このブログはVPSで運用していますが、最初は結構大変でした。
私は勉強目的でVPSを使用していますので問題ないのですが、単にブログを運用したいなら安易にVPSを選ばない方が良いです。
なぜなら、専門知識がないと構築・運用が難しく、大変だからです。
というのを、最近ひしひし感じています。
(自分のスキル不足を痛感している、というのもあるけど)
その理由は2つ。
- サイバー攻撃に自己責任で対処しないといけない
- サーバー構築・運用も自分で実施する必要がある
でも、メリットもあります。
- メリット①:自由度が高い
- メリット②:他ユーザーの巻き添えを食らわない
- メリット③:Webサーバー構築・運用が勉強できる
大変な理由①:サイバー攻撃に自己責任で対処
攻撃は毎日来る
サイバー攻撃は、このサーバーにも毎日きます。
自サーバーを踏台にされると他の方にも迷惑をかけるため、対策が必須です。
実は立上げ1週間程で、攻撃でサーバーがダウンしました。
xmlrpc.phpを狙った攻撃で、後で知りましたが、WordPressを狙って行われるものではよくあるものです。
※対策は色々ありますが、以下の記事で説明しています。
apacheのアクセスログを見ると、下のような怪しいアクセスが毎日あるわけです…。
. . . “GET /test/xmlrpcs.php HTTP/1.1” …“mat0401.info” “Mozilla/5.1 (Windows NT 6.0; WOW64) AppleWebKit/. . . (KHTML, like Gecko) Chrome/ . . . Safari/. . . “
. . . “GET /?a=fetch&content=die(@md5(HelloThinkCMF)) HTTP/1.1” . . . “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/. . . (KHTML, like Gecko) Chrome/. . . Safari/. . . “
上の2番目のログは、古いバージョンのWordPressnoの脆弱性をつくものです(海外サイトですが、こちらで書かれいます)。
また、MASSCANというポートスキャンツールを使ったアクセスも頻繁に来ます。
全グローバルIPのポートスキャンを6分以内で出来るのだとか…。
他にも、
- ファイルのアクセス権を適切に設定する
- WAFの導入・設定
- WordPressのセキュリティ対策
- 日常的に情報収集をしないとけない
など、こういうことをやらないといけません。
仕組みも理解している必要があります。
頻繁にくるアクセスはWAFよりFirewallでブロックしたほうが効率が良い…とか。
chmod、chown、.htaccessの知識とか…。
私は仕事にも直結する部分があるので勉強にはなっているのだけど…。
踏み台にされないためにも運用の責任が発生する
情報処理推進機構が「情報セキュリティ10大脅威 2020」の中で書いている通り、第三者のサーバーを踏み台にして攻撃を行う、という方法は昔からあるものです。
「施策をしないと犯罪になる」わけではないようですが、対策する責任はあるでしょう。
グローバルIPを持つWebサーバーを公開・運用するということは、リスクを伴います。
WordPressは本体が問題無くてもプラグインに脆弱性があることがありますので、アップデートもしないといけません。
軽い気持ちでそういうのが出来ますか、、、っていう話です。
大変な理由②:サーバー構築・運用も全て自分で実施
レンタルサーバーはOS周りの設定・対策はプロバイダーの責任で実施されますが、VPSだとそれら全部を自分の責任で実施しないといけません。
WordPressを使うようにするまでにも、
- ユーザの作成・権限の設定
- ファイアーウォールの設定
- apacheのインストール・設定
- phpのインストール・設定
- データベースのインストール
- WordPressを手動でインストール・設定
全部がWeb上のGUIの画面でできるわけではなく、ターミナルからコマンドでやります(ターミナルを使うにもSSHを使うのがベターだけど、その設定も要る)。
結構、面倒です。
php.iniのpost_max_sizeとかを適切に設定しないと、ファイルアップロードで躓きますしね…。とかとか。
WordPressのバージョンに合わせたphpやデータベースを入れないといけないし、そもそもLinuxの仕組みをしっておかないといけないし。
あと、ほしい情報が全部ネットにあるわけではありません。
(あったとしても個人ブログの情報だと正しくないこともしばしばある)
自分ひとりで解決しないといけないことが、ほとんどです。
現在は常時SSL化をしておかないとSEOにも影響するそうですが、中間証明書とか、秘密鍵・公開鍵とか、そういうのを理解してやらないと…むっちゃ時間がかかると思います。
その点、レンタルサーバーだと自動化スクリプトが用意されてる場合があるので、導入・設定作業がすごく楽です。
※VPSでもプロバイダーによってはあるけど種類は多くない
レンタルサーバーだとこの辺りの作業をプロバイダーが予めやってくれたり、簡単に利用できる仕組みがあるので、運用の負荷は断然少ないです。
、、、ていうあたりを自分でやりますか?っていうことです。
メリットもある
Webサーバーの運営に興味ある人にとっては、デメリットはそのままメリットになります。
具体的に挙げると、
- メリット①:自由度が高い
- メリット②:他ユーザーの巻き添えを食らわない
- メリット③:Webサーバー構築・運用を勉強できる
メリット①:自由度が高い
レンタルサーバーだとWordPressなどのCMSは自由にインストールできても(予め用意されているものに限られる場合もあるけど)、データベースやPHPのバージョンアップなど、根幹に関わる更新がしにくいと思います。
OS環境まるごと自分で自由に変えることができるのがVPSのメリットなので、レンタルサーバーではできない自分独自のサービスを作りたい…という人には向いてそうです。
その代り、上に挙げたようなリスクもあるけど。
メリット②:他ユーザーの巻き添えを食らわない
レンタルサーバーは、言わば、1つの家を複数人で共有している状態なので、他サイトのアクセスが急増したり重い処理が走ったりすると、自分のサイトも影響を受けます。
実はかなり昔にレンタルサーバーでブログを運営していましたが、そういったことが少なからずありました。
VPSは仮想環境とは言え、影響が非常に少ないです。
(専用サーバーなら全く影響を受けない)
その上、専用サーバーより安価です。
メリット③:Webサーバー構築・運用を勉強できる
私の場合はこれがメインですね…。
情報処理安全確保支援士の勉強をするのに、実際にやってみないと分からないことがあったので手を出したのがきかっけでした。
(ブログで稼げるようになればいいな…とも微かに思うけど)
以上です。
参考になると嬉しいです。
画像は以下から:
Megan RexazinによるPixabayからの画像
Clker-Free-Vector-ImagesによるPixabayからの画像
