IT備忘録

ntpのconfファイルを書き換えました。

# vi /etc/ntp.conf
----
# デフォルトで全てのNTPアクセス拒否
restrict default ignore

# ローカルホストからのNTPアクセス許可
restrict 127.0.0.1

# 家庭内クライアントからの問い合わせ許可
restrict 192.168.10.0 mask 255.255.255.0 nomodify notrap

# 外部のNTPサーバへのNTPアクセス許可
restrict 133.243.238.163 mask 255.255.255.255 nomodify notrap noquery
restrict 133.243.238.164 mask 255.255.255.255 nomodify notrap noquery
restrict 133.243.238.243 mask 255.255.255.255 nomodify notrap noquery
restrict 133.243.238.244 mask 255.255.255.255 nomodify notrap noquery
restrict 210.173.160.27  mask 255.255.255.255 nomodify notrap noquery
restrict 210.173.160.57  mask 255.255.255.255 nomodify notrap noquery
restrict 210.173.160.87  mask 255.255.255.255 nomodify notrap noquery

# 外部のNTPサーバの指定
server ntp.jst.mfeed.ad.jp
server ntp.nict.jp

# CMOSクロックの指定
fudge 127.127.1.0 stratum 3

# 変動情報記録ファイルの指定
driftfile /etc/ntp.drift

# ログファイルの指定
logfile /var/log/ntp.log
----

オプション  概　要
---------------------------------------------------------
ignore 指定したサーバからのすべてのNTPアクセスを無視
noquery 指定したサーバからの時刻問い合わせパケットを無視
nomodify 指定したサーバからの設定変更要求パケットを無視
notrap 指定したサーバに対して状変時にトラップを上げない

# ntpq -p
ntpdを起動させます。最初、同期をとるまでに時間がかかります。

また、ファイアーウォールの設定にて、
123port(ntp)
を開放しました。

--参考ページ
http://www.aconus.com/~oyaji/suse/ntp_suse.htm

先日、aptのラインが変わったのか、
# apt-get update
# apt-get upgrade
で、VineLinux4.2へのアップグレードがされました。

そのVineLinuxへ、SNMPの設定をしました。

--net-snmpのインストール
# apt-get update
# apt-get install net-snmp

--snmpd.confの編集
# vi /etc/snmp/snmpd.conf
----
#com2sec　notConfigUser　　default public　←　コメントアウト
com2sec local localhost comunity　←　追加
com2sec mynetwork 192.168.10.0/24 comunity　←　追加

#group　　　notConfigGroup　v1c　　　　　notConfigUser　←　コメントアウト
#group　　　notConfigGroup　v2c　　　　　notConfigUser　←　コメントアウト
group MyROGroup v1 mynetwork　←　追加
group MyROGroup v2c mynetwork　←　追加

#view　　　systemview　　　included　　　.1.3.6.1.2.1.1　←　コメントアウト
#view　　　systemview　　　included　　　.1.3.6.1.2.1.25.1.1　←　コメントアウト
view all included .1 80　←　追加

#access　notConfigGroup　""　　　　　any　　　　　noauth　　exact　　systemview　none　none　←　コメントアウト
access MyROGroup "" any noauth exact all none none　←　追加

view mib2 included .iso.org.dod.internet.mgmt.mib-2 fc  ←　コメント外し

# Check　the　/　partition　and　make　sure　it　contains　at　least　10　megs.

disk / 10000  ←追加
disk /home 10000　←追加
disk /var 10000  ←追加
----

また、ファイヤーウォールの設定を変更しました。
161/UDP (SNMP)
162/UDP (SNMP trap)
を開放しました。

--参考ページ
http://vine.1-max.net/net-snmp+MRTG.html

sshの設定を行いました。

--sshd_configファイルの追加・変更
#vi /etc/ssh/sshd_config
----
ServerKeyBits 1024 #暗号強度を1024ビットに

SyslogFacility AUTHPRIV　#ログ設定

PermitRootLogin no　#Rootでのログインを拒否する

RhostsRSAAuthentication no  #Rhosts-RSA認証を許可

PermitEmptyPasswords no　#パスワードが空白での認証を拒否する

PasswordAuthentication no　　#Linuxでのパスワード認証を拒否する

X11Forwarding no　#X11転送を拒否

AllowUsers User_Name　#接続を許可するユーザーの指定

Subsystem sftp /usr/libexec/openssh/sftp-server　#サブシステムの設定
----

--sshdサービスの再起動
# service sshd restart

--RSA認証鍵の作成（ssh接続するユーザーにて行う）
$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/hoge_user/.ssh/id_rsa):　<-Enter
Created directory '/home/hoge_user/.ssh'.
Enter passphrase (empty for no passphrase): <- passphraseの入力
Enter same passphrase again: <- passphraseの再入力
Your identification has been saved in /home/hoge_user/.ssh/id_rsa.
Your public key has been saved in /home/hoge_user/.ssh/id_rsa.pub.
The key fingerprint is:
7b:th:c9:77:9e:5f:3c:fr:46:30:66:ef:39:54:be:44 hoge_user@vl.hoge.com

$ cd ~/.ssh
$ cat id_rsa.pub >> authorized_keys  #鍵をauthorized_keysに追加
$ chmod 600 authorized_keys
$ rm id_rsa.pub    　#ファイルの削除
$ rm id_rsa 　#sshクライアントへコピーした後、削除

クライアントPCでは、”UTF-8 TeraTerm Pro with TTSSH2”等のsshクライアント
ソフトより、id_rsaファイルを指定してアクセスします。

--UTF-8 TeraTerm Pro with TTSSH2
http://www.forest.impress.co.jp/lib/inet/servernt/netuty/utf8teraterm.html

--参考ページ
http://www.h3.dion.ne.jp/~x723/ssh.html

Vine Linux4.2がリリースされました。
http://vinelinux.org/whatsnew.html#20071225

--4.1からの変更点
    *  インストーラ
          o 各種デバイスの自動認識を向上 (kernel-2.6.16-0vl76.27、XOrg-6.9.0-0vl38 への対応)
          o インストーラカーネル(i586 kernel)でのLocal APICを有効にした
          o usb-storage のインストーラでの認識順位を最後になるように修正
          o usb-storage/sbp2 へのインストール対応
    * kernel(errata含む)
          o forcedeth-0.60 に更新
          o 3w-9xxx 更新
          o r8169 更新 (Corega LAPCIGT NIC対応)
          o libata/ata_piix 更新(ICH9対応, ICH8修正)
          o libata/ahci (generic ahci,ICH9,SB600,SB700,MCP7x,VIA対応)
          o libataその他(mcp61,mcp67,via,SB600対応)
          o agpgart/intel-agp (945GME/965G/965GM/965GME/G33対応)
          o drm/i915 (94gme対応)
          o hda_intel (ICH9,RS690,MCP6x 対応)
          o tg3 3.81c に更新
          o suspend2 2.2.8 に更新
          o e1000e 0.2.0 追加
          o atl1 2.0.7 追加
          o Broadcom NetXtremeII 有効
          o i586 カーネルで Local APIC 有効
    * XOrg
          o xfs initscript 修正
          o intel ドライバ追加(965G～G33向け、2Dのみ)
          o i810 ドライバ(945GME/965GME 対応)
          o DRI/i915 (945GME/E7221対応)
          o openchrome ドライバ追加(viaドライバをリプレース)
          o radeonhd 1.0.0 を追加(AMD ATI Radeon X1xxx/HD2xxx, AMD690G 対応)
    * パッケージの追加
          o scim-bridge を追加しデフォルトの IM エンジンに。
          o totem-mozilla プラグインを追加
          o usbutils を追加
          o ipw3945 ドライバおよびユーティリティを追加
    * その他パッケージの更新
          o 既存のセキュリティフィックス/バグフィックス(errata)の適用
          o 915resolution の G965 対応
          o VLゴシックフォント(TrueType-sazanami) の更新
          o firefox-2.0.0.11 に更新
          o lvm2-2.02.28, device-mapper-1.02.22 へ更新(バグフィックスを含む)
          o dvd+rw-tools-7.0 へ更新(Blu-rayドライブ対応)
          o ptetex-20061213 へ更新
          o scim/scim-anthy を更新

named.rootファイルを実に３年ぶりに更新しました。

# cd /var/named
# mv named.root named.root.old
# wget ftp://ftp.rs.internic.net/domain/named.root
# chown named:named named.root
# chmod 440 named.root

# service named restart

どこかで３年周期か何かで、named.rootファイルを更新する必要が
あるとかないとかを読んだことがあります。
今年、更新する必要がある？？

VineLinux4.1をランレベル３（コンソール起動）すると日本語が
化けてしまいました。

ネットで調べた結果、"kon"を起動するようにとあります。
しかし、kon とコマンドを入力しても、
-bash: kon: command not found
とコマンドがありませんといわれてしまいます。
konをインストールしようと、
# apt-get update
# apt-get install kon2 kon2-fonts
をしても
E: パッケージ kon2が見付かりません
とされてしまいます。

さらにネットで調べてみると、VineLinux3.xよりKONは廃止されたとのことで、
http://vinelinux.org/vine30.html
フレーム バッファコンソールを使うようにとのことです。
Linux起動時に"Esc"キーを押して、"e"でブートオプションを編集して起動します。

kernel /vmlinuz ro root=LABEL=/ resume2=swap:/dev/hda5 vga=0x301

--VGA オプション
解像度            オプション
-------------------------------------
640 x 480 (8bpp)    vga=0x301
800 x 600 (8bpp)    vga=0x303
1024 x 768 (8bpp)    vga=0x305
1280 x 1024 (8bpp)    vga=0x307
1600 x 1200 (8bpp)    vga=0x31C

無事、日本語が化けずに起動しました。
毎回起動時にオプションを設定するのは大変なので、
（サーバー用途であればそんなに再起動はしないと思いますが）
lilo.confもしくはgrub.confを編集します。

--ブートローダーがliloの場合
# vi /etc/lilo.conf
----
image=/boot/vmlinuz-2.6.16-0vl68
        label=linux
        initrd=/boot/initrd-2.6.16-0vl68.img
        read-only
        vga=0x303 <-- 追記　800 x 600 8bit color
        append="root=LABEL=/"
----

--liloの更新
# /sbin/lilo

--ブートローダーがgrubの場合
# vi /etc/grub.conf
----
title Vine Linux (Current kernel)
        root (hd0,0)
        kernel /vmlinuz ro root=LABEL=/ resume2=swap:/dev/hda5 vga=0x303
        initrd /initrd.img
----

もしくは他の対策として、Linuxの言語設定を英語にすれば解決します。

$ export LANG=en_US

デフォルトの言語は/etc/sysconfig/i18nというファイルで
設定しているので、”LANG=”の行を変更すれば、起動時の言語設定を
変更できます。

# vi /etc/sysconfig/i18n
----
# LANG="ja_JP.eucJP"　←デフォルトの言語設定

# 変更後
LANG="en_US"　←デフォルトの言語設定を英語に変更

--参考ページ
http://vinelinux.org/vine30.html
http://www.jitaku-server.net/frame_buffer.html
http://www1.u-netsurf.ne.jp/~ysk-net/JSpe/Linux/vine/setup.html
http://park15.wakwak.com/~unixlife/linux/boot-grub.html
http://www.atmarkit.co.jp/flinux/rensai/linuxtips/471syslangset.html

rootになれるユーザーを制限します。
下記の変更を行うことによって、wheelグループに所属するユーザー
のみが、rootになれます。

下記一行を追加します。
# vi /etc/login.defs
----
SU_WHEEL_ONLY yes

rootになれるユーザーをwheelグループに追加します。
# vi /etc/group
----
wheel:x:10:root,user_name

下記コメントアウト行を有効にします。行頭”#”を削除する。
# vi /etc/pam.d/su
----
auth required /lib/security/pam_wheel.so use_uid

--参考ページ
http://blog.goo.ne.jp/h-mori/e/4ab5e722fa319d6fcf98c9510999d61a
http://www.taperium.com/modules/wordpress/index.php?p=1668
http://www.lovebug.jp/index.php?root%A4%CB%A4%CA%A4%EC%A4%EB%A5%E6%A1%BC%A5%B6%A1%BC%A4%F2%C0%A9%B8%C2%A4%B9%A4%EB

webalizerをインストール及び設定を変更し、Squidのアクセスログを
解析します。

--webalizerのインストール
# apt-get update
# apt-get install webalizer

--Squid用 webalizer.confの変更(webalizer-squid.confを作成)
# cd /etc
# cp webalizer.conf webalizer-squid.conf

--webalizer-squid.confの主な追加・変更点
# vi /etc/webalizer-squid.conf
----
LogFile        /var/log/squid/access.log
LogType    squid
OutputDir      /home/httpd/html/webalizer-squid
HistoryName    webalizer-squid.hist
Incremental    yes
IncrementalName    webalizer-squid.current
ReportTitle    Squid Access log
HostName       vl.naonao.com
HTMLExtension  html

SearchEngine    google.co.jp    q=
SearchEngine    yahoo.co.jp     p=
SearchEngine    yahoo.co.jp     q=
SearchEngine    infoseek.co.jp  qt=
SearchEngine    excite.co.jp    search=
SearchEngine    goo.ne.jp       MT=
SearchEngine    msn.co.jp       q=
SearchEngine    search.nifty.com Text=
SearchEngine    biglobe.ne.jp   q=
----

--解析結果を出力するフォルダ作成
# mkdir -p /home/httpd/html/webalizer-squid

--解析の実行
# /usr/bin/webalizer -c /etc/webalizer-squid.conf

--１日に一度、自動で実行するようcronへ登録（毎日４時１分に実行）
# vi /etc/crontab
----
01 4 * * * root /usr/bin/webalizer -c /etc/webalizer-squid.conf

過去ログがある場合は、下記のように取り込みます。(古い方から)
# webalizer -c /etc/webalizer-squid.conf /var/log/squid/access.log.4
# webalizer -c /etc/webalizer-squid.conf /var/log/squid/access.log.3
# webalizer -c /etc/webalizer-squid.conf /var/log/squid/access.log.2
# webalizer -c /etc/webalizer-squid.conf /var/log/squid/access.log.1
# webalizer -c /etc/webalizer-squid.conf /var/log/squid/access.log

--参考ページ
http://www.jitaku-server.net/apache_webalizer.html
http://spinel.sytes.net/~bibou/staticpages/index.php?page=webalizer
http://www.nina.jp/server/redhat/webalizer/webalizer.conf-2.01.html

Squidは、システムの起動時に自動的にサービスが起動しません。
起動時に自動起動するよう設定しました。

# chkconfig squid on

--chkconfig　コマンド
# chkconfig --list
サービスの起動一覧を表示

# chkconfig --level 345 squid
起動レベル3,4,5にてsquidが起動するよう設定

--参考ページ
http://www.a-yu.com/pub/qa82.html

ProxyServerである”Squid”をインストール及びセットアップしました。

--Squid インストール
# apt-get update
# apt-get install squid
＊現行Version squid2.6 STABLE14

--Squid.confの編集
# vi /etc/squid/squid.conf
----
http_port 8080
icp_port 0

cache_effective_user squid
cache_effective_group squid

visible_hostname Proxy01
forwarded_for off

cache_dir ufs /var/spool/squid 100 16 256
maximum_object_size 5MB
cache_mem 8 MB

cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 4

acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT   

acl localnet src 192.168.10.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0

http_access allow localnet
http_access deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
----

--Squid キャッシュファイル作成
# squid -z

--Squid 起動
# service squid start

--参考ページ
http://arika.org/doc/sd.200112
http://forums.fedora-fr.org/viewtopic.php?pid=211996
http://rgv250.dyndns.org/squid.htm
http://www.leafgreen.jp/freebsd/squid.html

以前作成したnamed.confその他のファイルを修正し、namedサービスを

再起動しても動作しませんでした。

とりあえず、下記の変更にて動作しました。

# chown named:named /var/named/*

--FireWall 設定
53 UDPポートを開放

# sarvice named restart

その他、セキュリティ向上として、

# chown named:named /etc/named.conf
# chmod 640 /etc/named.conf

# chown named:named /var/named
# chmod 750 /var/named

# chown named:named /var/named/*.*
# chmod 440 /var/named/*.*

グループ"hogehoge"を作成し、グループ用ディレクトリ"/home/hogehoge"へ
アクセスさせる一覧の作業です。

--groupの作成
# groupadd hogehoge

--groupディレクトリの作成
# mkdir -p -m 770 /home/hogehoge  
    *-p サブディレクトリも作成　-m パーミッション設定
# chown -R hoge /home/hogehoge    *オーナー変更
# chgrp -R hogehoge /home/hogehoge　*グループ変更

--既存ユーザーのgroup追加
# usermod -g hogehoge hoge_user1   
    *-g ディフォルトグループ　-G サブグループ

--新規ユーザー作成
# useradd -g hogehoge hoge_user2

--smb.confの編集(追加)
# vi /etc/samba/smb.conf
----
[group]
        comment = Share directory
        path = /home/hogehoge
        invalid users = root
        admin users = root
        write list = @hogehoge
        read only = No
        hosts allow = 192.168.10.0/255.255.255.0
----

--Sambaサービスの再起動
# service smb restart

Windowsファイル共有サービスである"Samba"及び
Webアクセスより設定可能な"swat"をインストールしました。

# apt-gat update
# apt-get install samba samba-swat inetd
# vi /etc/inet
----
swat    stream tcp    nowait.400    root /usr/sbin/tcpd swat
↑ "#"を削除する
----

# /etc/init.d/inet start

Webブラウザよりhttp://localhost:901 でアクセスする。

今まで使用していたVineLinux3.1のPCが壊れてしまいました。
たぶん、約３年間通電したままでしたので、ハードウェア障害かと思います。
（たぶん電源）
変わりに新規でサーバー用途としてVineLinux4.1にて構築を始めました。
可用性を考え、VMPlayer上で動作する仮想環境を構築しました。

最初の設定として、ネットワークです。

--Host nameの設定
# vi /etc/hosts
----
127.0.0.1 localhost.localdomain localhost vl.naonao.com

# vi /etc/sysconfig/network
----
NETWORKING=yes
HOSTNAME=vl.naonao.com

--NIC eth0の設定
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
----
DEVICE=eth0
ONBOOT=yes
BOOTPROTO-static
IPADDR=192.168.10.10
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
HWADDR=00:00:00:00:00:00

--DNSの設定
# vi /etc/resolv.conf
----
192.168.10.1

--接続の許可
# vi /etc/hosts.allow
----
ALL:127.0.0.1
ALL:192.168.10.0/255.255.255.0

# vi /etc/hosts.deny
----
ALL:ALL

佐藤システム設計事務所より、Linuxサーバのネットワーク設定や
ファイルサーバ設定、データベース保存などを行う管理ユーティリティ
”Lx-Admin”が、公開されました。

--Lx-Admin
http://www.satosys.com/Lx-Admin/Lx-Admin_page.htm

--対応ＯＳ
Microsoft Windows 2000/XP/2003

--必須ソフトウェア
”Lx-Admin” は Microsoft Access 2000 で作成されています。
実行するためには、Microsoft Access の下記のバージョンのいずれか
もしくは Access 2000 ランタイムがインストールされて
いることが必要です。
Microsoft Access 2000
Microsoft Access 2002/XP
Microsoft Access 2003

--参考ページ
http://headlines.yahoo.co.jp/hl?a=20070729-00000004-zdn_ep-sci

VineLinux4のセキュリティフィックス及びバグフィックスを含む
マイナーアップデート版、"VineLinux4.1"がリリースされました。

--VineLinux
http://www.vinelinux.org/

--過去バージョンからのアップデート方法
# apt-get update
# apt-get -f dist-upgrade

←クリック一票

Virtual PC上にVineLinux4.0をフルインストールしてみました。
しかし、オフィスソフトがインストールされなかったので、
OpenOfficeをインストールしてみました。

# apt-get update
# apt-get install openoffice.org

インストールされたバージョンは、"2.0.3"です。

←クリック一票

いよいよVine Linux 4.0が公開されました。

--Vine Linux
http://vinelinux.org/

--主な特徴
# Intel PC および PowerPC 搭載 Macintosh に対応
# Kernel-2.6.16.29 を採用
# GNOME-2.14 を採用
# VLゴシックフォントファミリを標準フォントとして採用
# SCIM + Anthy を標準日本語入力システムとして採用
# Firefoxコミュニティエディション2.0 を採用

--サーバーコンポーネント
    - apache 2.2.3
    - postfix 2.2.10
    - bind 9.3.2P1
    - openssh 4.5p1

約２年ぶりのメジャーアップデートです。カーネル2.6の採用というのが
待ちに待ったと言った印象です。apacheもとうとう2.XXに変わったのですね。

--参考ページ
http://itpro.nikkeibp.co.jp/article/NEWS/20061122/254503/

←クリック一票