PEBLOG

セキュリティ設定 

• リモートからの root ログインを無効にする
• 公開鍵暗号方式を使用した SSH ログイン設定
• iptables 設定
• SSH ポート番号の変更
• 不要なサービスを停止
• ログ監視設定
• ファイル改ざん検知ツール設定
• ウィルス対策ソフト設定
• Apache の設定
• 全パッケージのアップデート

ネットワークを設定しよう!! 

構築中のLinuxサーバー が、 名前解決 を行うために参照するシステムの優先順位を決定するための設定です。
“/etc/nsswitch.conf”
を編集します。

このファイルには多くのキーワードがありますが、 名前解決 の順序に関する設定は、
38行目の “hosts:” で始まる一行です。
キーワードは他にもありますが、とりあえずは不要ですので説明は割愛します。
“#” で始まる行はコメント行です。

設定行の、
hosts:　　　files dns
は、 “/etc/hosts” の記述を示す “files” と、 DNSサーバー の記述である “/etc/resolv.conf” を示す “dns” を、スペースで区切って優先する順番に記述してあります。
つまり 構築中のLinuxサーバー は、
１．まず、自分自身をプライベートIPアドレスに名前解決するために、WAN空間のDNSサーバーを利用せずに”/etc/hosts”を使う。
２．次に自分自身以外(インターネット空間)の ホスト を名前解決するために、WAN空間のDNSサーバーを利用する。
という順序で名前解決を行いますからそのままの記述でOKということになります。

ネットワークを設定しよう!! 

構築中のLinuxサーバー が、 名前解決 を行うために参照するシステムの優先順位を決定するための設定です。
“/etc/host.conf”
を編集します。

“;” で始まる行はコメント行です。
“multi on” は、 構築中のLinuxサーバー が “/etc/hosts” を参照して名前解決を要求したとき、ホスト名が複数の IPアドレス を返すような場合に、全部の名前解決の結果を返すという設定です。
この設定がシステム動作に何らかの影響を与えることは稀ですのでそのままでも構いませんが、一般には “/etc/hosts” の記述順で一つのIPアドレスのみを返す振る舞いのほうがサーバー運用ではトラブルも少なく、発生した問題を解決しやすいといえます。
従ってここは設定行を削除するか、明示的に “multi off” と修正して、単独のIPアドレスを返すように設定することをお勧めします。

ところで、以前のバージョンのCentOSまでは、二行目に名前解決の仕組みの優先順の設定として、
“order 先に参照するシステム,後に参照するシステム”
というキーワードの記述がありましたが、CentOS6.2からはこの値を参照する標準パッケージがなくなり、後述する “/etc/nsswitch.conf” を参照する仕様になっているため、この記述は廃止されました。

しかしながら標準パッケージ以外のアプリケーションを利用する場合は、依然としてこの “/etc/host.conf” が参照される可能性もあるため、一応記述しておくことをお勧めします。
キーワード order とパラメータはスペースまたはTABで区切って、一行で記述します。
“参照するシステム” は、 “/etc/hosts” の記述を示す “hosts” と、 DNSサーバー の記述である “/etc/resolv.conf” を示す “bind” を、 “,” で区切って優先する順番に記述します。
このホスト機の FQDN である “web1.○○○.com” が、 WAN 空間からアクセスを受けるときは、同じくWAN空間に設置されたDNSサーバーで名前解決されますから、 それから ルーター の ポートフォワーディング 機能で “211.183.111.34→ 192.168.100.11” に変換され、このホスト機はアクセスを受けるわけです。 “web1.○○○.com→211.183.111.34”
のように、 グローバルIPアドレス を所在地情報としてアクセスを受けます。
しかし、このホスト機自身が 「自分自身の名前解決」 を行う場合には、WAN空間に設置されたDNSサーバーを参照するわけにはいきません。
なぜならこのホスト機は、 サブネット 内では “192.168.100.11” という プライベートIPアドレス を所在地情報として動作しますから、 “211.183.111.34” のようなグローバルIPアドレスを持ってこられても処理のしようがないからです。
つまり 構築中のLinuxサーバー は、
１．まず、自分自身をプライベートIPアドレスに名前解決するために、WAN空間のDNSサーバーを利用せずに”/etc/hosts”を使う。
２．次に自分自身以外(インターネット空間)の ホスト を名前解決するために、WAN空間のDNSサーバーを利用する。
という順序で名前解決を行う必要があるわけです。従って、 “/etc/host.conf” は、
multi off
order hosts,bind
と設定しておきます。
キーワードは他にもありますが、とりあえずは不要ですので説明は割愛します。

ただし先に説明したとおり、CentOS6で名前解決を必要とするアプリケーションの大部分は、この “/etc/host.conf” ではなく、以下に説明する “/etc/nsswitch.conf” を参照しますから、 “/etc/host.conf” を修正するだけではなく “/etc/nsswitch.conf” の設定も確認し、必要に応じて同じように設定しなければならない点に注意してください。

ネットワークを設定しよう!! 

構築中のLinuxサーバー が、固定的に 名前解決 を行う hostsファイル として、
“/etc/hosts”
を編集します。

【書式】
” IPアドレス 　 ホスト名 ”
行の先頭から最初のスペースまたはTABまでが IPアドレス と解釈されます。 左側のパラメータである「IPアドレス」と、右側のパラメータである「ホスト名」はスペースまたはTABで区切って、一行で記述します。ホスト名はスペースまたはTABで区切って複数指定することが可能です。
キーワードは複数設定可能で、上の行から順に参照されます。 “#” で始まる行はコメント行です。
一行目と二行目はそれぞれ IPv4、IPv6のループバックアドレスに対する名前解決の設定です。
これらの設定は、ユーザーが行う設定とは無関係にシステムが決めるものですから、修正せずにそのまま残しておきます。
構築中のLinuxサーバー をパソコンと同じように一般的なクライアント機として使用するのであれば、 “/etc/hosts”
の設定はこれだけで構いません。
しかしながらサーバーとして運用を行う場合はこれだけでは不十分で、先に  で設定した “web1.○○○.com” というホスト名が、自分自身に割り当てられたされたIPアドレス “192.168.100.11” を指し示すことを、
192.168.100.11 web1.○○○.com web1
と追記し、 構築中のLinuxサーバー 自身が、
web1.○○○.com　→　192.168.100.11
及び、
web1　→　192.168.100.11
と自分自身で名前解決できるようにする必要があります。
以前のバージョンのCentOSでは、これに関する設定は自動的に “/etc/hosts” に記述されていたのですが、CentOS6.2では手作業で記述する必要があります。
また例えば 構築中のLinuxサーバー に別の ホスト名 “www.○○○.com” を追加設定し、DNSサーバーに頼らずに自分自身でこの “/etc/hosts” を使って名前解決を行いたい場合は、
“192.168.100.11 http://www.○○○.com www”
のように追加記述することになります。
ところで、 WAN 、すなわちインターネット空間では、普通このような名前解決の仕事は DNSサーバー が担うようにシステム化されています  。
だとすれば、この “/etc/hosts” というファイルの設定はなぜ必要なのでしょうか。名前解決の一切を ISP 指定のDNSサーバーに任せるわけにはいかないのでしょうか。
ここでもう一度、現在構築中のネットワーク構成を思い出してください  。
このネットワークは、 ルーター の NAT + IPマスカレード 機能を使って、 WAN 空間と LAN 空間を切り分けた形になっています  。
というわけですから、WAN空間に設置されているISPのDNSサーバーが名前解決できるのは、あくまでWAN空間に ノード を持つルーターや ホスト であって、WAN空間から切り離されたLANの内部のホストに対しては、名前解決を行うことができないわけです。
従って、こういうネットワーク構成では、なんらかの方法でLAN内部の名前解決をしなけければならないことになります。
このLAN内部に設置するDNSサーバーについては、  で構築の解説をします。 もちろん、LANの中で名前解決を行うためのDNSサーバーを設置するのも一つの選択肢ですが、LANに接続しているホストの台数が限られていれば、それぞれのホスト機に 「固定的な情報としての名前解決の対照表」 を持たせるほうが簡単です。
その対照表が “/etc/hosts” というわけです。
ちなみに、この設定ファイルのループバックアドレスに対する名前解決の設定は、こういう記述になっています。 ２行目の “::1” で始まる行は IPv6  に関する記述ですので説明は割愛します。  127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
これらはいうまでもなく ループバックアドレス に対するホスト名の記述です。 この “localhost” や “web1” のように、 FQDN 形式ではないホスト名は、本来 UNIX 系 OS が使ってきたもので、現在は WindowsOS や MacintoshOS でも利用しますから、そういうホスト名を参照するアプリケーション動作のために必ず記述しておきましょう。  “localhost” と “localhost.localdomain” というホスト名は、ループバックアドレスに対する「お約束のホスト名」です。 “localhost4” と “localhost4.localdomain4” はIPv6と混在する環境で明示的にIPv4のループバックアドレスを指し示さなければならない場合に予約されているホスト名と解釈してください。
しかしながら自分自身のホスト名である “web1.○○○.com” 及び “web1” も、当然のことながら自分自身を表すループバックアドレス “127.0.0.1” を指し示していても問題はありませんから、特にCentOS5以前の解説書ではIPv4の部分は、
127.0.0.1 web1.○○○.com web1 localhost.localdomain localhost
と記述するように解説しているケースがあります。
ただ実用上、意図的に設定するホスト名については強いてループバックアドレスへの名前解決を行う必要はなく、
192.168.100.11 web1.○○○.com web1
という記述のみで充分です。
余分な設定が多いと、後から ドメイン名 や サブドメイン を追加するときに書き換えなければならない部分が増えて設定ミスを犯しやすくなり、 アプリケーション によっては不都合が出る場合がありますので、ループバックの設定の部分は可能な限りデフォルトのままにしておくことをお勧めします。

ネットワークを設定しよう!! 

CentOS6 は複数の NIC の利用が可能で、更にそれぞれのNICに複数の ノード を設定することが可能です。
ただ、例えば ドメイン名 や FQDN のように、 それぞれのノードに依存しない設定、つまり 「全体をとりまとめた共通設定」 を行う必要があります。

その設定は、
“/etc/sysconfig/network”
という設定ファイルの内容を編集して行います。

【書式】
“キーワード”=”パラメータ”
これらの値は、システムのネットワークが動作を開始するときに読み込まれます。 ひとつの設定値は一行に記述します。各行の記述の順序の指定は特にありません。
“#” で始まる行はコメント行です。

【各キーワードの意味とパラメータについて】
≫ “NETWORKING”．．．ネットワーク機能の利用の有無
CentOS6の色々な設定の中には、このように、 「そんなの当たり前でしょ。」 的なものが結構あります。人間にとって解り切ったことでも、機械には教えてあげなければ解ってくれないことがたくさんあるということです。  構築中のLinuxサーバー のシステムが、ネットワーク機能を利用するかどうかの設定です。 “yes” または “no” で指定します。当然、
NETWORKING=yes
となります。

≫ “HOSTNAME”．．．ホスト名の設定
この CentOS6 のシステムの、 ホスト名 （ FQDN ）を設定します。
このパラメータは、CentOS6のシステムと、システム上で動作する アプリケーション の多くがホスト名の デフォルト として参照します。
CentOS6の インストール で、ネットワークの設定のステップ  を行っていれば、また後から NIC の設定を行っていれば 、ホスト名は “web1.obenri.com” になっているはずです。
もしも設定されていないければ、
HOSTNAME=web1.obenri.com
のように、  の考え方に基づいてホスト名を定め、記述します。

≫ “GATEWAY”．．．ゲートウェイアドレスの値
構築中のLinuxサーバー のシステムの、 ゲートウェイアドレス を設定します。
このパラメータは、 “/etc/sysconfig/network-scripts/ifcfg-eth?” で、キーワード “GATEWAY” が設定されていない場合の デフォルト との設定なります。
つまり、 “/etc/sysconfig/network-scripts/ifcfg-eth?”
にきちんと設定されていればこのパラメータは不要ですが、念のため設定しておくことをおすすめします。
GATEWAY=192.168.100.1
と記述します。

CentOS6 の インストール を行うとき、ネットワークの設定  の説明通りに設定が行われていれば、基本的に修正の必要はないはずです。

ネットワークを設定しよう!! 

/etc/sysconfig/network-scripts/ifcfg-eth[0-9]
という設定ファイルの内容を編集します。
※ネットワークの設定ファイルは、 “root” ユーザー以外には変更できません。

【書式】 “キーワード”=”パラメータ”
これらの値は、NICが動作を開始するときに読み込まれます。 ひとつの設定値は一行に記述します。各行の記述の順序の指定は特にありません。
“#” で始まる行はコメント行です。 日本語に対応したテキストエディタを使う場合は日本語でコメントを入れることもできます。

【各キーワードの意味とパラメータについて】
≫ “DIVICE”．．．NICの名前
実際に設定値としてシステムが参照するのはこの値であって、ファイル名の “ifcfg-eth0″ ではありません。まぎらわしいので念のため。  構築中のLinuxサーバー 自身が、システムの中の様々な設定で、 NIC を特定して取り扱う場合の「識別名」です。
使用するNICがひとつで、またそのNICにひとつしか IPアドレス を割り当てない場合(つまり現在構築中のケース)は、
DEVICE=”eth0”
と記述します。

≫ “NM_CONTROLLED”．．．NetworkManagerの有効化
NIC の設定や制御を、 X-Window 上のネットワーク設定アプリケーション “NetworkManager”  で行うことを可能にするか否かの設定です。
通常は
NM_CONTROLLED=”yes”
として有効にしておきます。
“no” にすると、デスクトップでの設定や制御操作ができなくなります。

≫ “ONBOOT”．．．起動時のNIC有効化の有無
構築中のLinuxサーバー のシステムを起動したときに、自動的にその NIC を有効にするか、しないか、という設定です。パラメータ “yes” か “no” で指定します。
これが有効になっていないと、 構築中のLinuxサーバー の起動時にNICが動作せず、起動の度に手動で動作させなくてはならなくなります。当然、
ONBOOT=yes
と記述します。

≫ “TYPE”．．．接続タイプの設定
NIC の規格の設定です。
最近はほとんどがイーサネット接続ですから、 “Type=Ethernet” 以外の設定が行われるのは非常に珍しいといえます。例えば、アナログ モデム でインターネットに接続する場合などは、 “TYPE=Modem” という記述になります。  今回のケースでは、 構築中のLinuxサーバー は ルーター 配下に イーサネット で接続されていますから、
TYPE=Ethernet
と記述します。

≫ “BOOTPROTO”．．．IPアドレスの指定方法の選択
NIC の基本的な「振る舞い」の設定です。 その他、 “dialup” 、や “bootp” といった設定もありますが、今回のサーバー構築には無関係なので説明は割愛します。  もし、NICに対して直接 IPアドレス を設定するときは “none” 、 ルーター などを DHCPサーバー として稼動させ、NICに自動でIPアドレスを割り当てるときは “dhcp” と設定します。
当然ながら、 構築中のLinuxサーバー は、 サーバー として稼動させるためにIPアドレスを固定にする必要がありますから、
BOOTPROTO=none
と記述します。

≫ “IPADDR”．．．IPアドレスの値
NIC に割り当てる IPアドレス の設定です  。当然、
IPADDR=192.168.100.11
となります。

≫ “PREFIX”．．．プレフィックス長
構築中のLinuxサーバー が接続している サブネット の プレフィックス長 の設定です。
以前のバージョンのCentOSでは、 NETMASK=255.255.255.0 のように記述していました。  サブネットマスク値 “255.255.255.0” に相当するプレフィックス長  として、
PREFIX=24
と設定します。

≫ “GATEWAY”．．．ゲートウェイアドレスの値
サブネット の出入り口である ゲートウェイアドレス の設定です。つまり ルーター の IPアドレス が入ります  。
このパラメータを設定しない場合には、 “/etc/sysconfig/network/” (２．ネットワーク全体の設定)のキーワード “GATEWAY” の設定が参照されます。
つまり、複数の NIC を搭載して、NIC毎に異なるゲートウェイアドレスを設定する必要があるときには省略することはできません。
ただし、 「ゲートウェイアドレスの設定は、NICに対して個別に行う。」 という習慣にしておいたほうがスマートですから、ここで設定しておくことをおすすめします。
GATEWAY=192.168.100.1
となります。

≫ “DNS1″”DNS2″．．．参照DNSサーバーのアドレス
構築中のLinuxサーバー が自ら参照する DNSサーバー の IPアドレス を設定します。
NetwoorManager を利用しない場合は自動的に “/etc/resolv.conf” には書き込まれません。
この場合は後述する “/etc/resolv.conf” に所定の書式で直接記述する必要があります。  ここに記述されたDNSサーバーのIPアドレスは NIC が起動するときに、後述する “/etc/resolv.conf” に “nameserver” の値として書き込まれます。
つまりシステムが実際に参照するのはこの設定ファイルの記述部分ではなく “/etc/resolv.conf” の “nameserver” の値となります。
ここには、
DNS1=xxx.xxx.xxx.xxx
DNS2=yyy.yyy.yyy.yyy
と記述します。
DNSサーバーのIPアドレスは、 ISP のメンテナンスの場合などに備え、通常は二つ以上のDNSサーバーを参照しておく必要がありますので、ISPの契約書類をお読みになり、書類に記載のあるDNSサーバーを二つ以上記述しておくことをお薦めします。

≫ “DOMAIN”．．．DNS検索パス
構築中のLinuxサーバー が、検索する ホスト名 から ドメイン名 が省略されている場合に自動的に補完するドメイン名を設定します。
通常は 構築中のLinuxサーバー に設定する主ホスト名のドメイン名を記述します。 NetwoorManager を利用しない場合は自動的に “/etc/resolv.conf” には書き込まれません。 この場合は後述する “/etc/resolv.conf” に所定の書式で直接記述する必要があります。 ここに記述されたドメイン名は NIC が起動するときに、後述する “/etc/resolv.conf” に “search” の値として書き込まれます。
つまりシステムが実際に参照するのはこの設定ファイルの記述部分ではなく “/etc/resolv.conf” の “search” の値となります。
ここには、
DOMAIN=obenri.com
と記述します。

≫ “DEFROUTE”．．．デフォルトのNICの設定
構築中のLinuxサーバー に複数の NIC が接続されている場合に、システムが使用するNICを明示的に指定しない場合に用いられる デフォルト のNICを設定します。
NICが一つしかない場合には実際にはこの設定は意味を持ちませんが、後からNICを追加したときのために、
DEFROUTE=yes
と設定しておきます。

≫ “IPV4＿FAILURE_FATAL”．．．IPv6を利用するか否か
この NIC が、 IPv4 による設定を試みてうまくいかなかったとき、 IPv6 が利用可能であればIPv6を有効にするか、それともIPv6が利用可能であっても使用しないか、を選択する設定です。
“no” を設定すれば前者、 “yes” で後者となります。
この コンテンツ ではIPv6でのサーバー構築については触れません。
IPV4＿FAILURE_FATAL=yes
と設定します。

≫ “IPV6INIT”．．．IPv6の有効化
NIC で IPv6  を利用するかどうかの設定です。
このコンテンツではIPv6は扱いませんので記述しないか、明示的に IPV6INIT=no と設定しておきます。

≫ “NAME”．．．NetworkManagerの認識名
X-Window 上のネットワーク設定アプリケーション “NetworkManager”  が NIC を認識するときの名前です。通常は変更せずに、
NAME=”System eth0″
としておきます。

≫ “UUID”．．．システムが付与する認識名
CentOS が、 NIC 周辺機器の一つとして命名する、 ユニーク な認識名です。
NICが始めて認識され、有効になったときに付与されるもので、以後この 構築中のLinuxサーバー における一意的な名前として扱われます。
そのまま変更しません。

≫ “HWADDR”．．．NICのMACアドレス
NIC の MACアドレス の設定です。
NICが認識されたときに通常は自動的に設定されます。
そのままにしておきます。
CentOS6 の インストール を行うとき、ネットワークの設定  の説明通りに設定が行われていれば、基本的に修正の必要はないはずです。

ネットワーク設定をしよう!! 

1. /etc/sysconfig/network
CentOS全体で共通のネットワーク情報の設定ファイル

2. /etc/sysconfig/network-scripts/ifcfg-eth[0-9]
NIC(Network Interface Card)毎 に依存するネットワーク情報の設定ファイル （/etc/sysconfig/networkの設定を継承する）
※各NICに割り当てられた名前で自動的に割り振られ、0~9が採番される。NICが1つの時は"eth0"となる

3. /etc/resolv.conf
このOSが利用するDNSサーバー 情報の設定ファイル
※LAN構築のためルータ本体などをネームサーバとして利用しIPを固定する場合は、ここで指定を行う

4. /etc/hosts
このOS が参照する 名前解決ファイル

5. /etc/host.conf
6. /etc/nsswitch.conf
このOSが参照する 名前解決システムの優先順位の設定ファイル

ユーザアカウントを作成しよう!! 

CentoOS6における”root”アカウントは、そのシステムを自由に操作することができる
＝システムに不具合を起こすような操作や設定も可能
ということなので、一般ユーザで操作しましょうね!!

・・・ということで、ユーザアカウントを作成しましょう。

・ユーザ作成(useraddコマンド)
useradd [ユーザ名] <enter>

・作成したユーザのパスワード設定(passwdコマンド)
passwd [作成したユーザ名] <enter>
⇒設定したいパスワード入力を聞かれる

【補足】
CUIのプロンプトの大きな違い・・・
“root”アカウントでログインした場合と、その他のユーザアカウントでログインした場合とでは、右端が「#」と「$」と異なっているので、「#」が表示されているときは、”root”ユーザでログインしているので、気をつけて作業しましょう!!