ふぇどら～日記 其の５

今日も引き続きサーバの設定三昧

• cpan2rpm
  Perlモジュールを簡単にインストールできるものらしい
• OpenSSH+Chroot
  折角設定したOpenSSHをさくっとさよならして、インストール＆設定。何が出来るものかというと外部からのログインを鍵方式のみに限定して、場合によってはホームディレクトリ以外に移動できないように設定できるもの・・・らしい。
• Trac ＋ Subversion ＋ Apache2
  yum install apache subversion trac mod_dav_svn mod_python mod_ssl
  で、設定を始めたらハマッタ・・・結論から言うとSELinuxの設定だった。あぼーん
  SELinuxのデフォルトの設定のままだと、apacheユーザのアクセスできるのは/var/wwwの下だけになっているようだ、だからTracもSubversionもその下に作ってアクセス権限を設定する必要がある。ここで言うアクセス権限はパーミッションではなくてSELinuxの方である。
  ls -Z * とかすると見慣れない文字列（system_u:object_r:httpd_sys_content_t）があると思いますがそれです。これによってアクセスが制限されます。ただし、/var/wwwの下にディレクトリを作成してもきちんと設定されていないので、restorecon -R /var/www/svn とかやって正しい属性を付け直す必要がある。本当はきちんとアクセス制限の設定をカスタマイズすればいいのだが、穴作っちゃうとやなので（メンドウだからじゃないよ！ぅぅ） /var/wwwの下にapache2からアクセスするものを作っちゃうことに決定！あ、あと書き込みが発生するのでパーミッションの方も chown -R apache:apache /var/www/svn とかで全てのパーミッションを設定した。
  あとApacheの設定ファイルをいじったら apachectl configtest を忘れずに。
• Apacheの圧縮通信対応
  mod_deflate モジュール設定でクライアントとの圧縮通信に対応させる。
• メールサーバ
  やっぱり立てることにした。Postfix ＋ Dovecot ＋ アンチスパムとか
  メール保存方式を Maildir/ に変更。その他に踏み台にされないように認証SMTPに設定。
  ついでにPostfixログ解析ツールを導入。
  そうそう、Maildir/ 形式にはmailとmailxコマンドは対応していないのですね。はいはいそうですよ、私が悪うございますよ。ごめんねそんなことも知らなくて。でMuttを使うことに。
  set move=no と set spoolfile="~/Maildir" を設定した
• ログ監視ツール
  SWATCHを導入。特定の条件を満たすと、IPをブロックするなどの設定が可能みたい。
• 不正アクセス検知システム
  Snortというらしい。設定にハマッタ。
  パッケージマネージャからインストール。snort-2.6.1.1-4.fc6.i386を使用
  snortrules-pr-2.4.tar.gz と Community-Rules-2.4.tar.gz（似たような名前の物があるので注意） を解凍して/etc/snort/rulesを作成してその下に解凍したrules下のファイルを全部移動。
  /etc/snort/snort.confを編集
  var HOME_NET 192.168.1.0/24
  var EXTERNAL_NET !$HOME_NET
  var RULE_PATH /etc/snort/rules
  以上を設定しただけでは駄目だった。soが読めんと怒られる。
  ln -s /usr/lib/snort/dynamicengine /usr/lib/dynamicengine
  で読めるようにリンクをはる。さらに778行あたりのdcerpcがしらねーよっ！て怒られるので
  preprocessor dcerpc: \ 以下4行をコメントアウトした。いいのか？