Scribble at 2025-06-16 17:30:19 Last modified: 2025-06-17 09:56:22

10年以上は利用させてもらっている HIDS（ホスト型の侵入検知システム）の OSSEC だが、いまだにまとまったドキュメントを作ろうという日本人が全くいないらしく、当然だがガイドとなる書籍もないし、せいぜい IT 関連のメディアで冷やかし程度の記事が書かれるくらいのものである。僕は、それこそシマンテックに買収される前からのユーザであるから、当然のことだが運用の経験もそれなりにある。実際、いま運用・管理している某万博関連のサイトでも、予算がないために IaaS 事業者のオプションが選択できないという下らない事情はあるが、その代わりに OSSEC を IDS なり改竄検知サービスとして選択できる。本来なら、そういう選択肢を選べるという幸運に感謝する必要はないが、少なくともその幸運を提供する有能なサーバ・エンジニアがもつ知識や経験にお金を払ってほしいところなのだが、地方自治体なんぞに期待しても無駄である。なので、こっちも有能な人間が暇潰しにできることしかやらないわけだ。これは、大手広告代理店案件のように四桁の規模になるような状況でも、結局は同じことである。要は事故が起きなければいくらでも有能な人間は手抜きができるし、そもそも手抜きどころか知識や技術、いやそもそもサーバを管理している工数にお金を払ってもらえないのだから（見積もりの細目として項目を立てても、トップ・クライアントである上場企業のサラリーマンは、「サーバの管理」ということにお金がかかる理由が理解できないんだって。いちおう旧帝大、なんなら大学院すら出てるのにだよ？ どう考えても、大企業のサラリーマンによくあるバカのフリという必殺技に代理店の営業も迎合して負けてるフリをすることで、両者の猿芝居で下請けをタダ働きさせる茶番だろう）、仕事してやってるだけでもありがたく思えという話でしかない。

それに、基本的なこと、つまり使わないデーモンを消して、使わないポートを閉じて、そして使わないアカウントを削除するといったことを冷徹に実行してから、必要に応じて対応するという方針を維持するだけでも、三下が構築したウェブ・サーバに比べれば格段に堅牢となる。もちろん SELinux などを導入すれば更に望ましいが、僕はあれ無しでも強いサーバを建てて運用できるし、少しでも間違うと誰もログインできなくなる SELinux のようなシステムは逆に可用性という点で「脆弱」だと思っているので、採用しないことにしている。

それから、実際にサーバを運用すると分かることだが、大半のアカウント攻撃なんてものは、あからさまに狙われる DoS 攻撃などに比べたら屁みたいなものである。僕が管理しているサーバにも、毎日のように root や SMTP のアカウントを狙った通信が届くわけだが、そんなもん入れるわけがない。ssh は鍵でしか入れないし、鍵のパスワードはウェブ・サーバのエンジニアを始めた20年以上前から最低でも32桁を生成して使っている。それに、それほど攻撃も多くない。OSSEC のアラート・ログでも、せいぜい１日に 4 MB ていどのファイル・サイズにしかならないからだ。これは Gunzip で圧縮している容量なので、展開してログを見ると、だいたい１日で35,000件くらいのアラートが記録されている。なので、２秒に１回くらいの割合で攻撃されていることになる（集中していればサーバの負荷が明らかに上がるから分かるが、そういう攻撃の集中はない）。なので、こんな軽微な通信と防御の処理とエラーの記録で生じる負荷なんてものは、サーバの標準的な挙動でログを記録する際の負荷と殆ど同じであろう。