https://ameblo.jp/kina-pom/ 勉強中のITネタを中心に…。ときどき話題はそれるかも ja MacOS Xでは以前はソースからインストールしていましたが、
どうもMacPortからインストールできるようになっている様子。

$ sudo port install valgrind
とすると次のエラーが出たのでメモ。

Error: No valid Xcode installation is properly selected.
Error: Please use xcode-select to select an Xcode installation:
Error: sudo xcode-select -switch /Developer/Applications/Xcode.app/Contents/Developer # version 4.5.1
Error:
Warning: xcodebuild exists but failed to execute
Warning: Xcode does not appear to be installed; most ports will likely fail to build.
（…以下省略…）

/ApplicationにXCodeがインストールされていない。
現状、XCodeは、/Developer/Applications/Xcode.appにインストールされている。
だから、
sudo xcode-select -switch /Developer/Applications/Xcode.app/Contents/Developer
を実行してスイッチしななさいとのこと。

$ sudo xcode-select -switch /Developer/Applications/Xcode.app/Contents/Developer
$ sudo port install valgrind
でほどなく解決。

いや、ここまで丁寧にエラーが出てくれるととても助かります。

あとは、
$ valgrind --leak-check= full
とかで、メモリリークのチェックができます。

メモリリークが発生していると次のようなレポートになります。

（…省略…）
==52218== HEAP SUMMARY:
==52218== in use at exit: 10,337 bytes in 42 blocks
==52218== total heap usage: 42 allocs, 0 frees, 10,337 bytes allocated
==52218==
==52218== 159 (32 direct, 127 indirect) bytes in 1 blocks are definitely lost in loss record 7 of 13
==52218== at 0xC713: malloc (vg_replace_malloc.c:274)
==52218== by 0x100000C0D: create (in ./island2)
==52218== by 0x100000D6E: main (in ./island2)
==52218==
==52218== LEAK SUMMARY:
==52218== definitely lost: 32 bytes in 1 blocks
==52218== indirectly lost: 127 bytes in 7 blocks
==52218== possibly lost: 0 bytes in 0 blocks
==52218== still reachable: 10,178 bytes in 34 blocks
==52218== suppressed: 0 bytes in 0 blocks
==52218== Reachable blocks (those to which a pointer was found) are not shown.
（…省略…）


メモリリークが発生していないと次のようなレポートになります。

（…省略…）
==52237== HEAP SUMMARY:
==52237== in use at exit: 10,178 bytes in 34 blocks
==52237== total heap usage: 42 allocs, 8 frees, 10,337 bytes allocated
==52237==
==52237== LEAK SUMMARY:
==52237== definitely lost: 0 bytes in 0 blocks
==52237== indirectly lost: 0 bytes in 0 blocks
==52237== possibly lost: 0 bytes in 0 blocks
==52237== still reachable: 10,178 bytes in 34 blocks
==52237== suppressed: 0 bytes in 0 blocks
==52237== Reachable blocks (those to which a pointer was found) are not shown.
==52237== To see them, rerun with: --leak-check=full --show-reachable=yes
==52237==
==52237== For counts of detected and suppressed errors, rerun with: -v
==52237== ERROR SUMMARY: 0 errors from 0 contexts (suppressed: 0 from 0)
]]> https://ameblo.jp/kina-pom/entry-11509013558.html Wed, 10 Apr 2013 23:20:05 +0900
・「ImageMagick」をインストール
・MovableTypeのインストール

・「ImageMagick」をインストール
CentOSではパッケージ化されているので、yumコマンドでインストールします。
ImageMagick関連の次のパッケージをインストールします。
・# yum -y install ImageMagick ImageMagick-devel ImageMagick-perl


・MovableTypeのインストール
まず、MovableTypeのオープンソース版を入手します。
現時点ではMTOS-5.2.3が最新版でした。ソースの保存先は/user/local/srcにします。
# cd /usr/local/src
# wget http://www.movabletype.org/downloads/stable/MTOS-5.2.3.zip


CGIディレクトリに移動し、ここにソースを展開します。
# cd /www/blog/cgi-bin
# unzip /usr/local/src/MTOS-5.2.3.zip


展開後は「MT」という名称にします。
また、展開したソースに含まれる「mt-static」というディレクトリに
静的コンテンツが含まれています。これをドキュメントルートに移動します。
さらに、ブログ専用のディレクトリをドキュメントルート内に作成します。
# mv MTOS-5.2.3 MT
# mv MT/mt-static /www/blog/html
# mkdir /www/blog/html/MT


続いてCGIを利用するためのパーミションの変更や所有権の変更を行います。
# chown -R :apache /www/blog/cgi-bin/MT
# chmod -R 775 /www/blog/cgi-bin/MT
# chown -R :apache /www/blog/html/mt-static
# chmod -R 775 /www/blog/html/mt-static
# chown -R :apache /www/blog/html/MT
# chmod -R 775 /www/blog/html/MT


これで、一応インストールは完了しました。
MTOSにはインストール内容をチェックツールがあります。
これにアクセスして内容をチェックします。
事前に、ApacheとMySQLを起動しておきます。
http://www.kina-pom.com/MT/mt-check.cgi


問題なければ、最後に「Movable Typeを利用できます」と表示されます。
なお、黄色でハイライト表示されている部分は不足しているPerlモジュールです。
ただし、多くはMovable Typeの特定の機能を利用するのに必要なものなので、
すでに利用できる状態でもこの表示はされます。


さて、チェックツールで動作できる状態が確認できたら、Movable Typeの設定をします。
/www/blog/cgi-bin/MT/mt-config.cgi.originalが設定ファイルです。
ファイル名をmt-config.cgi.originalからmt-config.cgiに変更し、
次の個所を修正します。
・CGIPath http://www.kina-pom.com/cgi-bin/MT
・StaticWebPath http://www.kina-pom.com/mt-static
・Database MT
・DBUsesr mtuser
・DBPassword mtpass
・DefaultLanguage ja


これで作業が完了したので、
http://www.kina-pom.com/cgi-bin/MT/mt.cgi
にアクセスして利用できるか確認します。

]]> https://ameblo.jp/kina-pom/entry-11476031804.html Fri, 22 Feb 2013 13:37:45 +0900 続きを再開します。
今回は、とりあえずMySQLです。


MySQLのインストールと設定

1. インストール
# yum -y install mysql-server


2. 基本設定
/etc/my.cnfでデータベースの保存場所を変更します。
変更後は/var/MTとしました。
datadir="/var/MT"


MySQLサーバでは初回にデータベースを初期化する必要があります。
初期化には専用コマンドが用意されていますが、このとき「mysqlユーザー」で初期化するので、
オプションに「--user=mysql」を追加します。
# mysql_install_db --user=mysql



ここで、MySQLサーバを起動します。
# /etc/init.d/mysql start


初期状態だと、安全性が低いためパッケージにはパッチをあてるコマンドが用意されています。
これを実行して次のことを実施していきます。
・MySQLサーバの管理者パスワードの設定
・anonymousユーザーの削除
・rootユーザーによるMySQLサーバへのログインをローカルホストからのみに限定する
・データベース初期化時に作成された「test」データベースの削除

まず、パッチをあてるコマンドを実行します。
# /usr/bin/mysql_secure_installation


管理者ユーザーのパスワードを設定します。
その前に、現在の管理者ユーザーのパスワードを求められますが、
ここではまだ設定していないので、何も入力せず次に進みます。
次に、管理者パスワードを設定します。


anonymousユーザーを削除します。
Remove anonymous users ? [Y/n] Y

rootユーザーでのログインをローカルホストからに限定します。
Disallow root login remotely? [Y/n] Y


「test」データベースを削除します。
Remove test database and access to it? [Y/n] Y

権限が変更されたので、権限の再設定をします。
Reload privilege tables now? [Y/n] Y



3. 接続確認
MySQLへの接続確認を行います。
# mysql -u root -p


4. Movable Type用データベースの設定
Movable Type用のMySQLの設定をしていきます。
まずは、専用データベースを作成します。
# mysql -u root -p create MT
# mysqlshow -p　← 作成したデータベースの確認


MT専用のユーザーを作ります。ユーザー名は「mtuser」としました。
# mysql -u root -p
mysql > grant all privileges on MT.* to mtuser@localhost identified by "パスワード";
続けて作成したユーザーでMTデータベースに接続を試してみます。


]]> https://ameblo.jp/kina-pom/entry-11469514263.html Wed, 13 Feb 2013 08:45:41 +0900 MovableTypeにはMTOSというオープンソース版があり、個人利用に限って無償提供されています。

こちらから入手できます。
http://www.movabletype.jp/opensource/mtosdl.html

ブログサービスの構築にあたり次のようなサーバ構成にします。
・OS：CentOS 5系の最新版
　アカウント：root（管理者ユーザー）、workman（一般ユーザー）
・DNSサーバ：CentOSのパッケージbindの最新版
　権威ゾーン：kina-pom.com
・Webサーバ：CentOSのパッケージApacheの最新版
　http://blog.kina-pom.com/MTOSでブログにアクセスできるようにする
・DBサーバ：CentOSのパッケージMySQLの最新版
　アカウント：root（MySQL管理者ユーザー）、mtosuser（一般ユーザー）
　DB名：MTOS

※以前、記事で触れた内容については、画面は割愛いたします。

０．仮想環境構築
・VirtualBoxを利用
・仮想マシン名：MTOS
・ネットワーク接続：ブリッジ
・メモリ：512MB
・仮想マシンのストレージ：可変、8GB

１．OSのインストール
・インストール方法：linux text
・メディアテスト：スキップ
・言語：Japanese
・キーボード：jp106
・ディスクパーティション：自動パーティション（LVM）
　（Remove all partitions on selected drives and create default layout）
・ブートローダ：GRUB、オプションなし、パスワードはなし、インストール先はMBR
・eth0の設定：
　　ー Active on boot、Enable IPv4 Support
　　— IPアドレス設定：手動（Manual）、192.168.1.52 / 255.255.255.0
　　— Gateway：192.168.1.1（ルータのIPアドレス）
　　— Primary DNS：192.168.1.1、Secondary DNS：192.168.1.1
・ホスト名：h052
・タイムゾーン：Asia/Tokyo
・rootパスワード：*******
・インストールパッケージ：customize software selection
　　ー Base
　　— Editors
　　— Text-based Internet　　

-----インストール後の作業
Setup Agent（セキュリティなど）
Firewall Configurationを選択
・SecurityLevel→Disable
・SELinux→Disable
→ 起動後、上記がでない場合は、rootでログインして# setupコマンドで行う

カーネル／パッケージのアップデート
# yum -y update

一般ユーザーの追加
# useradd workman
# passwd workman

SSHの設定
あらかじめログインしたホストの公開鍵をサーバ側に登録
（クライアント側で）
# ssh-keygen -t rsa
# scp id_rsa.pub workman@192.168.1.52:/home/workman
$ ssh workman@192.168.1.52
（ログイン後）
$ mkdir ~/.ssh
$ chmod 700 ~/.ssh
$ mv id_rsa.pub ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys
（sshd設定）
# vi /etc/ssh/sshd_config
-------------------------------
PubkeyAuthentication yes
PermitRootLogin no
PasswordAuthentication no
PermitEmptyPasswords no
（sshd再起動）
# /etc/init.d/sshd restart

２. DNSサーバ
インストール
# yum -y install bind

/etc/named.conf
options {
　　directory "/var/named";
　　version "";
};
zone "." IN {
　　type hint;
　　file "named.root";
};
zone "localhost" IN {
　　type master;
　　file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" IN {
　　type master;
　　file "named.local";
}:
zone "kina-pom.com" IN {
　　type master;
　　file "kina-pom.com.zone";
};

rootキャッシュファイルの作成
# dig . NS @198.41.0.4 > /var/named/named.root

ゾーンファイルの作成
（localhost.zone）
# cp /usr/share/doc/bind-9.3.6/sample/var/named/localhost.zone /var/named
（named.local）
# cp /usr/share/doc/bind-9.3.6/sample/var/named/named.local /var/named
（kina-pom.com.zone）
# vi /var/named/blog.kina-pom.com.zone
--------------------------------------
$TTL　　　1D
$ORIGIN kina-pom.com.
@　　　IN　　SOA　　ns　　root (
　　　　　　　2013021201　　; Serial
　　　　　　　8H　　　　　　　; Refresh
　　　　　　　4H　　　　　　　; Retry
　　　　　　　1W　　　　　　　; Expire
　　　　　　　1D )　　　　　　 ; Minimum

　　　　IN　　NS　　ns
　　　　IN　　MX　　10　　smtp

ns　　　 IN　　A　　　192.168.1.52
smtp　 　IN　 A　　　192.168.1.52
h052　　IN　　A　　　192.168.1.52
blog　　IN　　CNAME　h053

named.conf構文チェック
# named-checkconf /etc/named.conf

kina-pom.com.zone構文チェック
# named-checkzone kina-pom.com. /var/named/kina-pom.com.zone

起動
# /etc/init.d/named start

確認
tail -20 /var/log/messages
dig @localhost kina-pom.com ns
dig @localhost kina-pom.com mx
dig @localhost ns.kina-pom.com
dig @localhost smtp.kina-pom.com
dig @localhost h052.kina-pom.com
dig @localhost blog.kina-pom.com
dig @localhost www.yahoo.co.jp

/etc/resolv.conf
nameserver 127.0.0.1


３．Webサーバ
インストール
# yum -y install httpd

設定
・ServerTokens
#ServerTokens OS
ServerTokens Prod

・ServerAdmin
ServerAdmin webmaster@kina-pom.com

・ServerName
ServerName blog.kina-pom.com

・DocumentRoot
#DocumentRoot "/var/www/html"
DocumentRoot "/www/blog/html"

#<Directory "/var/www/html">
<Directory "/www/blog/html">

・ScriptAlias
#ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
ScriptAlias /cgi-bin/ "/www/blog/cgi-bin/"

#<Directory "/var/www/cgi-bin">
<Directory "/www/blog/cgi-bin">

ドキュメントルート、CGIディレクトリの作成
# mkdir -p /www/blog/html　← 適当なindex.htmlを作成
# mkdir /www/blog/cgi-bin　← 適当なCGIスクリプトを作成

起動
# /etc/init.d/httpd start

確認
※任意の/www/blog/html/index.htmlを作成した上で
$ links http://blog.kina-pom.com/

※/www/blog/cgi-bin/test.cgiを作成した上で
$ links http://blog.kina-pom.com/cgi-bin/test.cgi

（test.cgiのパーミッションは755）
----------------------------
#!/bin/bash

echo "Content-type:text/plain"
echo ""

date
----------------------------


とりあえず、今回はここまで。 ]]> https://ameblo.jp/kina-pom/entry-11469369653.html Tue, 12 Feb 2013 20:25:56 +0900
ブートローダにおいてシングルモード（ランレベル１）で起動することで、rootのパスワードなしにroot権限でログインできてしまいます。

これを防ぐにはブートローダにパスワードを設定し、パスワードを入力しないブートローダを操作できないようにしたりします。
ただ、これには
・リモートホストからOSの再起動ができない
という問題点がありますので、どういう運用ポリシーにするかによってブートローダにパスワードを設定するか、しないかが変わってくると思います。

その前にランレベルについてです。
UNIX系OSの中でinit処理を実装したものにはランレベルというinit処理の動作を制御する設定があります。Linux系OSの場合、とくにRedHat系のOSでは次のようなランレベルがあります。
０：停止
１：シングルモード
２：マルチユーザー（ネットワークなし）
３：マルチユーザー（ネットワークあり）
４：未使用
５：ランレベル３およびXWindowシステム（いわゆるGUI）
６：再起動

ランレベルは/etc/inittabで設定するか、initコマンドまたはtelinitコマンドを使って変更します。
たとえば、rootユーザーで
# init 6
とコマンドを実行すると再起動します。

ここでは、ランレベル１について触れます。
ランレベル１はrootユーザーでのみログインできるモードで、システムに必要な最小限のアプリケーションだけが起動します。ネットワーク越しでの操作はできません。通常はメンテナンスや緊急時などでサーバを直接操作するときに利用します。（メンテナンスモード）
ここで問題なのはランレベル１で起動すると、rootユーザーで「強制的に」ログインしてしまうことで、この場合rootのパスワードは必要ありません。

そこで、ブートローダの操作ができればランレベルで起動することができてしまうので、表題にあるようなコンソールの横取りが可能となります。
といっても、このランレベルはネットワーク越しには利用できないので、サーバを直接操作できる人のみ可能ということになります。
手順は次のとおりです。

①ブートローダ画面で「a」と入力


②カーネルオプションに「linux sigle」を追加するとシングルモードで起動
　「linux 1」または「linux s」でも同じです。


③シングルモードで起動するとプロンプトが次のように「sh-3.2#」となります。
　つまり、ログインの必要なくrootユーザーで操作ができるようになります。



では、ブートローダ（GRUB）にパスワードを設定してみます。実は、これはOSインストール時にも設定できる内容ですが、以前OSのインストールをこのblogで行ったときは設定していません。
ただ、GRUBをMBR（Master Boot Record）にインストールしただけです。
設定は/etc/grub.confで行い、手順は次のようになります。

①/etc/grub.confで次のように設定します。は絶対に忘れないパスワードにします。
password=
title CentOS (2.6.18-348.el5)
　　　root (hd0,0)
　　　（…中略…）
　　　lock

②再起動すると次のように認証が求められますので何らかのキーを押します。


③GRUBの画面になります。このまま起動OSを選択した場合、まだ認証がされていないため②の画面に戻されます。そこで、画面下の説明にあるように「p」キーを押します。


④すると先ほど設定したGRUBのパスワードを入力できるようになるので、/etc/grub.confで設定したパスワードを入力します。


⑤再度、GRUBの画面に戻ります。今度は認証後なので起動OSを選択して起動できるようになります。また、画面下の説明文も先ほどと異なっている点にも注目したいです。


さて、これで一応GRUBにパスワードを設定できるようになりました。ただし、この場合/etc/grub.confに設定したパスワードが平文のままなのが気になります。もう少しセキュリティを高めたい場合は、GRUBのパスワードを暗号化します。これは、次のような手順になります。

①GRUBの画面で「c」キーを押してGRUBのコマンドラインに移行します。


②GRUBのコマンドラインで次のコマンドを実行します。
grub>md5crypt
Password:********　　　← パスワードを求められるので設定したいパスワードを入力
Encrypted:$1$x542……　　← 入力したパスワードを暗号化した文字列が表示される
grub>reboot　　　　　　← 再起動
ここで、重要なのは「Enctypted:$1$x542……」の「$1$x542……」です。これが暗号化後の文字列ですが、これを/etc/grub.confに設定しますので、この部分は画面キャプチャをとるか写真をとるかして記録しておいたほうが無難です。


③/etc/grub.confのパスワードに暗号化されたパスワードを設定します。ここではmd5で暗号化したのでパスワードの設定項目に「--md5」というオプションを付けます。ここで間違うと、またブートローダの認証ではじかれますので、慎重に確認しましょう。
password=--md5 $1$x542……



と、まあこんな具合にブートローダで認証を行うことなんかもできます。
]]> https://ameblo.jp/kina-pom/entry-11466512796.html Fri, 08 Feb 2013 22:21:28 +0900 vsftpdはCent OSにパッケージとして収録されていますので、yumコマンドでインストールします。
とりあえず、動作するというところを目標としています。

1.インストール
2.基本設定
3.起動
4.動作確認



1. インストール
yumコマンドでインストールします。
いつもどおり、
# yum -y install vsftpd
です。


2.基本設定
vsftpdの設定ファイルは/etc/vsftpd/vsftpd.confです。


基本設定としては次もものを設定しておきます。
・anonymousユーザー（匿名ユーザ）によるアクセスを拒否
anonymous_enable=NO



・chrootの設定
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
chroot_local_user=YES
→これにより/etc/vsftpd/chroot_listに記載されていないすべてのユーザーはchrootの対象となります。


・アクセス制御
userlist_deny=NO
userlist_enable=YES
→/etc/vsftpd/usrlistにないユーザーはアクセスを拒否されます。この設定ではユーザーがパスワードを入力する前にアクセスを拒否するため、ネットワーク上にアカウント情報を流しません。ユーザー名の入力だけは求められます。


・/etc/vsftpd/chroot_listの作成
上記でchrootの設定をしたため、/etc/vsftpd/chroot_listがないとログインできません。空のファイルでかまわないので作成しておきます。

3.起動
yumでインストールしているためinit経由での起動ができます。
# /etc/init.d/vsftpd start


4.動作確認
動作確認をします。アクセス制御をしているので/etc/vsftpd/user_listにFTPでログインできるユーザーを登録します。１ユーザー１行で登録します。今回テスト用として「ftptest」というユーザーを作成しました。


「ftptest」ユーザーでログインできることを確かめます。


とりあえず、簡単ですがvsftpdに挑戦してみました。
]]> https://ameblo.jp/kina-pom/entry-11466511912.html Fri, 08 Feb 2013 19:34:29 +0900 ただ、あまりに無防備な状態です。

そこで、今回はアクセス制御の設定を行いたいと思います。

テーマは２つです。

・/etc/ftpusersファイルによるアクセス制御
・chrootの設定

・/etc/ftpusersファイルによるアクセス制御
ProFTPDでは/etc/ftpusersというファイルを作成することで、FTPでログインをさせたくないユーザーを制御できます。ブラックリストです。
/etc/ftpusersファイルにログインを禁止するユーザーを1行1ユーザーで書き込んでいきます。
前提としてproftpd.conf、前回の内容どおりにインストールした場合は/usr/local/proftpd/etc/proftpd.confですが、これに次の設定を追加します。

UseFtpUsers　on


そして、/etc/ftpusersファイルにログインを禁止するユーザーを設定していきます。
ここでは、「student」というユーザーのログインを禁止します。
その前に、studentユーザーでFTPサーバにログインできることを確認しておきます。


さて、/etc/ftpusersファイルでログイン禁止ユーザー「student」を設定します。


ProFTPDを再起動します。ちょっと面倒ですが、ProFTPDのPIDを調べた上でkillコマンドでプロセスを終了します。


再度、studentユーザーでログインしてみます。


このように/etc/ftpusersでログインを禁止するユーザーのブラックリストを作成してアクセス制御を行うことができます。

・chrootの設定
続いてchrootの設定です。chrootは「Change Root」のことで、移動できるrootディレクトリを変更する設定です。rootディレクトリとは移動できる最上位のディレクトリです。Linuxのファイルシステムでは最上位ディレクトリのrootはシステムの入り口のようなものです。rootディレクトリに移動できれば、アクセス権さえあればどのディレクトリに移動できてしまいます。それはさすがに危険なので、ログインしたユーザーをログイン直後にいるディレクトリ以下にユーザーを閉じ込めてしまう仕組みです。DNSサーバのBINDなどでも有名な仕組みです。
設定はいたって簡単で、proftpd.confに次の設定をするだけです。

DefaultRoot

ここでは一例として、chrootをログインしたユーザーをログインした直後のディレクトリに設定してみます。FTPではログインした直後のディレクトリはユーザーのホームディレクトリです。FTPで接続するにはサーバに存在するユーザーでログインするのが基本です（なかにはProFTPDのソースを取得したときに使用した「anonymous」というユーザーを利用しましたが、これはまた特殊な使い方だと思われるのでここでは置いておきます）。ログインしたユーザーのホームディレクトリは「~」で指定できますので、次のようになります。

DefaultRoot ~


では、FTPでログインして確認してみます。ログイン後、「cd /」とコマンドを実行するとrootディレクトリに移動します。通常ならLinuxのファイルシステムの「/」ディレクトリに移動しますが、ここではrootディレクトリをログインユーザーの「ホームディレクトリ」に移動したので、「ホームディレクトリ」がrootディレクトリに変更されています。


chrootでよく使われるシーンとしては、Webサイトのコンテンツのアップロードです。
コンテンツを更新するときにFTPで接続する場合、FTPサーバにログインできるユーザーとchrootを限定して、ほかのディレクトリに移動させないようにすることで、何か問題が生じてもchroot以下に影響範囲を閉じ込めたりできます。閉じ込めるという意味では、ちょっとしたハッキング対策にもなるでしょう。

なお、余談ですが上記では、FTPサーバにログインする際にサーバにSSHなどでログインした上で、
$ ftp localhost
として、localhostで接続しています。外部ホスト（リモートホスト）からFTPにログインする場合は、次のようにします。
$ ftp
または、telnetで
$ telnet 21　　← 21番ポートに接続
Trying ...
Connected to
Escape character is '^]'.
220 ProFTPD 1.3.5rc1 Server (h060) []
User <ログインユーザー>
331 Password required for <ログインユーザー>
Pass <パスワード>
230 User student logged in

アクセス制限をしていないのにリモートサーバから接続できない場合は、サーバ側のファイアウォールの設定の可能性があります。とりあえず、動作確認のためファイアウォールの設定をはずすには次のようにします。
・# setupコマンドを実行
・「ファイアウォールの設定」を選択し、「セキュリティレベル」「SELinux」を無効にする








]]> https://ameblo.jp/kina-pom/entry-11465779341.html Thu, 07 Feb 2013 19:35:20 +0900 Cent OSにはvsftpdというパッケージがありますが、今回はこれは使わずProFTPDというFTPプログラムをソースからインストールしてみます。
ProFTPDはパッケージにはないため、ソースファイルを取得してビルドし、インストールしていきます。ソースファイルはrikenのサーバからftp経由で取得します。

［手順］
1. riken.jpからソースの取得
2. ビルド＆インストール
3. 設定
4. 起動
5. 確認
6. 終了

1. riken.jpからソースの取得
まず、FTP経由でriken.jpからソースを取得します。ソースはサーバの/usr/local/srcに保存しておくことにします。
ftpでriken.jpサーバに接続するには、ftpコマンドを使って次のようにします。
$ ftp ftp.riken
ログインするにはユーザー名とパスワードが必要です。今回は匿名ユーザー「anonymous」でログインします。パスワードには任意のメールアドレスを入力すればログインできます。


ログインに成功したら、ソースがあるディレクトリまで移動します。ディレクトリの移動はFTPのcdコマンドで行います。ディレクトリは「net/ProFTPD/distrib/source」になります。
ftp > cd net/ProFTPD/distrib/source


FTPのlsコマンドを使い、最新のソースファイルを確認します。
ftp >ls


現時点では「proftpd-1.3.5rc1」が最新のようなのでこれを取得します。FTPコマンドでサーバからファイルを取得するにはFTPのgetコマンドを使います。ファイルを取得したら、FTPのquitコマンドで終了します。
ftp > get proftpd-1.3.5rc1.tar.gz


取得したソースを確認します。


2. ビルド＆インストール
さて、ソースを取得したのでビルドします。ビルドとはプログラムのソースファイルをコンパイルしてCPUが理解できるバイナリファイルにし、さらに必要なライブラリをリンクする作業です。ただし、ビルドするにはCent OSの場合「開発ツール」というパッケージグループをインストールする必要があります。これはyumコマンドで行えます。
# yum -y groupinstall '開発ツール'

開発ツールをインストールしたら取得したファイルを展開します。
# tar zxvf proftpd-1.3.5rc1.tar.gz


ソースファイルを展開後、proftpd-1.3.5rc1というディレクトリが作成されています。このディレクトリに移動します。移動したら「configure」スクリプトを実行します。ソースファイルからアプリケーションをインストールする場合、おおむね次のステップを踏みます。
１. configureスクリプトの実行
２. makeコマンドでのビルド、make installによるインストール

1. のconfigureスクリプトでは、続くmakeコマンド、make installコマンドでの動作を指定します。このスクリプトを実行するとMakeファイルというファイルが生成されます。makeコマンドはこのファイルの内容をもとにビルドを行います。今回はインストール先の指定をconfigureスクリプトで指定します。インストール先の指定はconfigureスクリプトに「--prefix=<インストール先のパス>」で可能です。今回は/usr/local/proftpdにインストールしますので、このパスを指定します。
# configure --prefix=/usr/local/proftpd


configureスクリプトを実行したらmake、make installコマンドを実行してインストールします。
# make && make install


3. 設定
さて、インストールが完了したら設定を行います。ProFTPDでは最低限次の設定が必要になります。ProFTPDの設定ファイルは/usr/local/proftpd/etc/proftpd.confです。
① /usr/local/proftpd/etc/proftpd.confで実行グループを「nobody」に変更
② サーバのIPアドレスとホスト名の対応付けを行う

①についてですが、ProFTPDの設定ファイルではProFTPDの実行グループがデフォルトで「nogroup」というグループが指定されています。このグループはおそらくシステムで意図的に作成しない限り存在しないグループです。/etc/groupファイルで確認してみてください。とりあえず、ここでは「nobody」グループを指定しておきます。
/usr/local/proftpd/etc/proftpd.confで次のように実行グループを変更します。


②はProFTPDのポリシーです。ProFTPDではインストールしたサーバのホスト名（hostnameコマンドで表示されるホスト名。/etc/sysconfig/networkファイルでも確認可能）とサーバのIPアドレスが対応付けされていないといけません。起動時にDNS lookupという作業を行い、ホスト名とIPアドレスの名前解決を確認した上で起動します。この問題に対応するには/etc/hostsファイルに設定を加えます。


4. 起動
さて、これでProFTPDを起動する準備が整いました。起動するには次のコマンドを実行します。
# /usr/local/proftpd/sbin/proftpd
とくにメッセージは出ませんので、psコマンドやnetstatコマンドなどで確認します。


5. 確認
これで、FTPサーバは構築できたので確認を行います。
$ ftp localhost
でProFTPDに接続します。ログイン時のユーザー名はサーバに存在するユーザーであればどのユーザーでもかまいません。ステータスコード「230」が表示されればログインは成功です。


あとは、FTPコマンドで操作できます。ほかのホストから試してみると実感がわくでしょう。
主なFTPコマンド
get：FTPサーバからファイルの取得
put：FTPサーバへのファイル転送
cd：FTPサーバでのディレクトリ移動
ls：FTPサーバでのファイル一覧

6. 終了
FTPサーバを終了するにはkillコマンドを使います。psコマンドなどでProFTPDのPIDを確認後、killコマンドを実行します。



以上、駆け足でしたがProFTPDを使ってFTPサーバを構築しました。設定についてはいろいろありますが、これはまた別の記事でまとめてみようと思います。
また、機会があればvsFtpdでのFTPサーバ構築も挑戦したいと思います。 ]]> https://ameblo.jp/kina-pom/entry-11463675082.html Mon, 04 Feb 2013 18:48:23 +0900
TCP Wrappersとはクライアントからサーバのtcpプロトコルを行う各サービスへのアクセスを監視するデーモン（tcpd）です。もう少しつっこんで表現すると「libwrap」というライブラリを利用するデーモンを一元管理するといった具合になります。inetdなどのスーパーサーバプログラムと連携して動作します。inetdはクライアントからのサービスへの接続要求を仲介し、一括して受け取ります。そして、各サービスへ要求を振り分けます。

たとえば、sshによる接続要求がきた場合、いったんinetdが要求を受け取ってsshdデーモンに処理を要求します。TCP Wrappersはinetdデーモンがsshdに処理を要求する際に、リクエスト元のホストをみて、その要求を受け付けるかどうかを判断します。判断は/etc/hosts.allowと/etc/hosts.denyという２つのファイルをもとに行います。受け付けていいと判断した場合はsshdに処理をわたし、受けつけないと判断した場合はクライアントからの処理を拒否します。

ここではinetdについては割愛しますが、以下のサイトなどが参考になるかと思います。
http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-ja-4/s1-tcpwrappers-xinetd-config.html
ちなみに、TCP Wrappersはスーパーデーモンのinedと併用して使われます。inetd単体だとアクセス制御できないため、TCP Wrappersと併用してアクセス制御を行います。現在のスーパーデーモンはxinetdが主流です。xinetdは単体でホストのアクセス制御をすることもできるのでTCP Wrappersと組み合わせる必要はないのですが、併せて使うとセキュリティが向上します。


さて、今回はSSHへの接続を例にTCP Wrappersの設定を行ってみたいとおもいます。
まず、TCP Wrappersによるアクセス制御の要となる/etc/hosts.allowと/etc/hosts.denyからみていきます。
/etc/hosts.allowにはサービスごとに許可するホストを指定します。
/etc/hosts.denyにはサービスごとに拒否するホストを指定します。
書式はどちらも同じです。
［書式］
<デーモン名> : <クライアント名> [オプション]

・デーモン名
プロセス名のことです。単一のデーモン名を指定、ワイルドカードを使った指定などができます。またALLとすると、すべてデーモンに対して適用されます。

・クライアント名
IPアドレスやドメイン名（ホスト名）などでの指定ができます。これは結構いろいろな指定方法があります。いくつか例をあげます。
＊IPアドレスで指定。複数指定する場合はスペースで区切る
sshd : 192.168.1.5 192.168.1.6
＊ネットワークで指定
sshd : 192.168.1.0/255.255.255.0
＊あるネットワークやドメインに所属するホストを指定
sshd : 192.168.1. .kina-pom.net
上記では192.168.1.に所属する全ホストと.kina-pom.netドメインに所属する全ホスト（h051.kina-pom.netなど）を指定しています。

・オプション
ルールが適用された場合のアクションなどを指定できます。たとえば、シェルスクリプトを実行させたりすることができます。

ひとつ問題があります。両方のファイルに同じ指定がされた場合です。
/etc/hosts.allowと/etc/hosts.deny両方に
sshd : 192.168.1.5
という記述がある場合、192.168.1.5からsshでの接続を許可するのか、拒否するのか。
答えは「許可する」です。
tcpdは/etc/hosts.allow→/etc/hosts.denyの順にファイルを検索します。/etc/hosts.allowに該当するルールがあった場合、そこで検索をやめて/etc/hosts.denyファイルは検索しません。

if文風にまとめるとこんな感じでしょうか。
if (/etc/hosts.allowを検索) {
　→ 該当するルールがあれば許可してブロックを抜ける
} else if (/etc/hosts.denyを検索) {
　→ 該当するルールがあれば拒否ブロックを抜ける
} else {
　→ 該当するルールは上記にないので許可してブロックを抜ける
}


さて、ようやくですが設定を行っていきたいとおもいます。
まずTCP Wrappersは「libwrap」というライブラリを利用するプログラムに対してホスト制限を管理しますので、sshがlibwrapを使うのか調べてみます。lddコマンドを使います。lddコマンドは実行プログラムが必要とする共有ライブラリを表示してくれます。
［書式］
# ldd <プログラムのパス>

まず、whichでsshdのパスを調べてからlddコマンドを実行します。grepコマンドで表示内容を絞ります。



次に設定をします。基本的にアクセス制御を設定する場合は次のような方針になるかと思います。
・とりあえずあらゆるアクセスを拒否
・アクセスが必要なものだけ設定していく
ホワイトリスト方式です。

まず、すべてのホストからアクセスを拒否したいので、/etc/hosts.denyで次のように設定します。ここではすべてのデーモンに対して設定していますが、「sshd : ALL」としてデーモン名を特定してもいいです（ただし、その場合はSSHに限る）。


まずいったんここでアクセスが拒否されるか確認します。SSHでサーバに接続してみましょう。
しばらくした後、プロンプトが戻って拒否されます。


次に/etc/hosts.allowで接続を許可するホストを指定します。ここでは単一ホストを指定していますが、「sshd : 192.168.1.」とすれば「192.168.1.xx」のホストすべてがアクセスできます。


アクセスを許可したホストから、SSHで接続できることを確認します。


と、まあこんな具合にホストベースでのアクセス制御が可能です。
ただ、セキュリティ的にはアプリケーションレベルでの制御になりますので、OSレベルでパケットのフィルタリングを行うiptablesのほうが強力です。


]]> https://ameblo.jp/kina-pom/entry-11462024069.html Sat, 02 Feb 2013 12:37:29 +0900 Webサーバ（バーチャルホスト-1）の訂正

今回はおわびと訂正です。
Webサーバ（バーチャルホスト-1）
の記事にてIPベースのバーチャルホストについて次のような記述をしました。

--------------------------------------------------------------------
IPベースのバーチャルホストは上の説明だけではちょっと理解しにくいかもしれません。
マシンは１台でも複数台でもかまいませんが、運用するWebサーバに対して
複数のIPアドレスを用意します。
--------------------------------------------------------------------
これを読み返してみて、「マシンは１台でも複数台でもかまいませんが」という部分が誤りであることに気づきました。そもそも、バーチャルホストとは１台のマシン内で仮想ホストを実現する仕組みなので、「複数台」という個所は誤りでした。
お詫びして、訂正いたします。

IPベースのバーチャルホストは、あくまで１台のサーバが複数のIPアドレスをもっているときに、それぞれのIPに対して仮想ホストを設定していきます。
http://httpd.apache.org/docs/2.2/ja/vhosts/ip-based.html

異なるIPに対して同じホスト名で設定を行う場合は記事のとおりとなります。
異なるホスト名で設定を行う場合は、次のマニュアルページのようになります。
※「IPベースのバーチャルホスティング」の項を参照
http://httpd.apache.org/docs/2.2/ja/vhosts/examples.html

ただし、いずれもIPアドレスとホスト名の対応付けが必要なのでDNS側での設定が不可欠です。





]]> https://ameblo.jp/kina-pom/entry-11461902221.html Sat, 02 Feb 2013 10:32:55 +0900