ぼんずーず

http://d.hatena.ne.jp/kobakey/searchdiary?word=%2A%5B%A4%B5%A4%AF%A4%E9VPS%5D

http://w3-info.net/sakuravps.html

http://mani-lab.seesaa.net/

http://akabeko.sakura.ne.jp/blog/2010/09/%E3%81%95%E3%81%8F%E3%82%89%E3%81%AEvps-%E3%82%92%E4%BD%BF%E3%81%84%E3%81%AF%E3%81%98%E3%82%81%E3%82%8B/

http://wata-jp.ldblog.jp/archives/1606112.html

http://tech.hitsug.net/?FrontPage

http://centos.server-manual.com/index.html

すみからすみまで
http://www.fc-lab.com/network/server/index.html

さくら社長のエントリーも読みましょう
http://tanaka.sakura.ad.jp/archives/001065.html

そのほかメモ

phpmyadminを使いたいので
php-mcryptをインストール

yum -y install php-mcrypt.x86_64

Complete!

その後 phpmyadmin の
「mcrypt 拡張をロードできません。PHP の設定を確認してください」
は変わらず・・・。

http://ufuso.dip.jp/faq/?p=133

こちらを試しましたが，
php5.3 と mysql5.1 以上でないと上手く行かないようです。

依存関係のあるmysql-libs-5.1.56-1.el5.remi.x86_64 が 5.0とのconflictでインストールされていないので，
mysqlをupdateして

さらに

Installing:
 libmcrypt-devel               x86_64               2.5.8-4.el5.centos                     extras                  10 k
Updating:
 php-mcrypt                    x86_64               5.3.6-1.el5.remi                       remi                    47 k
Installing for dependencies:
 libedit                       x86_64               20090923-3.0_1.el5.rf                  rpmforge               272 k
 libtool-ltdl                  x86_64               1.5.22-7.el5_4                         base                    38 k
 mysql-libs                    x86_64               5.1.56-1.el5.remi                      remi                   1.7 M
 t1lib                         x86_64               5.1.2-1.el5.rf                         rpmforge               388 k
Updating for dependencies:
 php                           x86_64               5.3.6-1.el5.remi                       remi                   1.4 M
 php-cli                       x86_64               5.3.6-1.el5.remi                       remi                   2.6 M
 php-common                    x86_64               5.3.6-1.el5.remi                       remi                   972 k
 php-devel                     x86_64               5.3.6-1.el5.remi                       remi                   623 k
 php-gd                        x86_64               5.3.6-1.el5.remi                       remi                   208 k
 php-imap                      x86_64               5.3.6-1.el5.remi                       remi                    87 k
 php-mbstring                  x86_64               5.3.6-1.el5.remi                       remi                   2.3 M
 php-mysql                     x86_64               5.3.6-1.el5.remi                       remi                   158 k
 php-pdo                       x86_64               5.3.6-1.el5.remi                       remi                   117 k
 php-pgsql                     x86_64               5.3.6-1.el5.remi                       remi                   133 k
 php-xml                       x86_64               5.3.6-1.el5.remi                       remi                   221 k

これを受け入れるしかないようだ・・・？

でもphpmyadmin/README
には

Requirements:
    php 5.2 or later
    MySQL 5.0 or later
    a web-browser (doh!)

なので謎。

使うか分からないけど，楽しそうなので，入れてみたい。
導入後更新予定。
タイトルのみ。

Webmin
suz-lab - blog: “yum”で”Webmin”をインストール
さくらインターネットVPS Webminをyumレポジトリからインストール ≪ KhmerBrains.NET

SSL使う場合

さくらインターネットVPSでWebminをSSLで使う ≪ KhmerBrains.NET
＠IT：WebminでSSLを使うには

SSL用のモジュールは，webadmin専用なのでrpmでインストールが吉のよう

研究中。
忘れないように，タイトルのみ。
ひとまず完了して運用中。（2011/04/04）
後でspamassassinを入れるときにもう一度更新予定。

概要

さくらvps の CentOS5には 標準でSendmailが入っている。
要件１）レンタルサーバでメールユーザとアカウントをドメインごとに追加・編集して
メールソフト経由で送受信ができる。
要件２）PHPからメール送信ができる

上記の状態にしたい。

心配な点は

その１・PHPのメール送信プログラムの変更がすんなり行くのか
その２・独自ドメイン（ヴァーチャルホスト）ごとのメール送受信（DNSの設定がいるのか？など知識がない）が
上手く動作するのか，セキュアな運用ができるのか

といった点です。

その１に関しては

http://centossrv.com/postfix.shtml
こちらを調べて，

ついでに
/etc/php.ini の
sendmail_path= = /usr/sbin/sendmail

で

ls -la /usr/sbin/sendmail
/usr/sbin/sendmail -> /etc/alternatives/mta

と，なにやらリンクがはってあるのと

（２）メールサーバー切替え
システムで使用するメールサーバー機能をsendmailからPostfixに切替える

http://centossrv.com/postfix.shtml

の記述で，phpからの利用を含めてシステムでのメールサーバ機能は上手く切り替えができそうなので思い切って作業を進める。

postfixとdovecotを利用することにする。

(2011/04追記）
なんだかんだでメールサーバ導入後に開いたポートは
25
110
587
995

でした。（追記終わり）

送信メールサーバ

http://centossrv.com/postfix.shtml
こちらを参考にさせていただきながら，内容に沿ってゆきます。

# yum -y install postfix

Installed:
  postfix.x86_64 2:2.3.3-2.1.el5_2

Complete!

/etc/postfix/main.cf
の設定は問題なし。

[root@centos ~]# vi /usr/lib/sasl2/smtpd.conf　←　SMTP-Auth認証設定ファイル編集
pwcheck_method: saslauthd
↓
pwcheck_method: auxprop　←　変更

こちらは，
/usr/lib/sasl2/smtpd.conf が見つからない！と思ったら
さくらのcentOSは64ビットが標準なので
/usr/lib64/sasl2/smtpd.conf
こちらにありました。
（参考）http://isp-control.net/forum/thread-10147-post-78150.html#pid78150

SMTPについては
Postfix2 で SMTP-AUTH - Linux で自宅サーバ [ Home Server Technical. ]
こちらにも詳しく書いてあります。
postfix での SMTP-Authを使う理由など

第三者によるメール送信サーバ不正中継の確認
第三者中継チェック RBL.JP（２１項目）
Mail relay testing（１７項目）

いずれも上記解説サイト内で紹介されているものです。
ご自身の管理サーバに対してのみ行うようにしてください。

受信メールサーバ

http://centossrv.com/postfix.shtml
ほぼこちらの通りで完了。

そのほか参考
PostfixでSMTP-AUTHを実装する方法（SASL2編） - Linuxで自宅サーバ構築（新森からの雑記）
突然メールが送信できなくなった時の話
Centos Postfix op25b 対策　587
RBL.JP
ウエブサイトにメールアドレスをのせましょう

補足

SMTP-Auth 用のアカウント情報での送信が可能となった。
メール受信はシステム用のアカウント情報で受信している。
これを同じにするには， 作成したメール用ユーザのアカウント情報と，メール送信用のSMTP-Auth用アカウント情報を同じにすれば
良いということなのだろうか。
現状では，メールソフトの設定を送受信別々で設定している。

メールアカウントの追加は

# useradd -s /sbin/nologin USERNAME
<input password

# echo "password" | saslpasswd2 -p -u my.domain -c USERNAME

smtpパスワードの変更

# saslpasswd2 -u my.domain USERNAME
<input password

こういうのはwebminそのほかコンパネ類を使用したときは
どう対応しているのだろうか。使えば分かるか。

・sshのchroot対応
SSHサーバー構築(OpenSSH) - CentOSで自宅サーバー構築

標準のcentOSのopoensshは バージョンが古く，chroot対応していないとのこと。
必要性を調べ，sshサーバの再インストールを行う。ことになるかも。

あと，587の対応は /etc/postfix/master.cf で submissionコメントアウト。
Centos Postfix op25b 対策　587

参考サイト

外部からメールサーバを使えるようにする - satake7’s memo

http://www.wingnotes.net/linux_server/sendmail.html
http://www.wingnotes.net/linux_server/googleapps_sendmail_mta.html
http://d.hatena.ne.jp/satake7/20080301/1208502364

導入

Name Resolution - BIND Installation and Initial Configuration
http://www.ohoclick.com/index.php/8-centos/%E5%88%9D%E6%9C%9F%E8%A8%AD%E5%AE%9A/2-dns%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BCbind%EF%BC%88%E3%83%90%E3%82%A4%E3%83%B3%E3%83%89%EF%BC%89

http://co-akuma.directorz.jp/blog/category/dns%E3%81%A3%E3%81%A6%E4%BD%95%EF%BC%9F/

めっちゃ丁寧
http://kajuhome.com/bind.shtml

ＬＡＮ内だけど分かりやすい
http://www.obenri.com/_dnsserver/bind.html

全部熟読で大体分かる
http://www.atmarkit.co.jp/flinux/index/indexfiles/bind9index.html

インストール・設定

http://centossrv.com/bind-centos5.shtml
http://centos.server-manual.com/centos5_bind9.html
http://x10hosting.com/forums/vps-tutorials/126717-setting-up-bind-centos-5-5-a.html
BIND(chroot) ? パッケージ | Enjoy Everything

CPIのVPS用ですがとても参考になります
PCトータルサポートの丸山システムのホームページ、ブログ、SNS、販売ページ+メルマガ活用情報のDNSサーバ構築
PCトータルサポートの丸山システムのホームページ、ブログ、SNS、販売ページ+メルマガ活用情報のMailサーバ構築
ツール編 読んでいるだけでわくわくします
PCトータルサポートの丸山システムのホームページ、ブログ、SNS、販売ページ+メルマガ活用情報のレンタルサーバ基本ツール

参考・そのほか

まだ勉強中。
導入後，更新。

http://www.searchman.info/fedoracore4_apply/sev1060.html

改ざん検知

tripwire
http://sourceforge.net/projects/tripwire/files/tripwire-src/

tripwire インストール 使い方 ～ 設定
http://www.asahi-net.or.jp/~wv7y-kmr/memo/tripwire.html

CentOS 5 に Tripwire をインストールする
CentOS 5 で Tripwire を使ってみる
CentOS 5 で Tripwire のレポートを見る

とりあえずは
http://centossrv.com/tripwire.shtml
こちらの通りに設定を行いました。
シェルスクリプトとcron.dへの追加部分は
/etc/cron.daily/tripwire へシェルスクリプトの内容を追加しました。

その際は
http://www.kozupon.com/cron/cron1.html
にてcronのスケジューリングを参照しました。

侵入検知

ＩＤＳについて基礎
Tripwire and Snort the start
snort + tripwire -
Using Snort, Nessus and Tripwire for network security

勉強中

導入後 更新予定

DOS攻撃対策

# vi /etc/sysctl.conf
最終行に
net.ipv4.tcp_syncookies = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

http://centos.server-manual.com/centos5_iptables.html

アンチウィルス

http://centos.server-manual.com/centos5_clamav.html

http://tech.hitsug.net/?CentOS%2F%E3%82%A2%E3%83%B3%E3%83%81%E3%82%A6%E3%82%A3%E3%83%AB%E3%82%B9%EF%BC%88Clam%20AntiVirus%EF%BC%89

バッファオーバーフロー対策

# cat /proc/sys/kernel/exec-shield
1
で無効を確認

# echo 2 > /proc/sys/kernel/exec-shield
# cat /proc/sys/kernel/exec-shield
2
で有効化+確認

さらに

# vi /etc/sysctl.conf

で最終行に

kernel.exec-shield = 2

追加をすることで起動時有効に。

以上こちらから
http://centos.server-manual.com/centos5_setup.html

chkrootkit

RPMforge リポジトリのインストールが必要

インストール

# yum -y --enablerepo=rpmforge install chkrootkit

実行

# chkrootkit | grep INFECTED 感染報告を抽出
# 何もなければOK

ｃｒｏｎで実行

# vi /root/chkrootkit

以下を書き込む

#!/bin/bash

PATH=/usr/bin:/bin

TMPLOG=`mktemp`

# chkrootkit実行
chkrootkit > $TMPLOG

# ログ出力
cat $TMPLOG | logger -t chkrootkit

# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
   [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
        sed -i '/465/d' $TMPLOG
fi

# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root

rm -f $TMPLOG

実行権限をつけて cron.daily へ移動

# chmod 700 /root/chkrootkit
# mv /root/chkrootkit /etc/cron.daily/

以上，こちらから。
http://tech.hitsug.net/?CentOS%2Frootkit%E6%A4%9C%E7%9F%A5%E3%83%84%E3%83%BC%E3%83%AB%E5%B0%8E%E5%85%A5%EF%BC%88chkrootkit%EF%BC%89

phpmyadmin 入れる場合

すごーーく狙われるので
わかりにくいURLとパスにインストールして
Basic認証が必須です。
IP制限もかけた方が良いです。

htpasswdの使い方
WWWでのアクセス制限の方法

Virtual Host設定する場合

未設定サブドメインでのアクセス時の制限をかけます。
VirtualHost機能を使用する場合は必須です。

デフォルトバーチャルホストを無効にする - WebOS Goodies

HostName tmp
DocumentRoot /dev/null

という書き方もありますが
Locationで
Deny All の方がはっきりしていて良いと思います。

インストール

yum -y install php
で
php
php-cli
php-common
が入る。

yum -y install php-devel php-mbstring php-msql php-pdo php-pgsql php-pear php-gd php-xml php-imap
あたりを入れておく。

設定

# vi /etc/php.ini

expose_php = off
その他はご自由に。

phpのアップデート

リポジトリを追加

% cd /etc/yum.repos.d
% wget http://dev.centos.org/centos/5/CentOS-Testing.repo

/etc/yum.repos.d/CentOS-Testing.repoを書き換える

[c5-testing]                                                                    
name=CentOS-5 Testing
baseurl=http://dev.centos.org/centos/$releasever/testing/$basearch/
enabled=0
gpgcheck=1
gpgkey=http://dev.centos.org/centos/RPM-GPG-KEY-CentOS-testing
priority=1
includepkgs=php*

実行

yum --enablerepo=c5-testing update

http://d.hatena.ne.jp/kobakey/20101212/1292177210

こちらから

上記は一例です。

utterramblings.repo
http://jp.layer8.sh/reference/entry/show/id/2463
もあります。

よく分からないけどshスクリプト落としてから
yum update という方法

http://havelog.ayumusato.com/develop/server/e154-sakura-vps-setup5.html

remiで 5.3 にもできます
http://havelog.ayumusato.com/develop/server/e174-php-533-update.html

こちらの
RPMforge ， EPEL ， Remi をインストールし，
yum-prioritiesというプラグインで優先順位を指定し
特にRemiなどは必要なときのみ使うので enabled=0 に1して
yum update の際に –enablerepo のオプション指定から使うなど
管理方法がとても参考になります。
http://centos.server-manual.com/centos5_repository.html

書き忘れているものなど
昔のメモから

不要サービスと不要なコンソールの停止

不要サービス 停止
chkconfig ?list
chkconfig [サービス名] off

vi /etc/inittab
[change]
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6
↓
#2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6

（2011/4/4 追記）
もう一度調べていて見つけたのですが，上記は
http://tanaka.sakura.ad.jp/archives/001065.html
さくらインターネットさん社長の記事からでした。
2011年４月現在では，上記inittabの記載はデフォルトでコメントアウトされていました。

また，SELinux もデフォルトでdisabledとなっていました。
（ / 追記 ここまで）

postgreも初期設定

user] su ?
root] ? postgres
postgres]
で
postgres] initdb -W -E EUC_JP ?no-locale

こんなのも

パッケージの更新の設定
yum updatesdの削除
yum -y update
yum -y install yum-cron
yum-cron start
chkconfig yum-cron on

調べたところ

yum-updatesdとyum-cronがあり

yum-updatesdは常駐型でメモリをつかい続ける

yum-cronは非常駐型(cron型)でそういった心配はない

デフォルトではyum-updatesd稼働してるらしいので、yum-cronと入れ替える
http://d.hatena.ne.jp/kobakey/20101205/1291562229

こういった関連からメモしていたらしい
上記を拝見しますと

設定ファイルの変更

# vi /etc/sysconfig/yum-cron

このあたりの設定も必要ですね。

次でphp
終わったら，bind と メール あたりで
普通に使えるようになるかな。

postgres初期設定の追記

# postgre すると何か怒られた

# /etc/init.d/postgres start
すると，初回のみ

init database [ ok ]
start service [ ok ]
的な感じで， データベースの初期化が行われる。
作成されたデータベースを削除する場合は
/var/lib/pgsql/data
の中身を全部削除すれば良いといわれる。
不意に start したために
オプション付けずに initdb されてしまったようなので，
# rm -f -r /var/lib/pgsql/data
して，
# su - postgres
すると
$ となるので
$ initdb –encoding=EUC_JP
すると
OKだったようだ。

あと，自動開始サービスへの登録などは
http://linux.kororo.jp/cont/server/postgresql.php
こちらを参照
設定ファイルや，そのほか詳しくは，使うときに調べる。

とりあえず， postgres stop しておく。

後にphpから実行できない場合こちらを確認

/etc/php.ini 、/etc/php.d/pgsql.ini の両ファイルで extension=pgsql.so が指定されているため、/etc/php.ini もしくは /etc/php.d/pgsql.ini のどちらかの設定ファイル内で extension=pgsql.so 行をコメント(無効)し、postgresql・httpdを再起動すれば接続できるようになります。
http://shikabo.ddo.jp/83.html

参考サイト

直近で参考にさせていただいたサイトさま。

とても見やすくわかりやすく
http://tech.hitsug.net/?CentOS

さくらvps
http://akabeko.sakura.ne.jp/blog/category/web/
http://havelog.ayumusato.com/develop/server/e154-sakura-vps-setup5.html
http://d.hatena.ne.jp/kobakey/searchdiary?word=%2A%5B%A4%B5%A4%AF%A4%E9VPS%5D

yum -y install httpd

ｍｙｓｑｌとphpを入れたいのだけれど
phpのposgresqlのドライバは先にPostgreが入っていないとインストールされないので，
ｐｈｐより先にpostgreを一応入れておくと
後にec-cubeなど使いたい場合に吉
なはず
なので

yum -y install httpd の後は

yum -y install mysql mysql-server
yum -y install postgresql-server

各種初期設定

httpd.conf
の設定
ServerTokens を Prod に
ServerSignature を Offに
各Directory に -Indexesを付加
などなど

mysql の初期設定は

（の前に iptablesで 3306 と 5432 を許可しておく）

/etc/my.cnf
の編集

[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
# Default to using old password format for compatibility with mysql 3.x
# clients (those using the mysqlclient10 compatibility package).
old_passwords=1

# add
default-character-set=utf8
skip-character-set-client-handshake

[mysqld_safe]
err-log=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid

#add
[client]
default-character-set=utf8
[mysql]
default-character-set=utf8
[mysqldump]
default-character-set=utf8

chkconfig mysqld on 登録
chkconfig –list mysqld 確認

service mysqld start

してみてfailed の場合
http://blog.mizoshiri.com/archives/166
こちらの

# mysql_install_db

または

# chown -R mysql:mysql /var/lib/mysql

のどちらかが功を奏し無事起動

途中で mysql mysql-server をyum remove / install したりもしました
続いて初期設定

1)root のパスワードを設定

# mysqladmin -u root password 'your roots password'

2)いらない子を削除
http://tech.hitsug.net/?CentOS%2FMySQL%2F%E5%88%9D%E6%9C%9F%E8%A8%AD%E5%AE%9A
こちらの通り

以前は匿名ユーザは1人ずつ削除していましたが

mysql> delete from user where user = '' or ( user = 'root' and host != 'localhost' );

が便利でした。参考になりました。

3)作業用root権限付きユーザの作成

grant all on *.* to xxxx@localhost identified by 'yyyy' ;

このくらいはそらでいける！

4)確認

同じく
http://tech.hitsug.net/?CentOS%2FMySQL%2F%E5%88%9D%E6%9C%9F%E8%A8%AD%E5%AE%9A
こちらから，

mysql> status;
mysql> show status;
mysql> show variables;
mysql> show variables like 'character_set_%';

でmysqlは終わり。

次にphpやります。

yum update
終わったら
iptables

とりあえず
ssh http だけポート開放予定
http://akabeko.sakura.ne.jp/blog/2010/09/%E3%81%95%E3%81%8F%E3%82%89%E3%81%AEvps-%E3%82%92%E4%BD%BF%E3%81%84%E3%81%AF%E3%81%98%E3%82%81%E3%82%8B-3/
こちらを参考に

yum list installed | grep iptables
でインストール済み確認

iptables.x86_64 1.3.5-5.3.el5_4.1 installed
iptables-ipv6.x86_64 1.3.5-5.3.el5_4.1 installed

iptables -L
で現状確認

/etc/sysconfig/iptables

に

*filter
:INPUT   ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT  ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH, HTTP
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 12344 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80    -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

で保存し

service iptabels restart
で設定を再読み込み

chkconfig iptables on
で有効に
chkconfig –list iptables
で確認

もう一度
iptables -L
で設定を確認しておく