セキュリティの基本
最小権限の原則とは、ユーザーやデバイスに、タスクの実行に必要な最小限のアクセスのみを付与し、それ以上は与えないことです。このアプローチは、侵害されたアカウントや誤操作による潜在的な被害を抑え、ゼロトラストモデルを含む現代のセキュリティにおける中核的な概念です。Unraid の設定全体、特に共有ユーザーの作成や権限の割り当てで、この原則を適用してください。
共有フォルダーへのアクセス制御
ネットワークファイル共有プロトコルの選択
ホームやオフィスのネットワーク上で Unraid サーバーとファイルを共有する場合、接続方法についていくつかの選択肢があります。Unraid は、デバイス同士の通信を助ける通信プロトコルと呼ばれる一般的な方法をサポートしています。
| プロトコル | 主な用途 | 利点 | 欠点 | 推奨される使用例 |
|---|---|---|---|---|
| SMB (Server Message Block) | ネイティブの Windows/macOS 統合 | Windows の標準サポート。プリンターと VM ストレージをサポートし、大きなファイルでも高速 | 古いバージョン(SMBv1)は安全ではない。小さなファイルでは遅い | Windows と Mac のネットワーク。混在したリソース環境(プリンター、VM) |
| NFS (Network File System) | ネイティブの Unix/Linux 統合 | Linux/Unix 向けに最適化。小さなファイルで効率的。オーバーヘッドが低い | Windows では追加ツールが必要。ネットワークの信頼性が重要。ロック機能が限定的 | Linux および Unix 環境。小さなファイル操作。静的なデータワークロード |
| FTP (File Transfer Protocol) | クロスプラットフォームの互換性 | 汎用的なクライアントサポート。簡単なセットアップ。バッチファイル転送 | 暗号化のない平文プロトコル。資格情報は暗号化されずに送信される。時代遅れのセキュリティ | 機密性のない転送やレガシー転送のみ。安全なファイル転送には FTPS(TLS による FTP)または SFTP(SSH による FTP)を使用してください |
Unraid のバージョン 6.9 以降、AFP (Apple Filing Protocol) のサポートは削除されました。Time Machine バックアップなどを含め、Mac コンピューターが Unraid サーバーと問題なく連携できるようにするには、Settings → SMB に移動して Enhanced macOS interoperability をオンにしてください。
使用するプロトコルの選択は、使用するデバイスの種類とファイルに対して何をしたいかによって決まります。既定では、Unraid は現代の Windows および macOS システムで広くサポートされているため、SMB を有効にします。NFS と FTP はオフになっていますが、必要に応じて有効にできます。
たとえば、FTP クライアントを使って Unraid サーバーに接続すると、大きなファイルを簡単に転送でき、必要に応じてアップロードやダウンロードを一時停止して再開することもできます。
共有のネットワーク上での表示を管理する
Unraid では、ネットワークフォルダー(共有)へのアクセス権を次のように設定できます:
-
Shares タブへ移動: まず、WebGUI の Shares タブをクリックします。
-
共有を選択: 調整したい既存の共有を選びます。
-
セキュリティ設定までスクロール: 共有設定ページの下部に、有効になっている各ネットワークプロトコルのセキュリティオプションのセクションがあります。
-
公開設定を調整: この設定は、共有がネットワーク上でどのように表示されるかを制御します。選択肢は 3 つあります:
- Yes: 共有は表示され、ネットワークを閲覧している人なら誰でもアクセスできます。
- Yes (Hidden): 共有はネットワークの参照リストには表示されませんが、共有名を知っている人は引き続きアクセスできます。
- No: 共有は完全に非表示で、その特定のプロトコルではアクセスできません。
これらのオプションを調整することで、各共有を誰が見てアクセスできるかを管理でき、必要な人に必要なアクセスを確保しながら、SMB、NFS、または FTP 接続を使用する場合でも、全体のセキュリティを維持しやすくなります。
共有の権限を設定する
共有セキュリティは、システム上でユーザーが共有ファイルにどのようにアクセスするかを制御します。ファイルへのアクセスにユーザー名とパスワードを必須にする、読み取り専用に制限する、あるいは資格情報なしで完全に公開するように設定できます。
Unraid サーバーに movies 共有を作成する場合、データの読み取りだけに有効なユーザー名とパスワードを要求するか、公開アクセスを許可するかを選べます。ユーザーを追加する必要がある場合は、root user が User management の手順に従って共有ユーザーを作成できます。
Shares タブに移動して共有を選択すると、設定内容が表示されます。そこにはセキュリティセクションがあり、有効にしているプロトコルに基づいて アクセス権 を管理できます。これにより、必要に応じて誰がファイルにアクセスできるかを調整できます。
Security 設定には次のオプションがあります:
| 種類 | 説明 | 一般的な使用例 |
|---|---|---|
| Public | オープンアクセス: 誰でもこのフォルダーを読み書きできます。 | 共有メディアや公開ダウンロードなど、機密性のない情報に適しています。 |
| Secure | 制限付きアクセス: 誰でも読み取りはできますが、書き込みできるのは一部のユーザーのみです。 | チームフォルダーのように共同作業が必要な共有プロジェクトに適しています。 |
| Private | 制限付きアクセス: 特定のユーザーだけが読み書きできます。 | 財務記録や個人文書など、機密性の高い情報に最適です。 |
最新の Windows(Windows 10 1709 以降、Windows 11、Server 2019 以降)は、より厳格なセキュリティポリシーのため、既定で Public(ゲスト/匿名)SMB 共有へのアクセスをブロックします。公開共有への接続を試みると、Windows の設定で安全性の低いゲスト ログオンを手動で有効にしない限り、通常は失敗します。これはセキュリティ上の理由から推奨されません。
ベストプラクティス: Unraid の共有用にユーザーアカウントとパスワードを設定し、Windows からの確実なアクセスのためにその資格情報で接続してください。
資格情報の制限: Windows では、1 つのサーバーに対して同時に使用できるログイン資格情報は 1 セット మాత్రమేです。 同じサーバー上の別の共有に異なる資格情報で接続しようとすると、接続は失敗します。
回避策: 資格情報の問題が発生した場合は、1 つの共有にはサーバー名を使って、別の共有には IP アドレスを使って接続してみてください。Windows では、これらは別々のサーバーとして扱われます。
詳細については、Microsoft の SMB ゲスト アクセスに関するドキュメント を参照してください。
ネットワークセキュリティ
強力な root パスワードを設定する
インストール後に WebGUI に初めてアクセスすると、root user のパスワードを設定する必要があります。ただし、Unraid ではパスワード強度の要件は強制されません。サーバーのパスワード保護の程度は、ユーザー自身が決める必要があります。
- Users タブに移動し、root user を選択して、パスワードを設定します。
- リアルタイムで強度を確認するために、Community Apps の Dynamix Password Validator プラグインの使用を検討してください。
- 追加のガイダンスについては、オンラインで提供されている Bitwarden のパスワード強度ツール を確認してください。
ポートフォワーディングを見直し、最小限にする
ルーターから Unraid サーバーへポートを転送することは、サービスへのリモートアクセスに必要な場合がありますが、ネットワークを大きなリスクにさらします。完全に理解しており、必要なポートだけを転送してください。
| ポート | 典型的な用途 | セキュリティリスク | より安全な代替手段 |
|---|---|---|---|
| 80 / 443 | WebGUI (HTTP/HTTPS) | 管理インターフェースを公開します。パスワードが弱い場合、傍受やブルートフォース攻撃のリスクがあります | リモートアクセスには Unraid Connect または VPN を使用してください。なお、Unraid Connect には WAN ポートフォワーディングまたは UPnP が必要です(常時接続のクラウドリレーではありません) |
| 445 | SMB (ファイル共有) | 共有をインターネットに公開します。データの盗難や削除のリスクがあります | 安全なリモートファイルアクセスには VPN を使用してください |
| 111 / 2049 | NFS | NFS 共有を公開します。SMB と同様のリスクがあります | リモートアクセスには VPN を使用してください |
| 22 / 23 | SSH/Telnet | コンソールアクセスを公開します。ブルートフォース攻撃や資格情報の盗難のリスクがあります | SSH 鍵または VPN を使用してください。Telnet は絶対に転送しないでください |
| 57xx | VNC for VMs | VM のコンソールを公開します。不正なリモートアクセスのリスクがあります | Unraid Connect または VPN を使用してください |
理解できないポートフォワーディングルールを見つけたら、削除して問題がないか監視してください。必要であれば、いつでも再追加できます。
サーバーをネットワークの DMZ に配置しないでください。Unraid サーバーを DMZ に置くと、すべてのポートがインターネットに公開され、侵害のリスクが大幅に高まります。強力なパスワードを使用していても、これは決して推奨されません。
共有アクセスのセキュリティ
共有の表示と権限を制御する
- WebGUI の Shares タブを使用して、各共有の公開設定とセキュリティ設定を行います。
- 機密データには Private または Secure 共有を推奨します。Public 共有はネットワーク上の誰でもアクセスでき、セキュリティ上の理由から最新の Windows では既定でブロックされます。
- 各ユーザーアカウントには、その役割に必要な権限だけを割り当てます(最小権限)。
- 可能な限り、共有アクセスを特定のユーザーに制限します。
ユーザー権限を慎重に割り当てる
- 必要に応じて、ユーザーを共有に対して読み取り専用または読み取り/書き込みアクセスで割り当てます。
- root user アカウントはシステム管理用であり、ネットワーク共有にはアクセスできません。ネットワーク共有へのアクセスには専用のユーザーアカウントを作成してください。
- 定期的にユーザー権限を確認し、使用していないアカウントを削除します。
共有アクセスを Private または読み取り専用に制限する
パスワードなしで共有にアクセスできるのは便利ですが、ローカルネットワーク上のデバイスが侵害された場合、データが危険にさらされる可能性もあります。これには、PC、Mac、モバイルデバイス、IoT デバイスが含まれます。既定では、Unraid の共有は公開の読み書き可能に設定されているため、ネットワーク上のどのデバイスでも、侵害されればファイルを盗んだり、削除したり、暗号化したりできる可能性があります。さらに、悪意のあるユーザーが望ましくないデータをサーバーにアップロードすることもあります。
- WebGUI の shares タブで、機密性の高い共有を Private に設定します。
- Public 共有が必要な場合でも、可能な限り Read-only に設定します。
- 書き込みアクセスは、強力なパスワードを持つ認証済みユーザーのみに付与してください。
ブートデバイス共有を公開しないでください - または非公開に設定してください
Unraid のブートデバイスには、重要なシステムファイルと設定ファイルが含まれています。詳細な設定のためにその SMB 共有を公開することは便利かもしれません(7.3.0 以降では、WebGUI でボリュームが Boot device と表示されていても、ディスク上では多くの場合まだ flash という名前のままです)が、公開されたままにしておくと重大なリスクが生じます。
- その共有は、どうしても必要な場合にのみ公開し、Private に設定してください。
- アクセスにはユーザー名と強力なパスワードを必須にします。
- 使用しないときは共有を削除または無効化して、リスクを減らします。
サーバーを最新の状態に保つ
定期的な更新はセキュリティに不可欠です。新しい脆弱性(CVE)は頻繁に見つかり、Lime Technology は Unraid OS 向けに積極的にパッチを提供しています。更新は、実際に適用して初めて効果があります。
- WebGUI の Tools → Update OS で更新を確認します。
- Settings → Notifications で通知を有効にすると、更新が利用可能になったときに通知を受け取れます。
- Apps タブからプラグインと Docker コンテナを更新し、すべてのコンポーネントが安全かつ互換性のある状態を保ちます。
- 既知の脅威からサーバーを保護するため、更新は速やかに適用してください。
リモート管理には安全な方法を使用する
WebGUI をインターネットに直接公開しないでください。代わりに、安全なリモートアクセスソリューションを使用します:
- Tailscale は、Unraid 用の専用プラグインがある推奨 विकल्पです。ポートを公開したり複雑なファイアウォールルールを構成したりせずに、どこからでもサーバーやサービスにアクセスできる安全なプライベートネットワーク(tailnet)を作成します。
- WireGuard VPN は Unraid に組み込まれており、リモート管理のための安全で暗号化されたトンネルを提供します。
- OpenVPN はプラグインまたは Docker コンテナとして利用できます。
- 多くの最新ルーターには VPN サポートが組み込まれています。設定方法はルーターのドキュメントを確認してください。
- Unraid Connect プラグインは WebGUI へのリモートアクセスを可能にしますが、ルーターでポート転送を設定する必要があります。
* "WireGuard" と "WireGuard" のロゴは Jason A. Donenfeld の登録商標です。