質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Node.js

Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

VPS

VPS(バーチャル・プライベート・サーバ)は、仮想化されたサーバをレンタルするサービスで、共有サーバでありながら専門サーバと同等の機能を果たします。物理的な専門サーバより安価で提供できるメリットがあります。

Q&A

解決済

2回答

8607閲覧

さくらVPSに、Node.jsのサンプルページを公開するのは危険なのか

08noboreni

総合スコア47

Node.js

Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

VPS

VPS(バーチャル・プライベート・サーバ)は、仮想化されたサーバをレンタルするサービスで、共有サーバでありながら専門サーバと同等の機能を果たします。物理的な専門サーバより安価で提供できるメリットがあります。

1グッド

5クリップ

投稿2017/01/16 09:21

わからないこと

Node.jsのHelloWorldページを、
さくらVPSを使って実際に公開することは危険なことなのでしょうか。
もし危険な場合は、例えば一時的に30分だけ試しに公開してみる、という内容でも危ないレベルなのでしょうか。

環境・設定

◆環境
・さくらVPS
・CentOS7

◆設定
・SELinux:停止
・firewall:サンプルページ用に3000番を解放

ソースコード

app.js

var express = require('express');
var app = express();

app.get('/', function (req, res) {
res.send('Hello World!');
});

app.listen(3000, function () {
console.log('Example app listening on port 3000!');
});

http://expressjs.com/ja/starter/hello-world.html
のサンプルをそのまま使用しています

上記のapp.jsを

$node app.js
で実行し、
http://ipアドレス:3000/
でアクセスする想定です。

疑問に思った理由

各種How toサイトを見ていましたが、サンプルページをさくらVPSに公開している例はありませんでした。
逆にシンプルなサイトなので、何もできないのではないかと思いますが、いかがでしょうか。

search_search👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

質問がクローズした後ですがあえて書き込みます。

「Node.jsのHelloWorldページを公開すること」に限らず、インターネット上にサーバを公開すること自体、潜在的な危険は存在します。
どこに危険が存在するかというと、大まかには以下の通りです。

・OSやミドルウェアの脆弱性を突かれる。
・OSやミドルウェアの設定に不備があり、リソースを不正に利用される。
・アプリケーションの作りが悪く、外部からの入力を許して任意のコマンドを実行されてしまう。

質問文に記載された内容で公開したのであれば、Node.jsの範疇では危険ではないと思います。
入力を受け付けている訳でもないですし。
しかし前述の通り、それ以外の部分に問題があれば「危険」となってしまいます。

他の質問でも言及されていたのですが、セキュリティの情報等に気を配らず、どこぞのサイトのコピペだけで構築したようなサーバを公開するのはやめていただきたいです。
08noboreniさんが被害者になるのみならず、他のホストへの攻撃に利用されるなど、いわば加害者側に回りかねません。
乗っ取ったホストに重要な情報がなかったとしても、そのホストは「他のホストへの攻撃の拠点」としての利用価値があります。
08noboreniさんのサーバが乗っ取られて攻撃に利用されたら、短時間だったから問題ない、などという事は決してありません。
また、あまりに初歩的なセキュリティ対策を怠った結果であれば責任を問われる事もあり得ます。
知らなかった、では済まされないケースもあるかと思います。

投稿2017/01/18 03:38

編集2017/01/18 03:41
ynakano

総合スコア1894

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

08noboreni

2017/01/18 04:40

回答ありがとうございます。 危険性を意識して今後学習を進めようと思います。 お忙しい中申し訳ございませんが、重ねて質問させてください。 学習の必要性については理解することができました。 今後の学習方針について以下2点を考えていますが、インフラ系に詳しい方から見て足りていない内容や、「これだけはやっておけ」等の学習方法があったら教えてください。 1. インフラセキュリティについて体系立った本を一冊読む http://www.shoeisha.co.jp/book/detail/9784798132389 2. 1.で分からない部分についてネットで検索し、内容を理解する  例:SELinuxがわからなかったら詳しい内容を調べる 3. アプリ側セキュリティについて本をよむ http://www.sbcr.jp/products/4797361193.html 私のスキルは以下のとおりです。 ・LPICのLv1だけ持っていて、Linuxについて最低限の理解がある ・社内用WEBシステム修正に少し関わったことがあるため、だいたいのイメージができる 目的は、VPSを借りて自分でアプリケーションを作ることです。 お忙しい中申し訳ございませんが、どうぞ宜しくお願いします。
ynakano

2017/01/18 04:49

08noboreniが挙げた内容はまずは基礎的なところだと思います。当然必要ですし有用です。 加えてセキュリティ情報は日々のキャッチアップが必要です。 なぜなら(言うまでもないですが)脆弱性は日々発見され、攻撃手法は日々進化しているからです。 なので例えば以下のようなセキュリティ情報サイトや https://www.ipa.go.jp/security/ https://www.jpcert.or.jp/ http://cve.mitre.org/index.html 使用しているプロダクトの更新・errata情報を追いかける必要があります。 (下記はCentOSのErrata) http://centoserrata.nagater.net/list.html 基礎知識はもちろん必要ですが、何より重要なのは「日々セキュリティ情報に関心を持つ」ことだと思います。
08noboreni

2017/01/18 04:57

ありがとうございます。 基礎に加え、最新の動向も確認していこうと思います。
ynakano

2017/01/18 06:23

済みません、さっきのコメント呼び捨てにしてました… 申し訳ないです。
guest

0

ベストアンサー

サーバーの内部に重要なファイルが無い場合だと、VPSなのでroot権限を取られてもOSを入れ直せる状態みたいなので臆すること無く公開しても大丈夫だと考えます。

実際、公開をしない、または公開を止めるかの判断は管理者次第だと思いますよ。
※会社・その他団体などの場合は責任者に尋ねてください。

セキュリティに関する情報はネットや書籍を含めたくさん存在しますのでそれを参考に。
100%安全なサーバは存在しませんが、常識・現実的な範囲で安全性100%に近づける必要はあります。

投稿2017/01/17 04:19

mosapride

総合スコア1480

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

08noboreni

2017/01/17 07:40

ありがとうございます。確かに、「危ない」ってどんな立場で誰が判断するかによってかなり変化しますよね。言葉の定義がしっかりできていませんでした。ありがとうございます。 今のところ、 ・サンプルページは、そもそも攻撃手段が少ない(と思う) ・短時間だけの公開ならば危険性は少ない と考えています。
mosapride

2017/01/18 00:41

参考までに。。 LPICと言うLinuxの資格があります。 LPICのサイトでアンケートに答えると無料でLinux教科書がダウンロードできます。 Kindle版、製本版もありますが有料です。 内容は基礎的な事しか書いてありませんが、初めての方ならかなり難しいと思いますし基礎ができないと応用もできないので目を通して価値はあると思いますよ。 http://www.lpi.or.jp/linuxtext/text.shtml サイトの左側に各ダウンロードできる教科書(今は5冊みたいですね)があります。
08noboreni

2017/01/18 03:18

ありがとうございます。ダウンロードしてみます!
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問