ホームラボは、ネットワークとサーバー インフラストラクチャの良い面と悪い面の両方について学ぶのに最適な場所です。一方で、ホームラボはあらゆるいじくり屋にとって非常に便利なツールです。一方、適切に設定されていない場合、セキュリティ上の悪夢になります。ここでは、ほとんどのホームラバーが間違えている 4 つのプライバシー設定とその修正方法を紹介します。
管理ダッシュボードをインターネットに公開する
Proxmox は LAN の外で管理されることを意図したものではありませんでした
どのホームラボにも管理ダッシュボードがたくさんあり、外出中に何かが壊れることは決してありません。 Tailscale と VPN を使用すると、どこからでもネットワークを利用できますが、最も簡単な解決策は、単にリバース プロキシを使用し、その管理ダッシュボードをドメイン名でネットワークに開くことです。パスワード認証が設定されているので安全ではないでしょうか?ほとんどの場合、それはあなたが思っているほど安全ではありません。
管理ダッシュボードがインターネットに公開されているということは、ボットがその特定の種類の管理ダッシュボードを探し、そこに侵入するためにさまざまな総当りの方法を試みることができることを意味します。これは実際に最近私に起こりました。リバースプロキシの背後にあった管理ダッシュの 1 つが侵害され、知らないうちに暗号ボットがサーバーにデプロイされました。
多くの Docker コンテナ (またはサービス一般) には、認証スタックを突破してアプリにアクセスするブルート フォースの試みを可能にするエクスプロイトが存在する可能性があります。したがって、その管理ダッシュボードをインターネットに開くと、トラブルが発生することになります。
ホームラボに関する聞いておくべき5つの不快な真実
Netflixのサブスクリプションのほうが安かったかもしれない…
自己ホスト型アプリにデフォルトの認証情報を残す
デフォルトのパスワードは、侵害される最も簡単な方法の 1 つです
管理者ダッシュボードを一般公開しない場合でも、少なくとも自己ホスト型アプリとネットワーク機器のデフォルトのログイン資格情報を変更する必要があります。実際のところ、ホームラボは、インターネットに公開するかどうかに関係なく、侵入される可能性があります。
ハッカーはローカル ネットワークにアクセスするさまざまな方法を持っています。セキュリティが不十分なスマート ホーム デバイス、3D プリンター、または通常の紙プリンターを介したものであっても、ネットワークはあなたが思っているほど安全ではありません。誰かが何らかの方法でローカル ネットワークにアクセスできる場合、セルフホスト サービスにもアクセスできます。
あなたのセットアップが私のようなものであれば、さまざまなサービスに標準ポート (他のすべてのホームラバーも使用しているのと同じポート) を使用する可能性があります。これにより、デフォルトのログイン認証情報を使用している場合、ハッカーがセルフホスト型スタックやルーターの管理ページに簡単にアクセスできるようになります。
内部専用であるべきポートをパブリックに開く
すべてのサービスがインターネットからアクセスできる必要があるわけではありません
経験則として、ルーター上で開くネットワーク ポートはできるだけ少なくする必要があります。ネットワーク ポートが開いていると、ハッカーがネットワークに侵入するよう促すことになります。現在、さまざまな理由からネットワーク上でいくつかのポートを開いているのですが、それらのポートを開くことのリスクも承知しています。
問題は、実際には開く必要のないネットワーク上のポートを開いたときに発生します。たとえば、自宅で Minecraft サーバーを実行したい場合は、ネットワーク上でポート 25565 を開く必要があります。ただし、そのサーバーをローカルでプレイするためだけに実行している場合は、そのポートを世界に公開する理由はありません。
SSHも同様です。ネットワーク上でポート 22 をポートフォワードすることは、たとえあったとしても、ほとんどないはずです。 HTTP/S も危険ですが、多くのホームラバーがポート 80 と 443 を Web に開いています。
実際、ポートを転送する明確な正当な理由がない場合は、単純にポートを転送しないでください。ネットワーク上のすべてのポートを閉じておくことをお勧めします。
API トークンまたはパスワードをプレーン テキストとして保存する
プレーンテキストの秘密は侵害をさらに悪化させる
あなたが使うのは、 多く ホームラボには API トークンがたくさんあるので、どこかに書き留めておきたいと思うでしょう。ただし、パスワードや API キーをプレーンテキストで書き留めないでください。私はホームラボの旅の早い段階で、メモをプレーンテキストの Markdown ファイルとして保存する Obsidian に API キーを入れるという間違いを犯しました。
これは便利ではありますが、決して安全ではありません。実際、Vibe コーダーは、API キーがリポジトリにコミットされて公開プッシュされるファイルにプレーン テキストで保存されているため、GitHub 上で常に漏洩しています。ホームラボではそんなことしないでください。
代わりに、パスワード マネージャーまたは別の形式の暗号化ストレージを使用して、文書が漏洩した場合でも、その内容を他人が使用したり悪用したりすることはありません。 API キーが ChatGPT アクセス用の OpenAI アカウントに属しているか、Sonarr 用の API キーであるかに関係なく、他の人がアクセスできない場所で安全に保つ必要があります。
- ブランド
-
カムルイ
- CPU
-
AMD Ryzen 7 7735HS
- グラフィックス
-
AMD Radeon 680M
- メモリ
-
16GB LPDDR5
- ストレージ
-
512GB NVMe
KAMRUI Hyper H1 ミニ PC は、手足を使わずに高性能デスクトップを必要とするセットアップに最適です。 AMD Ryzen 7 7735HS 8 コア 16 スレッド プロセッサーと 16 GB の LPDDR5 RAM (ユーザーによるアップグレードは不可) を誇ります。ただし、プリインストールされた 512GB NVMe ドライブは、より大きなドライブに交換することができ、必要に応じて追加のストレージ用に 2 つ目の NVMe スロットがあります。
ホームラボの安全性は自分で作るほど高くなります
私はホームラボが大好きですが、ホームラボを運営する際の最大の問題の 1 つは、そのセキュリティを担当することです。自分が何をしているのか分かっていれば、それほど大したことではありません。ただし、ホームラボの安全性に関しては、初心者が間違いを犯す可能性があります (実際に間違います)。
結局のところ、ホームラボの安全性について疑問がある場合は、できるだけ少ないポートを開き、デフォルトのパスワードを変更するほうが賢明です。これら 2 つのことを実行するだけであれば、少なくとも VPN や Authentik のようなスタックを設定し、サービスを強化する方法を学ぶまでは、ホームラボはかなり安全になるはずです。