概要
さくらのVPS(とさくらのクラウド) がSiteGuard Liteを追加インストールできるようになったようなので早速インストールして見ました。
インストールにちょっと癖があったのでメモ代わりにおいておきます。
SiteGuard Liteって?
https://www.jp-secure.com/product/siteguardlite/function/
ホスト型のWAF(※)でWeb上で動作するアプリケーションなどのL7への攻撃検知・防御や、
アクセス制御機構などを提供するものです。
Apache/nginxだけでなく Windows用WebサーバのIIS に対応しているとのことなので、
さくらのVPS for Windows Server でもためしてみます。
※ 注意書きを見る限り GW型を利用する場合には別途ご相談が必要だそうです。
マニュアルのダウンロード
から JP Secure SiteGuard Lite ご利用ガイド.pdf ダウンロードしました。
パスワードはコンパネに表示されるそうなので、そちらから確認しました。
※ パスワードは第三者に非公開らしいです。
※ マニュアルをパスワード化しているようでしたので、下記の手順は一部ぼかしています。
インストールしてみる
追加といいつつ、全部新規にインストールします。
Apache版 (CentOS 7)
★インストールは手順にないが、依存関係で必要らしいので追加インストール
[root@tk2-210-XXXXXXX ~]# yum install httpd glibc perl wget unzip openssl make file java mod_ssl
★追加パッケージのインストールする
[root@tk2-210-XXXXXXX ~]# wget http://XXXXXXX.sakura.ad.jp/siteguard/3.2.0/apache/siteguardlite-3.20-0.apache.x86_64.rpm
[root@tk2-210-XXXXXXX ~]# rpm -Uvh siteguardlite-3.20-0.apache.x86_64.rpm
★setup
[root@tk2-210-XXXXXXX ~]# cd /opt/jp-secure/siteguardlite/
[root@tk2-210-XXXXXXX siteguardlite]# ./setup.sh
★firewallの開通
[root@tk2-210-XXXXXXX siteguardlite]# firewall-cmd --add-port=9443/tcp
★GUIへ接続し、ライセンス更新
★CLIからurl更新
★WAF-TEST-SIGNATUREでの動作確認
nginx版 (CentOS 7)
nginx自体もコンパイルが必須なようです。(普段Apacheばっかり使ってるのでnginxのお作法から外れていたらすみません)
★インストール手順の記載はないが、必須コンポーネントらしいのでインストールしておく
[root@tk2-210-XXXXXXX ~]# yum install glibc perl wget unzip openssl make file java pcre-devel openssl-devel apr-devel apr-util-devel
★パッケージダウンロード
[root@tk2-210-XXXXXXX ~]# wget http://XXXXXXX.sakura.ad.jp/siteguard/3.2.0/nginx/siteguardlite-3.20-0.nginx.x86_64.tar.gz
★パッケージインストール
[root@tk2-210-XXXXXXX ~]# tar zxvf siteguardlite-3.20-0.nginx.x86_64.tar.gz
[root@tk2-210-XXXXXXX siteguardlite-3.20-0.nginx.x86_64]# make install
★nginx のダウンロード
[root@tk2-210-XXXXXXX ~]# wget http://nginx.org/download/nginx-1.13.1.tar.gz
★nginxのセットアップ
[root@tk2-210-XXXXXXX ~]# tar zxvf nginx-1.13.1.tar.gz
[root@tk2-210-XXXXXXX ~]# cd nginx-1.13.1/
[root@tk2-210-XXXXXXX nginx-1.13.1]# ./configure --add-module=/opt/jp-secure/siteguardlite/nginx --with-http_ssl_module
[root@tk2-210-XXXXXXX nginx-1.13.1]# make
[root@tk2-210-XXXXXXX nginx-1.13.1]# make install
[root@tk2-210-XXXXXXX nginx-1.13.1]# cd /opt/jp-secure/siteguardlite/
[root@tk2-210-XXXXXXX siteguardlite]# ./setup.sh
★ポート開放
[root@tk2-210-XXXXXXX siteguardlite]# firewall-cmd --add-port=9443/tcp
★GUIからライセンス更新
★CLIからシグネチャ更新
★WAF-TEST-SIGNATUREで検知できることを確認
IIS版 (For Windows Serve: WindowsServer2016)
★IISのインストール
「役割と機能」の追加から IISをインストールする
★Visual C++のインストール
https://www.microsoft.com/ja-jp/download/details.aspx?id=52685
★JDKのインストール
http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html
★SiteGuardのインストール
WEBブラウザ経由でexeファイルの取得
http://XXXXXXX.sakura.ad.jp/siteguard/3.2.0/iis/siteguardlite-3.20-0.iis.exe
★インストーラの実行
★ポート開放
インストーラーが起動するGUIの言われるがまま。
★GUIにアクセスしライセンス更新
★notepadでurl更新
★WAF-TEST-SIGNATUREで検知できることを確認
#感想
SiteGuardは普通に契約すると●●万のライセンス費用がかかるものなので、
700円でお試しできるのは良いですね。
インストールはそこまで難しくありませんでしたが、何も考えずにマニュアルの「導入手順」だけ実施してると依存パッケージのインストールを忘れたりするのでご注意ください。
nginxはコンパイルが必要なので、少し難易度が高いと感じましたがnginxユーザなら普通なのでしょうか。。。
IISについては Visual C++ 2015 を探すのが一番苦労しました。Bingででてくるのは 404 Not found ばかりで...
参考リンク
https://twitter.com/Wslash/status/877166788219346944
https://vps-news.sakura.ad.jp/2017/06/20/siteguardlite-install/
https://help.sakura.ad.jp/hc/ja/articles/115000012602?_bdld=3lp5Gu.lmqYqe6&_ga=2.24615034.1310637866.1497865814-1681780154.1456973642