さくらインターネットで商用のサービスを運用しているサイトも少なくないですが、さくらインターネットのレンタルサーバやマネージドサーバは FTP のポートが開放されているので、デフォルトの設定では危険を伴う可能性が高いです。
しかし .ftpaccess というファイルでアクセス制限の定義を記述することで、インターネット上の不特定多数の場所から FTP で接続されることは防ぐことができます。
今回はその FTP のアクセス制限について紹介してみたいと思います。
.ftpaccessの配備場所
さくらインターネットのマニュアルでは /home/[アカウントID]/www の下に置くってことですが、/home/[アカウントID] の下に置くべきでしょうね。
1 2 3 4 5 | <Limit ALL> Order Deny,Allow Deny from all Allow from XXX.XXX.XXX.XXX </Limit> |
しかし、そのサービスのいつの間にか提供の終了が発表されていましたね。
SFTPやSSHには効かない
ただし、SFTP や SSH には効力はないので注意が必要です。
結局、FTP のアクセスは制御できてもパスワードが特定されたら SSH がパスワード認証なのでどうしようもないですけどね。
本来、個人情報を取り扱うようなサービスの場合は、商用サーバに接続するまでに社内の別の中継サーバを経由しないとアクセスできないとか、その中継サーバへの接続の段階で VPN や SSH(鍵認証)よりもさらにセキュアな方式を採用しているところが多いです。
よって、さくらインターネットの場合、アカウント ID の特定は簡単なので、いかにパスワードを特定されないかが問題になります。
IPA の情報によると、アルファベットのみの短いパスワードを使用している場合は比較的短時間で破られる可能性があるとしています。
