- openVPN
どうやら ネットワークのホスト設定のlocalhost は ::1 ではなく 127.0.0.1 じゃないとだめみたい。pingすらも駄目だし・・・気づけ>俺
で次に ポートのアクセス権がねーよ!ってSELinuxに怒られた。semanage port -a -p tcp -t openvpn_t 7505 ってやると良いみたい。SETroubleShootツールを入れておくと解決が早くていいね。ポート7505は管理用に設定した値です。
でもまだだめ、さらに setsebool -P openvpn_disable_trans=1 ってやって次へ
・・・・諸々の理由により断念。
2007年3月31日土曜日
ふぇどら~日記 其の7
飽きずに設定続行
2007年3月26日月曜日
ふぇどら~日記 其の6
はいはいつづきね・・・
- SnortSnarf + 日本語化
Snortの結果をWebで確認できるツール
またハマッタw。原因は文字エンコード指定方法。
Apache2の圧縮通信化を有効にしていると、Metaタグでの文字コード指定が有効にならないらしい。なんじゃそりゃ。どうやらHTTPヘッダに指定しないとだめらしい。なんか自業自得だよな。
で、/etc/httpd/conf.d/snort.conf のの中に AddDefaultCharset Shift_JIS を追加して、HTTPOutput.pmに追加してたMetaタグを削除。ついでにOinkmasterをインストール。自動的にルールファイルをアップデートしてくれる。cronに登録して終了。
2007年3月25日日曜日
ふぇどら~日記 其の5
今日も引き続きサーバの設定三昧
- cpan2rpm
Perlモジュールを簡単にインストールできるものらしい - OpenSSH+Chroot
折角設定したOpenSSHをさくっとさよならして、インストール&設定。何が出来るものかというと外部からのログインを鍵方式のみに限定して、場合によってはホームディレクトリ以外に移動できないように設定できるもの・・・らしい。 - Trac + Subversion + Apache2
yum install apache subversion trac mod_dav_svn mod_python mod_ssl
で、設定を始めたらハマッタ・・・結論から言うとSELinuxの設定だった。あぼーん
SELinuxのデフォルトの設定のままだと、apacheユーザのアクセスできるのは/var/wwwの下だけになっているようだ、だからTracもSubversionもその下に作ってアクセス権限を設定する必要がある。ここで言うアクセス権限はパーミッションではなくてSELinuxの方である。
ls -Z * とかすると見慣れない文字列(system_u:object_r:httpd_sys_content_t)があると思いますがそれです。これによってアクセスが制限されます。ただし、/var/wwwの下にディレクトリを作成してもきちんと設定されていないので、restorecon -R /var/www/svn とかやって正しい属性を付け直す必要がある。本当はきちんとアクセス制限の設定をカスタマイズすればいいのだが、穴作っちゃうとやなので(メンドウだからじゃないよ!ぅぅ) /var/wwwの下にapache2からアクセスするものを作っちゃうことに決定!あ、あと書き込みが発生するのでパーミッションの方も chown -R apache:apache /var/www/svn とかで全てのパーミッションを設定した。
あとApacheの設定ファイルをいじったら apachectl configtest を忘れずに。 - Apacheの圧縮通信対応
mod_deflate モジュール設定でクライアントとの圧縮通信に対応させる。 - メールサーバ
やっぱり立てることにした。Postfix + Dovecot + アンチスパムとか
メール保存方式を Maildir/ に変更。その他に踏み台にされないように認証SMTPに設定。
ついでにPostfixログ解析ツールを導入。
そうそう、Maildir/ 形式にはmailとmailxコマンドは対応していないのですね。はいはいそうですよ、私が悪うございますよ。ごめんねそんなことも知らなくて。でMuttを使うことに。
set move=no と set spoolfile="~/Maildir" を設定した - ログ監視ツール
SWATCHを導入。特定の条件を満たすと、IPをブロックするなどの設定が可能みたい。 - 不正アクセス検知システム
Snortというらしい。設定にハマッタ。
パッケージマネージャからインストール。snort-2.6.1.1-4.fc6.i386を使用
snortrules-pr-2.4.tar.gz と Community-Rules-2.4.tar.gz(似たような名前の物があるので注意) を解凍して/etc/snort/rulesを作成してその下に解凍したrules下のファイルを全部移動。
/etc/snort/snort.confを編集
var HOME_NET 192.168.1.0/24
var EXTERNAL_NET !$HOME_NET
var RULE_PATH /etc/snort/rules
以上を設定しただけでは駄目だった。soが読めんと怒られる。
ln -s /usr/lib/snort/dynamicengine /usr/lib/dynamicengine
で読めるようにリンクをはる。さらに778行あたりのdcerpcがしらねーよっ!て怒られるので
preprocessor dcerpc: \ 以下4行をコメントアウトした。いいのか?
2007年3月21日水曜日
ふぇどら~日記 其の4
さあ今度はサーバ本体の設定っすよ~
- ディスプレイの解像度
1280×1024の数百万の色。数百万の色って・・・そんなところがす・き・さ・っ! - ネットワーク
IPとかはDHCPで自動取得なので設定なし。DNSのホスト名だけlocalhost:localdomainからダイナミックDNSで取得しておいたフルドメイン名に変更。いいのかこれで?
さらにホストにIP ::1 (なんかIPV6ではローカルIPはこう設定するのね)にサーバ名とフルドメイン名の2つを追加登録。設定すると再起動を迫られる。 - SSH
ま、デフォルトでインストールされているので設定だけすればよいです。らく~
でサーバ上からslogin root:localhost でログイン。でけた
調子こいてWindowsからWinSCPでログイン・・・でけ・・・なぃ・・・ぎゃふん
なんてことはないセキュリティレベルのファイアウォールの設定でSSHが信頼できるサービスチェックをしていなかっただけ。再チャレンジ・・・でけた!
ここで、さすがにrootログインはまずいやろと思て、/etc/ssh/sshd_config の PermitRootLogin no にしてrootでのログイン禁止。うへへ。SSHDを再起動。 - ウィルス退治用
ウィルス対策としてClam AntiVirusを使うことに。clamav、clamav-server、clamav-updateをインストール。勝手に依存関係を調べてくれる・・・便利やのう。
早速最新のウィルス定義に更新しようと freshclam を実行すると WARNING: Your ClamAV installation is OUTDATED! だって・・・アップデートしてもだめ。でも親切に「おちつけ!http://www.clamav.net/faq.htmlを見ろ」って言われたので見てみるとなんと日本語ですよ!すばらしい!。でもとりあえずほっとこう。おぃ! - TripWire
ファイル改竄検知システムだそうな。物騒な名前が付いてる。
インストールはGUIツールでやった。
/etc/tripwire/に移動してサイトキー、ローカルキーを作って、設定ファイルをいじった。メール関連の設定値はとりあえずそのまま。またかよ・・・
ポリシーファイルを今のファイルの状態で設定してくれるPerlスクリプトを見つけて適応
設定ファイル、ポリシーファイルをサイトキーで暗号化
元のプレーンテキストな設定ファイル、ポリシーファイルは削除。コマンドで復元できる
yumでインストールすると出来るcrontabの実行ファイルをばっさり削除
rootの下に新たに実行スクリプトを作成してcrontabに登録
しかし、こんな手順を最初にやった人はどうやって調べたのだろうか・・・まったく偉大なる先人様様ですよ。ありがたや~ありがたや~ - iptables
まあ、ルーターの内側で運用するので必要性は薄いが、外で運用することになった場合を想定して設定しておくことにする。あとは中国と韓国のIPは全て弾く設定にした。ぼくちゃん初心者なのでいじめられないようにね。ぷにゅ
ふぇどら~日記 其の3
今日は設定をバシバシッ!やっていくぞ~
- ルーター
とりあえずサーバーはルーターの中で運用することにした。こらそこっ!ヘタレとか言うな!
で、ダイナミックDNSでうはうはの予定。後々の為にルーターのDHCPはサーバに固定IPを振るように設定。ウチのLINKSYS製のルーターはダイナミックDNSに対応しているので便利。うほっ! - ダイナミックDNSアカウントの取得
アカウントはdyndns.comで取得。ドメイン名はテケトウ。まあしばらく(永遠に?)一般公開するつもりは無いので。えへっ。でルーターちゃんに設定していたら、最初ドメイン名をサーバー名しか書かなかったら名前が不正ですとか怒られて、しょうがないからフルドメイン名でいれたら、こんどは更新過多なんだYo!って怒られた。しくしく。ためしにpingとかドメイン名で叩くときちんと設定したIPに接続にいくのでいいんでないですか?
ふぇどら~日記 其の2
さて、ふぇどら~をインストールするにあたり、丸腰というのはアレなので
つよーい味方を用意しました。その名も専門書!
それも2冊!
とはいえ、実は本を買う前に分けもわからず2回ほどインストールして自ら人柱となっていたのでした!なんと献身的な!
い~んだよ、サードマシンにインストールしようとして延べ25時間も無駄にしたなんて誰にも言えんし・・・
ふぇどら~日記 其の1
さー始まりましたふぇどら~日記!
ふぇどら~とはなんぞや?
正式名称は Fedora Core ってゆうLinuxディストリビューションの名前です。
RedHat の後継となるらしい・・・
とあるサークルの野望のためのサーバーを立てる奮闘記となる予定
で、既にPC本体は調達済みでふぇどら~もインストール済みなのだ
PCはネオサードマシンを使用してます。なぜにネオなのかと申しますと、
もはやケース以外は電源までも換装しているからなのです。
今となってはセカンドマシンを超えているという噂も・・・
それはさておき、備忘録を兼ねてサーバー構築の血と汗と号泣の結晶を
ソコハカトナクカキツクル”一大巨編”のはじまりはじまり~
ふぇどら~とはなんぞや?
正式名称は Fedora Core ってゆうLinuxディストリビューションの名前です。
RedHat の後継となるらしい・・・
とあるサークルの野望のためのサーバーを立てる奮闘記となる予定
で、既にPC本体は調達済みでふぇどら~もインストール済みなのだ
PCはネオサードマシンを使用してます。なぜにネオなのかと申しますと、
もはやケース以外は電源までも換装しているからなのです。
今となってはセカンドマシンを超えているという噂も・・・
それはさておき、備忘録を兼ねてサーバー構築の血と汗と号泣の結晶を
ソコハカトナクカキツクル”一大巨編”のはじまりはじまり~
登録:
投稿 (Atom)