カテゴリー : 2006年 12月

DNSサーバ構築。

NTTのひかり電話を使うときに必要なルータ「RT-200NE」はNAPTされたあとのプライベートIPから自分のグローバルIPを参照できないので、外部に公開するDNSサーバと自宅内で使うDNSサーバを別にする必要がある。

今回の構成ではApacheの設定でネームベースのヴァーチャルドメインを使う予定だからこれは必須。
ってことで早速構築。
Fedora Core 6にはBINDがrpmで提供されてるんだけど、なんとなく設定が煩雑になりがちなBINDはあまり好きじゃないし、MTAにqmailを使うつもりなので同じ作者(D.J.Bernstein氏)が作ったdjbdnsを利用することにした。
続きを読む

daemontoolsの導入。

サービスがダウンしたらすぐに再起動するツールをインストールする。

常にサービスの死活を監視し、落ちたらすぐに再起動するdaemontoolsはqmailやdjbdnsととても相性が良い。
作者はやはりD. J. Bernstein氏で、同ソフトは作者のページからダウンロードすることができる。
sshやftpのサーバについても制御することができる。

続きを読む

tcpserverの導入。

メールサーバやDNSサーバの起動にtcpserverを利用すると、IPアドレスや、ドメイン名でのアクセス制御ができるようになる。

作者が同じqmail用のスパム対策用プログラムも添付しているが、現在は利用されていないようだ。
今回は、一応いつでも使えるように、パッチ当ては行っておくこととする。

tcpserverはD. J. Bernstein氏のページからダウンロードすることができる、「ucspi-tcp」に含まれる。

続きを読む

アンチウィルスソフトの導入。

今や常識となりつつあるウィルス検知ソフトを導入する。

Clam AntiVirusはシグネチャによるパターンマッチング方式を採用しており、2006年12月27日の時点で約85,000種類のウイルスに対応する、GPLライセンスに従って利用することができるオープンソースのソフトウェアだ。
qmailやpostfix、sendmailなどと連携してウィルス検知を行うこともできる。
続きを読む

改竄検知システム導入。

有名なのはTripwireかもしれないけど、ここでは昔から使い慣れたaideを導入する。

aideではコンフィグファイルに記述することで、どのファイル、ディレクトリについてどのような検知方法をするかを設定することができる。
改竄されてから導入しても意味がないので、aideやTripwireはインストールしたらすぐに導入するのがいいだろう。

続きを読む

データベースを使う。

WebサーバでPHPとMySQLを使うため、データベースサーバの設定を行う。

Fedora Core 6ではPHPとMySQLを連動させるために、php-mysqlというパッケージが必要になる。
また、MySQLにパスワードを設定する場合は、mod_auth_mysqlというパッケージが必要になる。
今回は、データベースが動く状態にするだけとして、ApacheやPHPとの連携については後述することにする。
続きを読む

不要なサービスを止める。

今回構築しているサーバはNAPT環境であり、さらに、iptablesで制御しているため、サービスが起動しているためにセキュリティホールになることはあまり考えられないが、メモリの無駄遣いにもなるので不要なサービスは止めることにする。

まず、自動起動される設定になっているサービスを調べ、自動起動する設定になっているサービスの必要、不要を判断し、不要な物を停止する。
続きを読む

システムの時間を合わせる。

パソコンの時間は毎日ちょっとづつずれる。

1日では0.1秒でも10日で1秒・・・という具合に・・・。
そもそも、インストール時にちゃんとあわせたつもりでも実際には、2~3秒ずれてることもしばしばだ。
って言うことで、ちゃんとGPSで調時された時計と時間を合わせる。
障害が発生した際などはこのシステム時間って言うのが結構重要になってくるから何時間もずれたままっていうのは極力避けたほうが良い。

今回は、一番最初は手動で合わせ、その後は自動的に合わせるようにする。
続きを読む

rootになれるユーザを制限。

2006/12/25sshでの接続をdsa認証のみにするだけでもかなりセキュリティレベルが向上すると思うけど、rootになれるユーザを特定のユーザのみと制限することで更なるセキュリティ向上を試みる。

たとえば、Webサーバのセキュリティホールをついてハッキングされた場合など、侵入者はapache:apacheのユーザ権限を持っています。
その後、rootの権限を取得するわけですが、特定のユーザからしかrootになれないとなると、まず、rootになれるユーザを探さなければならなくなり、セキュリティレベルが向上するわけです。

続きを読む

カーネルの入替え。

Fedora Core 6のインストーラにはバグがあるらしく、バージョンアップしたときや、まれに新規インストールの場合でも本来i686のカーネルがインストールされるべきシステムにi586のカーネルがインストールされてしまうことがある。
インストールされるべき自分が今使っているシステムのアーキテクチャを調べるには、以下のコマンドを用いる。

$ uname -m
i686

続きを読む