サーバー
このタグの記事 5 件
セキュリティの棚卸し — 複数サーバーを個人運用する人が見落とす点検7項目
複数サーバーを個人運用する人の事故は「足りない対策」より「把握していない状態」が原因になりがち。守る境界は鍵を置いたPC。2FAは信頼の連鎖でティア化、SSH鍵はマトリクス化して重複・未使用・孤児を消す、平文パスワードはクラウドから消す、是正は可逆に1つずつ、台帳に機密は書かない。派手な新ツールより棚卸しが先。
公開ディレクトリに秘密ファイルを置き忘れていないか:webrootの棚卸し
webroot(公開ディレクトリ)に置いたファイルは、URLを叩けば誰でも取得できる。トークンや認証情報のJSON・.env・バックアップを置き忘れると即・実害。さらに共通テンプレート由来なら全サイトに同じ穴が横展開する。対策=公開ディレクトリには公開してよい物だけ、秘密はwebroot外+権限600、そして自分のサーバーを棚卸しして1か所見つけたら全台点検。
自前のGitサーバーとGitHub、セキュリティ的にどっちが安全か
自前Gitは『安全になる』のではなく『リスクを移し替える』。誤公開という事故クラスは消えるが、サーバのパッチ・バックアップ・コミット前の秘密検出という責任が自分に移る。条件を満たせば良い選択、放置すればGitHubより危険。当サイトの視点=自前運用は代償とセットでなければ成立しない。
侵害され得る環境にroot鍵を渡さない:SSH鍵の最小権限
一時的で侵害され得る環境(GPU pod・CIランナー・使い捨てVM)から本番へroot鍵を登録すると、その環境が侵害された瞬間に本番がroot権限で抜かれる。対策=一時環境にroot鍵を置かない/使わなくなったら消す/再度必要なら非rootユーザー+command制限鍵(command="..." restrict)で操作を1つに限定。使い回し鍵は最重要資産で、1つ漏れたら全部、という構成を作らない。
レンタルサーバーで .env を公開しないための配置と設定
本命は『アプリ本体をdocrootの外、public/ だけ公開』。まず .htaccess で止血し、構造改修で恒久化、最後に自己点検。当サイトの視点=これは個人のミスでなく業界的な“悪手の標準化”。だから注意力でなく仕組みで防ぐ。symlinkより bootstrap-redirect が堅い。