Context Navigation

Changes between Version 1 and Version 2 of HowTo/SakuraVpsSetup

Timestamp:: Oct 9, 2010, 7:06:59 PM (15 years ago)
Author:: 村山俊之
Comment:: --

Legend:

: Unmodified
: Added
: Removed
: Modified

HowTo/SakuraVpsSetup

-              v1
+              v2
 }}}
 . root パスワード無効化、 sudo ログの設定は、お好みで。
+== シェルのロケール設定 ==
+bash を UTF-8 による日本語表示に対応させる。
+{{{
+$ cd
+$ vim .bash_profile
+# 以下の行を追加
+export LANG=ja_JP.UTF-8
+$ sudo su -
+$ vim .bash_profile
+# root ユーザーでも日本語表示したい場合はこちらも同様に設定する。
+export LANG=ja_JP.UTF-8
+}}}
+お好みで。
 == BIND の設定 ==
 …
 $ /etc/init.d/named stop
 }}}
+== パケットフィルタリング設定 ==
+iptables は入っていて、動いていたが、肝心要の設定ファイル /etc/sysconfig/iptables が存在しなかった。移転前のサーバーからこのファイルをコピーし、それを適宜修正してから稼働させた。
+. /etc/sysconfig/iptables-config の内容を確認。
+{{{
+$ sudo su -
+$ vim /etc/sysconfig/iptables-config
+# 以下の行が移転前サーバーと異なっていたが、気にせずそのままにした。
+IPTABLES_MODULES=""
+}}}
+   * ちなみに、移転前サーバーではこの行は以下のようになっていた。
+{{{
+IPTABLES_MODULES="ip_conntrack_netbios_ns"
+}}}
+   * これは iptables 用に読み込むモジュールの指定で、指定できるモジュールは CentOS の場合、以下のようにすることで調べることができる。
+{{{
+$ ls /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/
+}}}
+   * ip_conntrack モジュール (接続情報トラッキング) や ip_conntrack_ftp モジュール (ip_nat_ftp と組み合わせて FTP の PASV モードに対応?) なんかはネットで情報が出てくるが、 ip_conntrack_netbios_ns については、読み込みに失敗したから外しました、といったような情報しか出てこなかった。 Windows マシンからの通信絡みなんだろうとは思うんだが…詳細きぼん… さくらの VPN にもこのモジュールは存在するので指定してもエラーにはならないが、何に使うものかも分からないで指定するのも無意味なので外しておくことにした。
+. /etc/sysconfig/iptables を移転前サーバーからコピーする。
+   * まず、移転前サーバーにて。
+{{{
+$ sudo cp /etc/sysconfig/iptables .
+$ sudo chown murachi:wheel iptables
+}}}
+   * 次に、移転先サーバーにて。
+{{{
+$ rsync -ae ssh onaka.harapeko.jp:/home/murachi/iptables .
+$ sudo su -
+$ chown root:root /home/murachi/iptables
+$ mv /home/murachi/iptables /etc/sysconfig/
+}}}
+. /etc/sysconfig/iptables の内容を適宜修正。
+{{{
+$ vim /etc/sysconfig/iptables
+# Firewall configuration written by system-config-securitylevel
+# Manual customization of this file is not recommended.
+*filter
+:INPUT ACCEPT [0:0]
+:FORWARD ACCEPT [0:0]
+:OUTPUT ACCEPT [0:0]
+:RH-Firewall-1-INPUT - [0:0]
+-A INPUT -j RH-Firewall-1-INPUT
+-A FORWARD -j RH-Firewall-1-INPUT
+-A RH-Firewall-1-INPUT -i lo -j ACCEPT
+-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
+-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
+-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
+-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
+#-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
+#-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
+-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
+# DNS
+-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
+-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
+# Service applications with TCP: ssh, SMTP, SMTP Submission port, POP3S, HTTP(S)
+-A RH-Firewall-1-INPUT -m state --state NEW -m multiport -p tcp --dports 22,25,587,995,80,443 -j ACCEPT
+# NTP
+-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT
+# other (reject)
+-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
+COMMIT
+}}}
+   * ポート 631 (=Internet Printing Protocol) なんて使わないのでコメントアウト。
+   * TCP でしか使わないようなサービス (ssh, SMTP (サブミッションポート含めて), POP3S, HTTP(S)) を multiport モジュールを使って 1行にまとめたらファイルがやたらとコンパクトになって良い感じ。
+   * セキュリティリスクにしかならない FTP と POP3 は未来永劫使う予定無いので思い切って削除。
+. iptables を再起動する。
+{{{
+$ /etc/init.d/iptables restart
+}}}
+== Postfix 設定 ==
+メールサーバーは Postfix を使用する。詳細な設定は DNS を有効にし、 SSL を組み込んでからさらに行う。ここではとりあえずインストールと
+. デフォルトで入っている Sendmail を停止し、二度と起動しないようにする。
+{{{
+$ /etc/init.d/sendmail stop
+$ chkconfig --del sendmail
+}}}
+. Postfix をインストール。
+{{{
+$ sudo su -
+$ yum install postfix
+}}}
+. SMTP-AUTH を利用する為、 SASL をインストールする。
+{{{
+$ yum install cyrus-sasl
+}}}
+. /etc/postfix/main.cf を書き換える。
+{{{
+$ vim /etc/postfix/main.cf
+# 以下は既存の項目を書き換え。
+myhostname = developer.harapeko.jp
+inet_interfaces = all
+mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
+mynetworks_style = host
+home_mailbox = Maildir/
+# (こっちはコメントアウト。 X Window とか使わないし)
+#debugger_command =
+#        PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
+#        xxgdb $daemon_directory/$process_name $process_id & sleep 5
+# (こっちのコメントアウトを外す。)
+debugger_command =
+        PATH=/bin:/usr/bin:/usr/local/bin; export PATH; (echo cont;
+        echo where) | gdb $daemon_directory/$process_name $process_id 2>&1
+        >$config_directory/$process_name.$process_id.log & sleep 5
+# SASL 関連の設定; SSL 証明書を取得するまでコメントアウト
+#smtpd_sasl_auth_enable = yes
+#smtpd_sasl_security_options = noanonymous, noplaintext
+#smtpd_sasl_local_domain = $myhostname
+#smtpd_tls_cert_file = /etc/httpd/conf/developer_harapeko_jp.crt
+#smtpd_tls_key_file = /etc/httpd/conf/developer.harapeko.jp.key.pk
+#smtpd_tls_CApath = /etc/httpd/conf/
+#smtpd_use_tls = yes
+#smtpd_tls_auth_only = yes
+#smtpd_tls_session_cache_timeout = 3600s
+#smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
+# メールサイズを 10MB に制限
+message_size_limit = 10485760
+}}}
+. Maildir/ 形式を利用するので、ホームディレクトリスケルトンに Maildir ディレクトリを作成する。
+{{{
+$ mkdir -p /etc/skel/Maildir/{new,cur,tmp}
+$ chmod -R 700 /etc/skel/Maildir/
+}}}
+. /etc/postfix/master.cf を書き換える。
+{{{
+$ vim /etc/postfix/master.cf
+# サブミッションポートを有効にする
+submission inet n       -       n       -       -       smtpd
+#  -o smtpd_sasl_auth_enable=yes    # あとで
+}}}
+. システムで使用するサーバー機能を Postfix に切り替える。
+{{{
+$ alternatives --config mta
+There are 2 programs which provide 'mta'.
+  Selection    Command
+-----------------------------------------------
+*+ 1           /usr/sbin/sendmail.sendmail
+           /usr/sbin/sendmail.postfix
+Enter to keep the current selection[+], or type selection number: 2
+}}}
+. Postfix を起動し、問題なければサーバー起動時に自動起動するよう設定する。
+{{{
+$ /etc/init.d/postfix check
+$ /etc/init.d/postfix start
+$ chkconfig --add postfix
+}}}
+. /usr/lib/sasl2/smtpd.conf を作成する。
+{{{
+$ vim /usr/lib/sasl2/smtpd.conf
+pwcheck_method: auxprop
+auxprop_plugin: sasldb
+mech_list: cram-md5 digest-md5
+}}}