あにょの自宅サーバ構築メモ（CentOS）

rootkit検知

Tue, 13 Dec 2011 06:33:01 +0900

rootkit検知時のみroot宛にメール送信するようになってるが、今朝、Cron /root/chkrootkit.shから、次のようなメールが届いた。

Searching for Suckit rootkit... Warning: /sbin/init INFECTED

調べてみると、リブートしたら検知されなくなったという書き込みがあるので、とりあえずリブートして、rootkitのチェックを行う。

[root@server1 ~]# chkrootkit | grep INFECTED
[root@server1 ~]#

なにも検知されない。

メインサーバと予備サーバで、md5sum /sbin/initのコマンドを実行したところ、結果は全く同じで、INFECTEDされたような形跡はどうも無いようだ。

メインサーバ
[root@server1 ~]# md5sum /sbin/init
5fff3eac49eecf6625085dd9d0f39292  /sbin/init
予備サーバ
[root@server2 ~]# md5sum /sbin/init
5fff3eac49eecf6625085dd9d0f39292  /sbin/init

rpm -V `rpm -qf /sbin/init`を実行し、なにか表示されたら変更された可能性がある。

S ファイルサイズが異なっている
5 MD5チェックサムが異なる
L シンボリックリンクが変更されている
T ファイルの更新時刻が変更されている
D デバイスファイルが変更されている
U ファイルの所有者が変更されている
G ファイルの所有グループが変更されている
M ファイルのパーミッションが変更されている

[root@server1 ~]# rpm -V `rpm -qf /sbin/init`
[root@server1 ~]#

何も表示されない。

今日のところはひとまずよしとするが、もう少し調べてみて本当にrootkitに感染してるようなら、再インストールするしか無いかも。

メインサーバ機入れ替え

Sun, 25 Sep 2011 09:43:00 +0900

途中でパーツを新しくしたものもありますが、サーバ自体はかれこれ6年になります。特にこれといって不満があるわけでもないのですが、そろそろ新しいサーバにバトンタッチする時期かなと思い入れ替えることにしました。HPのこのサーバは安いしコンパクトです。

■ ProLiant MicroServer
本体はHPのProLiant MicroServerを購入。HDDが4台内蔵可能ですが、その割には、21×26×26.7cmと非常にコンパクトです。

中はこんな感じです。
RAIDで組むので250GBのHDDが2台、OSインストール用にDVDドライブを追加して有ります。

■ 仕様
プロセッサー　AMD Athlon™ II NEO N36Lプロセッサー（1.3GHz、15W、2MB）×1
キャッシュメモリ　1MB L2×2
メモリ 1GB　1×1GB）PC3-10600E DDR3 UB ECC
ストレージコントローラー　オンボードSATAコントローラー、オンボードRAID（0、1）を搭載
ハードディスクドライブ　250GBノンホットプラグLFF SATA×2台
内蔵ストレージ　ノンホットプラグSATA、最大8.0TB（4×2TB）
パワーサプライ　150Wノンホットプラグ、ノンリダンダントパワーサプライ
ネットワーキング　オンボードNC107i PCI Express Gigabit サーバーアダプター
オプティカルドライブ　DVDマルチドライブ
キーボード/マウス　標準ではなし
フォームファクター　Ultra Microタワー型

これをメインサーバ機とし、CentOS6.0をソフトウェアーRAIDでインストールして運用開始しました。

画像処理(ImageMagick) CentOS 6.0

Sat, 24 Sep 2011 23:57:00 +0900

ブログなどでサムネイルを作成するにはImageMagickとPerlMagickをサポートしたサーバーが必要で、サポートしてないサーバーでは元画像が縮小表示で表示され重くなる。そこで自宅サーバでもImageMagickとPerlMagickをインストールして、サムネイルを作れるようにする。

■ ImageMagickのインストール（デフォルトでインストールされている。）

[root@server1 ~]# yum -y install ImageMagick

■ PerlMagickのインストール

[root@server1 ~]# yum -y install ImageMagick-perl

■Nucleusでサムネイルを作成するには

Nucleusでサムネイルを作成するのに必要なphp-gdをインストール。
[root@server1 ~]# yum -y install php-gd

httpd を再起動
[root@server1 ~]# service httpd restart
httpd を停止中: [ OK ]
httpd を起動中: [ OK ]

▲ ページトップへ

アクセスログ解析（Awstats） CentOS 6.0

Sat, 24 Sep 2011 23:53:00 +0900

Awstats は視覚的に綺麗で、見やすいログ解析ツールだ。
日別・時間別・アクセス先など様々な統計情報を把握することが出来る。

■Awstatsのインストール
以下のコマンドでAwstatsをインストールする。

[root@server1 ~]# yum -y install awstats

awstatsを使うには、perlも必要。perl -vと入力して、
以下のような情報が返ってくれば、perlはインストールされている。

[root@server1 ~]# perl -v

This is perl, v5.10.1 (*) built for i386-linux-thread-multi

Copyright 1987-2009, Larry Wall

Perl may be copied only under the terms of either the Artistic License or the
GNU General Public License, which may be found in the Perl 5 source kit.

Complete documentation for Perl, including FAQ lists, should be found on
this system using "man perl" or "perldoc perl".  If you have access to the
Internet, point your browser at http://www.perl.org/, the Perl Home Page.

■ Awstatsの設定ファイルの編集

まず不要な設定ファイルを削除しておく
[root@server1 ~]# rm -f /etc/awstats/awstats.localhost.localdomain.conf

awstatsへ移動。
[root@server1 ~]# cd /etc/awstats

etc/awstats/のawstats.server1.yokensaka.com.conf を awstats.conf に変更。
[root@server1 awstats]# mv awstats.server1.yokensaka.com.conf awstats.conf

続いて、root権限で、このawstats.confを編集。
[root@server1 awstats]# su -

[root@server1 ~]# vi /etc/awstats/awstats.conf

SiteDomain="server1.yokensaka.com"
↓
SiteDomain="yokensaka.com"　←独自ドメイン名に変更

DNSLookup=2
↓
DNSLookup=1   ←　1に変更（DNSの逆引きにする設定に変更）

DirIcons="/awstatsicons"
↓
DirIcons="/icon"　←　アイコンのディレクトリー名を変更

SkipHosts="127.0.0.1"
↓　内部のクライアントはスキップするように変更
SkipHosts="127.0.0.1 REGEX[^192\.168\.1\.]"
Lang="auto"
↓
Lang="jp"　←　jpに変更

#LoadPlugin="tooltips"
↓　#を削除（該当する部分にマウスを当てるとヘルプが表示される。）
LoadPlugin="tooltips"

※ 最後にこのままだとアイコンが表示されないので、アイコンの入ってるフォルダ
/usr/share/awstats/wwwroot/icon を /var/www/html へコピーしておく。

■ awstats.plアクセス制限

[root@server1 ~]# vi /etc/httpd/conf.d/awstats.conf
最終行へ追加


    Order deny,allow
    Deny from all
    Allow from 127.0.0.1　←　サーバー自身からのアクセスを許可
    Allow from 192.168.1.　←　内部ネットワークからのアクセスを許可
    Allow from xxx.xxx.xxx.xxx　←　特定の外部IP(xxx.xxx.xxx.xxx)からのアクセスを許可


Apache設定反映
[root@server1 ~]# /etc/rc.d/init.d/httpd reload　
httpd を再読み込み中: [ OK ]

会社等からアクセスする場合、自分の会社の接続環境（IPアドレス）を調べ、/etc/hosts.allowへ登録する必要がある。そんな時は診断くんで確認できる。

■ httpdの設定ファイルの編集

httpdの設定ファイルの編集
[root@server1 ~]# vi /etc/httpd/conf/httpd.conf
長すぎるURI（414 Error）はログに記録しない
# The following directives define some format nicknames for use with
# a CustomLog directive (see below).
#
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
　　　　　　　　　↓
LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

ログの記録内容変更
# logged therein and *not* in this file.
#
#CustomLog logs/access_log common
この下に以下を追加
SetEnvIf Request_URI "default\.ida" no_log
SetEnvIf Request_URI "cmd\.exe" no_log
SetEnvIf Request_URI "root\.exe" no_log
SetEnvIf Request_URI "Admin\.dll" no_log
SetEnvIf Request_URI "NULL\.IDA" no_log
SetEnvIf Request_URI "\.(gif)|(jpg)|(png)|(ico)|(css)$" no_log
SetEnvIf Remote_Addr 192.168. no_log
CustomLog logs/access_log combined env=!no_log

以上で設定は完了ですので、一度httpdを再起動させる。
[root@server1 ~]# service httpd restart
httpd を停止中:                                            [  OK  ]
httpd を起動中:                                            [  OK  ]

■ ログファイルからデータファイルの作成


続いて、ログファイルからデータファイルの作成。
[root@server1 ~]# /usr/share/awstats/tools/awstats_updateall.pl now
Running '"/usr/share/awstats/wwwroot/cgi-bin/awstats.pl" -update -config=default -configdir="/etc/awstats"' to update config default
Create/Update database for config "/etc/awstats/awstats.conf" by AWStats version 7.0 (build 1.971)
From data in log file "/var/log/httpd/access_log"...
Phase 1 : First bypass old records, searching new record...
Searching new records from beginning of log file...
Phase 2 : Now process new records (Flush history on disk after 20000 hosts)...
Jumped lines in file: 0
Parsed lines in file: 0
 Found 0 dropped records,
 Found 0 comments,
 Found 0 blank records,
 Found 0 corrupted records,
 Found 0 old records,
 Found 0 new qualified records.

これで、/etc/cron.hourly/awstats が一時間毎に実行される。セットアップして1時間たってから、 http://サーバーアドレス/awstats/awstats.pl にアクセスすれば、解析結果が見れるようになっているはず。

Error: Couldn't open config file・・・というエラーが出る場合は
http://サーバーアドレス/awstats/awstats.pl?config=ドメイン名

▲ ページトップへ

ファイルサーバ(samba) CentOS 6.0

Sat, 24 Sep 2011 23:48:00 +0900

Lan内であれば、誰でもユーザー認証なしで読み書きできるフルアクセスの共有フォルダを「samba」を作成。

■ sambaがインストールされてるか調べる

[root@server1 ~]# rpm -aq|grep samba
samba-common-3.5.4-68.el6_0.2.i686
samba-winbind-clients-3.5.4-68.el6_0.2.i686
samba-client-3.5.4-68.el6_0.2.i686

■ sambaをyumでインストール


[root@server1 ~]# yum install samba
Loaded plugins: fastestmirror, refresh-packagekit
Loading mirror speeds from cached hostfile
 * base: mirror.khlug.org
 * centosplus: mirror.khlug.org
 * epel: ftp.jaist.ac.jp
 * extras: mirror.khlug.org
 * updates: ftp.jaist.ac.jp
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package samba.i686 0:3.5.4-68.el6_0.2 set to be updated
--> Finished Dependency Resolution

Dependencies Resolved

====================================================================================================
 Package             Arch               Version                         Repository             Size
====================================================================================================
Installing:
 samba               i686               3.5.4-68.el6_0.2                updates               5.0 M

Transaction Summary
====================================================================================================
Install       1 Package(s)
Upgrade       0 Package(s)

Total download size: 5.0 M
Installed size: 17 M
Is this ok [y/N]: y
Downloading Packages:
samba-3.5.4-68.el6_0.2.i686.rpm                                              | 5.0 MB     00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing     : samba-3.5.4-68.el6_0.2.i686                                                  1/1

Installed:
  samba.i686 0:3.5.4-68.el6_0.2

Complete!

■ フルアクセスの共有フォルダ「share」の作成

[root@server1 ~]# mkdir /home/share 

権限変更
[root@server1 ~]# chmod 777 /home/share 

所有者変更
[root@server1 ~]# chown nobody:nobody /home/share

すでに作成してある共有フォルダ全てのフォルダ、ファイルの所有者を変更する必要がある場合
[root@server1 ~]# chown -R nobody /home/share

■ samba設定ファイル変更

[root@centos ~]# vi /etc/samba/smb.conf 
[global]
日本語文字コード変更（追記）
     unix charset = UTF-8
     dos charset = CP932

ワークグループを環境に合わせて変更
     workgroup = WORKGROUP

ネットワーク内のみからアクセス許可
     hosts allow = 127.　192.168.1.

ユーザー認証なしの設定に変更
        security = share

共有フォルダ（ゴミ箱機能付きの）「share」 セクションの作成(最終行に追加)
[share]
   path = /home/share
   writable = yes
   guest ok = yes
   guest only = yes
   create mode = 0777
   directory mode = 0777
   share modes = yes
   vfs objects = recycle
   recycle:repository = .recycle
   recycle:keeptree = no
   recycle:versions = yes
   recycle:touch = no
   recycle:maxsize = 0
   recycle:exclude = *.tmp ~$*

■ sambaの起動

[root@server1 ~]# /etc/rc.d/init.d/smb start
SMB サービスを起動中:                                      [  OK  ]

nmbの起動
[root@server1 ~]# /etc/rc.d/init.d/nmb start

自動起動設定
[root@server1 ~]# chkconfig smb on
[root@server1 ~]# chkconfig nmb on

[root@server1 ~]# chkconfig --list smb
smb             0:off   1:off   2:on    3:on    4:on    5:on    6:off
[root@server1 ~]# chkconfig --list nmb
nmb             0:off   1:off   2:on    3:on    4:on    5:on    6:off

■ Samba確認
Windowsクライアントで「スタート」→｢ファイル名を指定して実行｣→｢名前｣に"\\SERVER1\share"または"\\192.168.1.4\share"を入力して｢OK｣ボタンをクリック。

IPアドレス自動更新DDNS(ddo.jp) CentOS 6.0

Sat, 24 Sep 2011 23:45:00 +0900

今使ってるスクリプトでDDNSの自動更新がうまくいかないこともあり、たびたびアクセスできなくなることがあったので、自動更新のスクリプトを見直すことに。このサイトはddo.jpのDDNSを使ってるので、いろいろ調べて見たら、こちらのサイトで紹介されてるスクリプトが良さそうなので使わせてもらうことにした。

自動更新の動きとしては
　　(1)ddo.jpサイトで用意しているリモートIP確認サイトで現在のIPを確認。
　　(2)前回更新時のIPと変更時間をテンポラリーファイルから読み込む。
　　(3)前回更新時とIP同じで、かつ前回更新時から1週間以上経ってなかったら終了。
　　(4)そうでなかったら、DDNSを更新。変更内容をテンポラリーファイルとログに書き込む。
という感じで自動更新されるとのこと。あとこのスクリプトは、lynxが使えることが前提となってるようなので、まずlynxをインストールすることにする。

■　lynxのインストール

[root@server ~]# yum -y install lynx

■　自動更新スクリプトの作成

[root@server1 ~]# cd /usr　←　/usr ディレクトリへ移動

[root@server1 usr]# mkdir -p ddns　←　ddns ディレクトリの作成

[root@server1 usr]# cd ddns　←　ddns ディレクトリへ移動

[root@server1 ddns]# vi ddo.jpIP_upgrade.pl　←　自動更新スクリプトの作成

#!/usr/bin/perl
#
# Check ip address, and update DDNS for "ddo.jp"
#
#

# parameters
# "ddo.jp" ID & PASSWD
local $ID     = 'ドメイン'; # Login ID(It serves as a domain name)
local $PASSWD = 'パスワード'; # Login password

# file names
local $CRT_IPF = '/tmp/CRT_IP2.dat';
local $LOG     = '/var/log/ddns.log';

# Check current ip address on the appointed URL web page.
local $CHK_URL="http://info.ddo.jp/remote_addr.php";

#
local $INTERVAL = 604800;       # 1 weeks

#
$ENV{'PATH'}="/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin";

#---------------------------------------------------
# main
my ($NEW_IP,$CRT_IP,$CRT_TIME,$i);

# get current ip address which set as the domain.
$CRT_IP   = "";
$CRT_TIME = "0";
open(INPUT, $CRT_IPF);
foreach(){
  chop;
  /^IP:/   && do{ $CRT_IP   = $' };
  /^TIME:/ && do{ $CRT_TIME = $' };
}
close(INPUT);

# check a assigned ip address
open(INPUT, "lynx -dump \"$CHK_URL\" | ");
foreach(){
  /([0-9\.].*)/ && do{ $NEW_IP = $1};
}
close(INPUT);

# Lapsed time from the last update
$i = time() - $CRT_TIME;

# change DDNS, supposing the IP address is changed.
if ( ( ($NEW_IP ne "" )&&($CRT_IP ne $NEW_IP) ) || ( $i > $INTERVAL) ) {
    # change DDNS
    open(INPUT2,
   "lynx -dump \"http://ddo.jp/dnsupdate.php?dn=$ID&ip=$NEW_IP&pw=$PASSWD\" |");

    # check whether change of DDNS has been successful
    foreach(){
       /SUCCESS: / && do{ $TEMP = 1;};
    }
    if( $TEMP == 1){
       # save a new IP address.
       $i = time();
       open (OUTPUT ,">$CRT_IPF");
       print OUTPUT "IP:$NEW_IP\nTIME:$i\n";
       close OUTPUT;

       # write a message on the log file
       $time = conv_date(time());
       open(LOG, ">> $LOG");
       print(LOG $time . ":change \"" .
                 $ID . ".ddo.jp\" <= " . $NEW_IP . "\n");
       close(LOG);
    }
}

sub conv_date{
  my ($times,$mode) = @_;
  my ($sec,$min,$hour,$mday,$month,$year,$wday);

  ($sec,$min,$hour,$mday,$month,$year,$wday,undef,undef) = localtime($times);
  $month++;
  $year += 1900;
  $times = sprintf("%d/%02d/%02d %02d:%02d", $year, $month, $mday,
                   $hour, $min);
  return($times);
}

■　スクリプトに実行権限を与える

[root@server1 ddns]# chmod +x ddo.jpIP_upgrade.pl

■　このスクリプトをcronで1分おきに実行するように「crontab」に追加。

[root@server1 ddns]# cd
[root@server1 ~]# crontab -e

*/1 * * * * /usr/ddns/ddo.jpIP_upgrade.pl

■テンポラリーファイルとログファイルの作成

[root@server1 ~]# echo -n "" > /tmp/CRT_IP2.dat

[root@server1 ~]# echo -n "" > /var/log/ddns.log

■　停電などで再起動させたとき自動で実行するように設定

[root@server1 ~]# vi /etc/rc.local　←　システム起動時実行コマンド定義ファイル編集
以下を最終行へ追加
chmod +x /usr/ddns/ddo.jpIP_upgrade.pl
/usr/ddns/ddo.jpIP_upgrade.pl

▲ ページトップへ

Webサーバ（Apache） CentOS 6.0

Sat, 24 Sep 2011 23:35:00 +0900

Apache はインターネットで最も普及しているオープンソースの Web サーバソフトウェアー。Apache は標準でインストールされているのでサーバーの設定に移る。

■Apache がインストールされてるかどうか確認する。

[root@server1 ~]# rpm -q httpd
httpd-2.2.3-11.el5_2.centos.4　　←　パッケージ情報が表示された

パッケージ情報が表示されなければインストールする。
[root@server1 ~]# yum -y install httpd

■PHPをインストール

[root@server1 ~]# yum -y install php

■Apacheの設定

Apacheの設定ファイルの編集
[root@server1 ~]# vi /etc/httpd/conf/httpd.conf

エラーページ等でOS名を表示しないようにする
ServerTokens OS
             ↓
ServerTokens Prod

管理者のメールアドレスを設定する
ServerAdmin root@localhost
                  ↓
ServerAdmin webmaster@yokensaka.com　←　独自ドメインに変更

サーバー名を指定
#ServerName www.example.com:80
                  ↓
ServerName yokensaka.com:80　←　#をはずして独自ドメインに変更

CGIの許可、SSIの許可、シンボリックリンク許可
# http://httpd.apache.org/docs-2.0/mod/core.html#options
# for more information.
#
    Options Indexes FollowSymLinks
　　　　　　　　　↓
    Options Includes ExecCGI FollowSymLinks

.htaccessの許可
# It can be "All", "None", or any combination of the keywords:
#   Options FileInfo AuthConfig Limit
#
    AllowOverride None
　　　　　　　　　↓
    AllowOverride All

長すぎるURI（414 Error）はログに記録しない
# The following directives define some format nicknames for use with
# a CustomLog directive (see below).
#
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
　　　　　　　　　↓
LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

ログの記録内容変更
# logged therein and *not* in this file.
#
#CustomLog logs/access_log common
この下に以下を追加
SetEnvIf Request_URI "default\.ida" no_log
SetEnvIf Request_URI "cmd\.exe" no_log
SetEnvIf Request_URI "root\.exe" no_log
SetEnvIf Request_URI "Admin\.dll" no_log
SetEnvIf Request_URI "NULL\.IDA" no_log
SetEnvIf Request_URI "\.(gif)|(jpg)|(png)|(ico)|(css)$" no_log
SetEnvIf Remote_Addr 192.168. no_log
CustomLog logs/access_log combined env=!no_log

エラーページ等でApacheのバージョンを表示しないようにする
ServerSignature On
                ↓
ServerSignature Off

デフォルトキャラセットを無効にする（文字化け対策）
AddDefaultCharset UTF-8
　　　　　　　　　↓
#AddDefaultCharset UTF-8　←　#を付ける

CGIスクリプトを実行できる様にする
#AddHandler cgi-script .cgi
　　　　　　　　　↓
AddHandler cgi-script .cgi .pl　←　#をはずして.plを追加

■Perlのパスが/usr/local/bin/perlでもCGIを実行出来るようにする。

現在のPerlの位置
[root@server1 ~]# which perl
/usr/bin/perl

シンボリックリンク設定（/usr/local/bin/perlから/usr/bin/perlへリンクをはる）
[root@server1 ~]# ln -s /usr/bin/perl /usr/local/bin/perl

変更後のPerlの位置
[root@server1 ~]# which perl
/usr/local/bin/perl

■ドキュメントルートの所有者変更

[root@server1 ~]# chown higo:higo /var/www/html/　←　ドキュメントルート所有者変更

[root@server1 ~]# ll /var/www/　←　ドキュメントルート所有者変更確認
合計 32
drwxr-xr-x 2 root root 4096 2007-05-09 19:28 cgi-bin
drwxr-xr-x 3 root root 4096 2007-06-10 23:53 error
drwxr-xr-x 2 higo higo 4096 2007-05-09 19:28 html
drwxr-xr-x 3 root root 4096 2007-06-10 20:26 icons

※-Rオプションでディレクトリの階層化にある全てのフォルダ、ファイルの所有者を変更できる。
[root@server1 ~]# chown -R higo /var/www/html/

■Apacheの起動

Apache(httpd)を起動する
[root@server1 ~]# /etc/rc.d/init.d/httpd start
httpd を起動中:                                            [  OK  ]

■Apacheの自動起動設定

[root@server1 ~]# chkconfig httpd on
[root@server1~]# chkconfig --list httpd
httpd           0:off   1:off   2:on    3:on    4:on    5:on    6:off
　　　　　　　　　　　ランレベル2〜5がオンの状態であることを確認

■Apacheの動作確認

http://192.168.1.2/ でアクセスして「Apache 2 Test Page」画面が表示されればOK。

■各機能の動作確認

1.テスト用のHTMLの表示確認を行う。

テスト用のhtmlを作成
[root@server1 ~]# vi /var/www/html/index.html

     
     
     テストページ
     
     
     テストページ

http://192.168.1.2/index.html でアクセスして、「テストページ」と表示されればOK。

2.SSIの動作確認を行なう。

テスト用のshtmlを作成
[root@server1 ~]# vi /var/www/html/index.shtml

     
     
     テスト
     
     SSIテスト

http://192.168.1.2/index.shtml でアクセスして、現在の日付が表示されればOK。

3.CGIの動作確認を行なう。

テスト用のcgiを作成
[root@server1 ~]# vi /var/www/html/test.cgi
#!/usr/local/bin/perl
print "Content-type: text/html\n\n";
print "\n";
print "\n";
print "";
print "テストページ\n";
print "\n";
print "\n";
print "CGIテスト\n";
print "\n";
print "\n";

cgiのパーミッション変更
[root@server1~]# chmod 755 /var/www/html/test.cgiserver1

http://192.168.1.4/test.cgi でアクセスして、「CGIテスト」と表示されればOK。

4.PHPの動作確認を行なう。

テスト用のphpを作成
[root@server1 ~]# vi /var/www/html/test.php

http://192.168.1.4/test.php でアクセスして、PHPインフォメーション画面が表示されればOK。

■公開前の準備
ホームページを外部に公開するに当たって、ルータの設定でポート番号80番を開ける必要がある。

■　ポートチェック【ポート開放確認】
「管理しているサーバーが外部から接続アクセスできるか？」「ポートは開放されているか？」「portは閉じているか？」「ルータのポートは開放されているか」等の
ポートチェック・ポートの疎通確認テストはこちらで

▲ ページトップへ

NTPサーバ(ntp) CentOS 6.0

Sat, 24 Sep 2011 23:14:00 +0900

ここでは、自サーバをNTPサーバーとして立ち上げて、システム時刻を日本標準時間に合わせる。自サーバは、プロバイダーのNTPサーバより時刻を同期して、LAN内のクライアント、ルーターを自サーバの時刻と同期させるようにする。

■NTP がインストールされてるかどうか確認。

[root@server1 ~]# rpm -q ntp
ntp-4.2.4p8-2.el6.i686　　←　パッケージ情報が表示された

パッケージ情報が表示されなければNTPをインストールする。
[root@server1~]# yum -y install ntp

■NTPサーバーの設定

オリジナルの設定ファイル名を変更する。
[root@server1 ~]# mv /etc/ntp.conf /etc/ntp.conf.org

NTPサーバーの設定ファイルを作成
[root@server1 ~]# vi /etc/ntp.conf

driftfile /var/lib/ntp/drift
server ntp1.plala.or.jp　　←　server には、プロバイダーのNTPサーバーを指定
server ntp2.plala.or.jp　　←　セカンダリのNTPサーバーも指定しておく

時刻同期先の公開NTPサーバーを調べるには、NTP/プロバイダ・機関別一覧を参照
利用しているISPがここに無い時は、推奨公開サーバを使用することにする。

■NTPサーバーの起動

いったん、手動でNTPサーバの時刻と同期させる。
[root@server1 ~]# ntpdate ntp1.plala.or.jp
28 Dec 17:54:35 ntpdate[11526]: step time server 219.164.211.129 offset 37.009733 sec

NTPサーバーの起動
[root@server1 ~]# /etc/rc.d/init.d/ntpd start
ntpd を起動中:                                             [  OK  ]

■NTPサーバーの自動起動設定

[root@server1 ~]# chkconfig ntpd on
[root@server1 ~]# chkconfig --list ntpd
ntpd            0:off   1:off   2:on    3:on    4:on    5:on    6:off
　　　　　　　　　　　ランレベル2〜5がオンの状態であることを確認

■NTPサーバーの動作確認

[root@server1 ~]# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 ntp1.plala.or.j 202.234.233.106  4 u   19   64    1    4.774    0.959   0.001
 ntp2.plala.or.j 202.234.233.109  4 u   18   64    1    6.350    1.529   0.001

約15分後、再度NTPサーバーの動作確認。
[root@server1 ~]# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
+ntp1.plala.or.j 202.234.233.106  4 u   34   64  377    5.131  -21.802  14.379
*ntp2.plala.or.j 202.234.233.109  4 u   38   64  377    8.886  -19.952  13.052
指定したNTPサーバの前に*や+が表示された時は同期完了の状態。

■時刻同期設定
クライアントのPCで日付と時刻のプロパティ画面を表示し、「インターネット時刻」タブを表示。サーバの入力欄に自サーバのIPアドレス「192.168.1.2」を入力し「今すぐ更新」ボタンを押す。最後に「OK」ボタンを押すと、以降、自サーバより時刻を同期するようになる。

※サーバーでファイアーウォールを有効にしている場合は、サーバーの「ファイアーウォール設定」で「他のポート」に「123:udp」を追記しておく必要がある。そうしないとクライアント側で同期に失敗する。設定の方法はX Window Systemで起動し「アプリケーション・メニュー」から「システム設定」-「セキュリティレベル」を選択して「セキュリティレベルの設定ツール」を起動。「セキュリティレベル」で「ファイアウォールを有効にする」を選択し、「他のポート」に「123:udp」と入力。すでに他のポート設定が記述されてる場合は、カンマ記号（,）で区切って新しい設定を追記。
　　
ルータの設定でNTPサーバーのIPアドレスを自サーバーのIPアドレス「192.168.1.2」に変更。　　
これで、自サーバー、LAN内のWindowsマシン、ルーターの時刻が常に同期が取れてる状態で日本標準時間となるようになる。

FTPサーバ(vsFTPD) CentOS 6.0

Sat, 24 Sep 2011 22:58:00 +0900

FTPとは、ネットワーク経由でファイルを転送するためのプロトコル。インターネットにあるサーバから、ファイルをダウンロードしたりすることがあると思うが、その場合はFTPデーモンがサーバー上で起動している状態である。 FTPを使用する場合はLinuxに登録したユーザーでアクセスするのが基本だが、ユーザーに関係なく、アクセスする仕組みとしてAnonymous（匿名）FTPサービスというのも存在する。

■FTPサーバのインストール
FTPサーバを構築するには、vsftpd パッケージをインストールする。
PuTTYでSSH方式のリモート接続による操作で今後進める


Using username "higo".
Authenticating with public key "imported-openssh-key"
Last login: Mon Sep 19 06:10:52 2011 from 192.168.1.7
[higo@server1 ~]$


[higo@server1 ~]$ su -  ←　スーパーユーザになる
パスワード(P):　←　スーパーユーザのパスワードを入力

[root@server1 ~]# yum install vsftpd
Loaded plugins: fastestmirror, refresh-packagekit
Existing lock /var/run/yum.pid: another copy is running as pid 2557.
Another app is currently holding the yum lock; waiting for it to exit...
  The other application is: PackageKit
    Memory :  47 M RSS ( 95 MB VSZ)
    Started: Mon Sep 19 08:36:00 2011 - 00:14 ago
    State  : Sleeping, pid: 2557
Loading mirror speeds from cached hostfile
 * base: ftp.jaist.ac.jp
 * centosplus: ftp.jaist.ac.jp
 * epel: ftp.jaist.ac.jp
 * extras: ftp.jaist.ac.jp
 * updates: mirror.khlug.org
Setting up Install Process
Resolving Dependencies
--> Running transactiyon check
---> Package vsftpd.i686 0:2.2.2-6.el6_0.1 set to be updated
--> Finished Dependency Resolution

Dependencies Resolved

====================================================================================================
 Package              Arch               Version                        Repository             Size
====================================================================================================
Installing:
 vsftpd               i686               2.2.2-6.el6_0.1                updates               155 k

Transaction Summary
====================================================================================================
Install       1 Package(s)
Upgrade       0 Package(s)

Total download size: 155 k
Installed size: 343 k
Is this ok [y/N]: y
Downloading Packages:
vsftpd-2.2.2-6.el6_0.1.i686.rpm                                              | 155 kB     00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing     : vsftpd-2.2.2-6.el6_0.1.i686                                                  1/1

Installed:
  vsftpd.i686 0:2.2.2-6.el6_0.1

Complete!

FTPサーバを起動させる
[root@server1 ~]# /etc/rc.d/init.d/vsftpd start
vsftpd 用の vsftpd を起動中:                               [  OK  ]

■FTPサーバの設定ファイル変更

vsftpd.conf ファイルを編集
[root@server1 ~]# vi /etc/vsftpd/vsftpd.conf
# Example config file /etc/vsftpd/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.

匿名ユーザ（anonymous）はログイン禁止（YES→NO）
anonymous_enable=NO

ユーザが打ち込んだ詳細なログを残す
xferlog_std_format=NO　　（YES→NO）
log_ftp_protocol=YES　　 （次の行へ追加）

アイドル時のタイムアウトを設定（#を削除）
idle_session_timeout=600

接続時のタイムアウトを設定（#を削除、120→60）
data_connection_timeout=60

アスキーモードでのアップロードを許可する（#を削除）
ascii_upload_enable=YES

アスキーモードでのダウンロードを許可する（#を削除）
ascii_download_enable=YES

一般ユーザはホームディレクトリーより上へアクセスさせない（#を削除）
chroot_list_enable=YES

ホームディレクトリーより上へアクセスさせないユーザリスト（#を削除）
chroot_list_file=/etc/vsftpd/chroot_list

ディレクトリを削除できるようにする（#を削除）
ls_recurse_enable=YES

パッシブモードを有効にする（最下行へ追加）
pasv_promiscuous=YES

タイムスタンプ時間を日本時間に変更（最下行へ追加）
use_localtime=YES

■FTP接続ユーザ設定

ホームディレクトリーより上へアクセスさせないユーザリスト
[root@server1 ~]# vi /etc/vsftpd/chroot_list
ユーザ「centos」は、自ホームディレクトリーより上にアクセスさせない
centos

FTP接続させないユーザリスト
[root@server1 ~]# vi /etc/vsftpd/user_list
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
# for users that are denied.
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
centos　　←ユーザ「centos」をFTP接続させないようにリストに追加

■ FTPアクセス制限


サーバー自身、内部ネットワーク、特定の外部IP（xxx.xxx.xxx.xxx）からのアクセスを許可
[root@server1 ~]# echo "vsftpd : 127.0.0.1 192.168.1. xxx.xxx.xxx.xxx" >> /etc/hosts.allow　

上記以外の全てのアクセスを禁止
[root@server1 ~]# echo "vsftpd : ALL" >> /etc/hosts.deny

会社等からアクセスする場合、自分の会社の接続環境（IPアドレス）を調べ、/etc/hosts.allowへ登録する必要がある。そんな時は診断くんで確認できる。

■FTPサーバの起動

[root@server1 ~]# /etc/rc.d/init.d/vsftpd start
vsftpd用のvsftpdを起動中:                                  [  OK  ]

■FTPサーバの自動起動設定

[root@server1 ~]# chkconfig vsftpd on
[root@server1 ~]# chkconfig --list vsftpd
vsftpd          0:off   1:off   2:on    3:on    4:on    5:on    6:off
　　　　　　　　　　　ランレベル2〜5がオンの状態であることを確認

■FTPサーバの動作確認

クライアント（IP:192.168.1.7）のコマンドプロンプトより行う。 
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

ユーザ「centos」が拒否されるか？の確認
C:\Users\higo>ftp
ftp> op
宛先 192.168.1.4
192.168.1.4 に接続しました。
220 (vsFTPd 2.2.2)
ユーザー (192.168.1.4:(none)): centos
530 Permission denied.
ログインできませんでした。
ftp> bye　←　FTP接続を終了
221 Goodbye.

ユーザ「higo」がログインできるか？の確認
C:\Users\higo>ftp
ftp> op
宛先 192.168.1.4
192.168.1.4 に接続しました。
220 (vsFTPd 2.2.2)
ユーザー (192.168.1.4:(none)): higo
331 Please specify the password.
パスワード:
230 Login successful.
ftp>

事前に作成しておいたtest.txtをサーバへアップロードする
ftp> put c:\test.txt
200 PORT command successful. Consider using PASV.
150 Ok to send data.
226 File receive OK.　　　アップロードできた
ftp: 19 bytes sent in 0.00Seconds 19000.00Kbytes/sec.

サーバよりファイルをダウンロードする
ftp> get test.txt
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for test.txt (19 bytes).
226 File send OK.　　　ダウンロードできた
ftp: 19 bytes received in 0.00Seconds 19000.00Kbytes/sec.

FTP接続を終了
ftp> bye
221 Goodbye.

■外部からの接続
外部からの接続には、ルーターの設定で20番と21番のポートを開ける必要がある。
ドメイン名での接続は事前にドメイン名の取得を行っている必要がある。

■　ポートチェック【ポート開放確認】
「管理しているサーバーが外部から接続アクセスできるか？」「ポートは開放されているか？」「portは閉じているか？」「ルータのポートは開放されているか」等の
ポートチェック・ポートの疎通確認テストはこちらで

■FTPサーバの停止
ファイル転送はSSH (Secure Shell)を使用する場合は、FTPサーバは停止しておく。

[root@server1 ~]# /etc/rc.d/init.d/vsftpd stop
vsftpd を停止中:                                           [  OK  ]

起動時にFTPサーバを起動しない
[root@server1 ~]# chkconfig vsftpd off
[root@server1 ~]# chkconfig --list vsftpd
vsftpd          0:off  1:off  2:off  3:off  4:off  5:off  6:off
[root@linux ~]#

※vsftpd を停止したらルーターの設定で20番と21番のポートを閉じる。

▲ ページトップへ

ファイル転送(WinSCP)

Sat, 24 Sep 2011 20:56:00 +0900

WinSCPはSSH (Secure Shell)を使用してファイルを転送するプログラム。 Telnetによるリモートコンピュータへの接続ではパスワードが暗号化さないので、SSH(暗号化シェル)でのリモート接続を行う。 WinSCPを導入するに当って事前にSSHサーバの構築を行っている必要がある。

■秘密鍵のジェネレート
・秘密鍵をWinSCPで使用するには PuTTYgenによるジェネレートが必要。

■WinSCPをインストールする
・WinSCP のダウンロードページからInstallation packageをダウンロードして、実行。
（最新版を確認してダウロード 11/09/19 時点ではWinSCP 4.3.5）

■WinSCPの設定

winscp435setup.exeをダウンロードして、実行すると、WinSCP ログイン画面になる。

Languagesボタンを押して[Japanese - 日本語]を選択

[セッション]　ホスト名かサーバーのIPアドレスを入力（例 192.168.1.4 ）

[セッション]　ユーザー名を入力（例 higo ）

[セッション]　パスワードを入力

[セッション]　秘密鍵の入力欄にある「 … 」ボタンを押して、保存した秘密鍵「 server.ppk 」ファイルを指定

[セッション]　ファイルプロトコル　「SFTP」を選択
「SCP代替システムを設定」にチェックを入れる

[環境]　ファイル名をUTF-8でエンコード　「オン」を選択
（サーバがEUC-JPの場合は「自動」を選択）

[環境]　[ディレクトリ]　リモートディレクトリとローカルディレクトリを環境に合わせて設定
[SSH]　プロトコルの優先順位を[2]に選択

「保存」ボタンを押す

セッションの保存名に、適当な名前を付けてOKボタンを押す（例 192.168.1.4 ）

■接続前の準備
外部からの接続には、ルータの設定が必要なので、ルータの設定で22番のポートを開ける。

■WinSCPの起動

WinSCPを起動し、保存したセッションを選択してログイン。

パスワードの入力画面が出るので、パスワードを入力し、OKボタンを押す。

▲ ページトップへ