはいえ全く無防備では安全性を守れませんので、可能な限りの対処は行うようにしましょう。

個人、小規模オフィスでも行える主な対処

  • サーバーは来客者から目のつかないところに設置する。
    わざわざ玄関や応接室にサーバーを置く人はいないと思いますが、一目で「おっ、あそこにサーバーあるな」と悟られるようなところに置いてはいけません。
  • 過度に低温、高温、多湿の場所には設置しない。
    人が活動できる室温であれば問題ないと思いますが、防犯や結露の恐れを考慮して窓際への設置は避けましょう。
  • サーバーの筐体内部に簡単にアクセスできないようにに鍵をかける。
    ご存知の方も多いかもしれないですが、PowerMacの背面にあるレバーを引き出せば鍵をかけることが可能です。鍵の管理は結構面倒だったりするのでダイアル式をおススメします。
  • サーバーを簡単に持ち運べないようにする。
    よくある小型ファイルサーバー(ネットワークハードディスク)は猿でも持ち去ることが可能です。ポリタンPowerMacはもともと重いことが防犯上では利点ですがハンドル部にワイヤーもかけてラックや机につなぎ止めればさらに安全です。

Mac防犯例

 
■安全とは不便なもの

共有フォルダ以外の領域やサーバーの設定が、いつでも、だれでもアクセスできるようになっていては、セキュリティ上好ましくありません。サーバーの設定や操作画面は管理者が必要な時にだけアクセスできるようにしましょう。

  • ログインパスワードを設定して自動ログインしないようにする。
    「システム環境設定」のセキュリティを開き、「自動ログインを使用不可にする」にチェックを入れる。
  • スクリーンセーバを設定する。
    「システム環境設定」のデスクトップとスクリーンセーバを開き、スクリーンセーバを開始するように設定する。(開始までの時間はなるべく短くしましょう)次に、「システム環境設定」のセキュリティを開き、「このコンピュータをスリープ状態またはスクリーンセーバから解除するときにパスワードを要求する」にチェックを入れる。
  • 環境設定の変更を制限する。
    「システム環境設定」のセキュリティを開き、「保護されたシステム環境設定をそれぞれロック解除するのにパスワードを要求する」にチェックを入れる。
 
■サービスの制限とファイアウォール

必要なサービス及びポートのみ解放するのがファイアウォールの基本です。専用のファイアウォールソフトをインストールする方法もありますが、個人、小規模オフィス内のネットワークであれば、MacOSXの設定範囲で対処が可能です。
(インターネットとローカルエリアネットワークとの間のファイアウォールはブロードバンドルーターで設定します)

  • サービスの確認
    「システム環境設定」の共有を開き、中段のタブでサービスを選択します。
    不必要なサービスがづ挿していないか確認し、不要なものがあればサービスを停止します。
    (今回の設定ではパーソナルファイル共有とWindows共有のみサービスが動作しているはずです)
    iTunesの音楽を共有させている場合は。
  • ファイアウォールの設定
    「システム環境設定」の共有を開き、中段のタブでファイアウォールを選択します。
    中段の「開始」ボタンをクリックしてファイアウォールを動作させます。
    今回の設定ではパーソナルファイル共有とWindows共有のみ許可リストの項目にチェックが入るはずですが、iTunesの音楽を共有している場合は「iTunes音楽共有」日付と時刻を自動的に設定するようにしている場合は「ネットワークタイム」にチェックが入るようになります。
 
■ノーガードではいけない

MacOSは直接的に感染するウィルスがないのでアンチウィルスは必要ないという考えも流布していました。もともとMacは普通の使用状況ではルート権限でアクセスする必要がありませんし、ルートへのアクセスにも認証が必要でウィルスに感染しにくいOSであることからそう思われていたのでしょう。しかしながら先日(2006年3月現在)ついにMacOSをターゲットにしたウィルスも出現しました。Windowsに比べれば圧倒的にウィルスの絶対量は少ないですが、iPod人気でAppleの知名度が上がったこともあり今後はウィルスの脅威は増えていくものと思われます。サーバーからウィルスが発症しなくともクライアントPC経由で共有フォルダ内にあるファイルにウィルスが潜んでいる可能性もあります。被害を未然に防ぐためにもファイルサーバー上でのアンチウィルス対策は行なうようにしましょう。(もちろん各クライアントのパソコンにもアンチウィルス対策はしておくべきです)

今回はサーバーとして運用する事を念頭にいくつかのアンチウィルスソフトウェアを試してみました。

  • Virex 7.2
    .Macで配布していたアンチウィルスソフト、10.4ではVirex7.5は動かないのでVirex7.2でテスト。(.Macユーザーへの配布はすでに終了している)
  • clamXav
    オープンソースでフリーの(無料の)アンチウィルスソフト
  • VirusBarrier X4
    有料のアンチウィルスソフト、Mac用のアンチウィルスソフトとしては新手。

各ソフトウェアの特徴は下記の通り

価格 スキャンの速度 スケジュールスキャン 定義ファイルの自動アップデート
Virex 7.2 無償(過去) 拡張機能、cron設定で可能 不可能
clamXav 無償 遅い 可能 可能
VirusBarrier X4 有料 速い 可能 可能

Virex 7.2はスキャンもそこそこ速くスケジュールスキャンも可能で、メジャーソフトの安心感もなんとなくありますが、定義ファイルを自動アップデートできないのが致命的です。更新ファイルを手動でダウンロードして実行するのはどうしても面倒になり長続きしない場合が多いです。

clamXavは無償である事が非常に魅力的なのですが実際使用してみるとスキャンに非常に時間がかかるのがネックとなります。スキャンするファイルの数が多いとバックアップの時間とぶつかり、無反応になる事もあるのでサーバー利用には向かない印象を受けました。Macのクライアントに利用するのがいいかもしれないです。

VirusBarrier X4は差分スキャンが可能ですので、とにかくスキャンの速さが特筆です。一度目は1時間ぐらいかかりましたが、(36GB分のファイルをスキャン)2度目のスキャンからは変更されたファイルのみスキャンするので非常に短時間で終了します。サーバーへの負荷も少なく、バックアップの設定とぶつかる事も無いので今回のテスト中では一番好感触。

上記の評価からはVirusBarrier X4が抜きん出ているので採用する事にしました。ソフトウェアの代金はそれなりにかかりますが、懸念材料であったスケジュールスキャン、定義ファイルの自動アップデート、感染時のメール通知も抑えています。Macのクライアントだけでなくサーバー利用にも対応できて、なかなかの優れものです。(評価板のダウンロードができますので是非試してみてください。インターフェースはちょっとアレですが・・・) ソフトウェアの設定も難しいところも無く、すぐに理解できると思います。 スケジュールの設定に関しては今回の例ではスキャン対象を共有フォルダ全体(Public)を指定し、毎日午前1時から開始するようにしています。(バックアップスケジュールはスキャンの終わった後、午前4時に開始して処理がぶつからないように配慮します)

VirusBarrier X4
 
■まとめ

使わなくなった「プチ・オールドなPowerMac」をファイルサーバーとして蘇らせるちょっとエコな企画。
内容的にはちょっと駆け足であった感は有りますが、必要最小限でありながらも実用的なレベルで使えるファイルサーバーが出来上がったのではないかと思っております。
もちろん安いファイルサーバー(的なもの)は今時ごろごろ売っているのは承知していますし、それなりに需要もあるようです。
しかしながら、実際の運用においてのトータルな安全性、運用管理の簡単さ、メンテナンス性の良さを優先させるのであればMacOSが非常に最適なプラットフォームであることは本連載を通じて実感することができました。(サーバー管理って続けないと意味ないですし、面倒な事が多いんですよねぇ)この辺りの感覚はMacユーザーのみなさんであれば理解していただけると思います。
ちょっと古くなったって文字通り捨てたもんじゃありませんよ!愛着のあるMacをもう一花咲かせてあげてみてはいかがでしょう?