以前古いバージョンでの作業時に残していた記録を参考に作業を行い、今回更新した作業記録を貼付する形式の内容となっています。
(当然ながら、興味がなければスルーしてください)
192.168.11.0/24 を想定。mk-mode.com、サーバホスト名は p183 を想定。/home/share とする。# apt -y install samba
全ユーザが共有でフルアクセス可能なディレクトリを作成する。
# mkdir /home/share
# chown nobody:nogroup /home/share
# chmod 777 /home/share
次のように設定する。
※記述のある行の後ろにコメント(# で始まる文字列)を入れないこと。
File: /etc/samba/smb.conf
[global]
unix charset = UTF-8 # <= 追加
dos charset = CP932 # <= 追加
workgroup = WORKGROUP # <= Windows のワークグループ名に合わせる
interfaces = 127.0.0.0/8 192.168.11.0/24 # <= 接続許可するインターフェースを指定
bind interfaces only = yes # <= interfaces 項目に指定したホストだけに接続を限定する
map to guest = bad user # <= 未登録アカウントで接続された場合にゲストとして扱う
load printers = no # <= プリンタを使用していない場合
disable spoolss = yes # <= プリンタを使用していない場合
printing = bsd # <= プリンタを使用していない場合
# 最終行に追加
[share] # <= 共有名
path = /home/share # <= 共有ディレクトリ
writable = yes # <= 書込可
guest ok = yes # <= ゲストユーザー可
guest only = yes # <= 全てゲストとして扱う
create mode = 0777 # <= ファイル作成はフル権限で
directory mode = 0777 # <= ディレクトリ作成はフル権限で
設定を反映させるため、Samba サーバを再起動する。
# systemctl restart smbd nmbd
ファイアウォールを設定している場合、Samba サーバが使用するポート(udp:137,138, tcp:139,445)を開放する必要がある。
# ufw allow 137,138/udp
Rule added
# ufw allow 139,445/tcp
Rule added
# ufw status
:
:
137,138/udp ALLOW Anywhere
139,445/tcp ALLOW Anywhere
クライアントマシンから Samba サーバの /home/share ディレクトリにアクセスし、ファイル操作が可能か確認する。
通常、中規模以下のネットワークでは上記のようなフルアクセスで問題ないが、大規模ネットワークやよりセキュアに構築したければ、アクセス権限を設定する。
以下、 hoge グループに属するユーザのみが、 /home/hoge ディレクトリにアクセスできるようにする設定例。
# groupadd hoge # <= グループ追加
# mkdir /home/hoge # <= 専用ディレクトリ作成
# chgrp hoge /home/hoge # <= ディレクトリに所有グループ設定
# chmod 770 /home/hoge # <= 専用ディレクトリに権限付与
File: /etc/samba/smb.conf
security = user # < = ユーザ認証モード
# 最終行に追加
[Hoge]
path = /home/hoge
writable = yes
create mode = 0770
directory mode = 0770
share modes = yes
guest ok = no # < = ゲストユーザ不許可
valid users = @hoge # < = hoge グループのみ許可
# smbpasswd -a fuga # < = Samba アクセスユーザ追加登録
New SMB password: # < = パスワード設定
Retype new SMB password: # < = パスワード再入力
# usermod -G hoge fuga # < = hoge グループに fuga ユーザ追加
# /etc/init.d/samba restart # < = Samba 再起動
Stopping Samba daemons: nmbd smbd.
Starting Samba daemons: nmbd smbd.
以上。
]]>以前古いバージョンでの作業時に残していた記録を参考に作業を行い、今回更新した作業記録を貼付する形式の内容となっています。
(当然ながら、興味がなければスルーしてください)
NFS サーバが使用するポートは以下のとおり。
portmapper => TCP: 111, UDP: 111
nfs => TCP:2049, UDP:2049
statd => TCP:不定, UDP:不定
mountd => TCP:不定, UDP:不定
nlockmgrq => TCP:不定, UDP:不定
statd のポートを固定するには /etc/default/nfs-common を以下のようにする。
File: /etc/default/nfs-common
STATDOPTS="--port 32765 --outgoing-port 32766"
mountd のポートを固定するには /etc/default/nfs-kernel-server を以下のようにする。
File: /etc/default/nfs-kernel-server
RPCMOUNTDOPTS="-p 32767"
オプション付き lockd モジュールを提供するために、以下のように /etc/modprobe.d/local.conf を作成する。
FIle: /etc/modprobe.d/local.conf
options lockd nlm_udpport=32768 nlm_tcpport=32768
options nfs callback_tcpport=32764
設定を反映させるため、マシンを再起動する。
# reboot
以下のようにして、RPC 情報(ポートの設定)を確認してみる。
# rpcinfo -p
program vers proto port service
100000 4 tcp 111 portmapper
100000 3 tcp 111 portmapper
100000 2 tcp 111 portmapper
100000 4 udp 111 portmapper
100000 3 udp 111 portmapper
100000 2 udp 111 portmapper
100005 1 udp 42606 mountd
100005 1 tcp 40969 mountd
100005 2 udp 41603 mountd
100005 2 tcp 39321 mountd
100005 3 udp 51836 mountd
100005 3 tcp 34891 mountd
100024 1 udp 40708 status
100024 1 tcp 53155 status
100003 3 tcp 2049 nfs
100003 4 tcp 2049 nfs
100227 3 tcp 2049 nfs_acl
100021 1 udp 32768 nlockmgr
100021 3 udp 32768 nlockmgr
100021 4 udp 32768 nlockmgr
100021 1 tcp 32768 nlockmgr
100021 3 tcp 32768 nlockmgr
100021 4 tcp 32768 nlockmgr
NFS サーバが使用するポートが固定されたので、ufw でファイアウォールの設定を行う。(以下はローカルネットワーク内からのみアクセス可能にする例)
# ufw allow proto tcp from 192.168.11.0/24 to any port 111,2049,32765,32767,32768
Rule added
# ufw allow proto udp from 192.168.11.0/24 to any port 111,2049,32765,32767,32768
Rule added
確認。
# ufw status
Status: active
To Action From
-- ------ ----
:
===< 中略 >===
:
111,2049,32765,32767,32768/tcp ALLOW 192.168.11.0/24
111,2049,32765,32767,32768/udp ALLOW 192.168.11.0/24
クライアントマシンでマウントして接続できることも確認しておく。
以上。
]]>以前古いバージョンでの作業時に残していた記録を参考に作業を行い、今回更新した作業記録を貼付する形式の内容となっています。
(当然ながら、興味がなければスルーしてください)
192.168.11.0/24 を想定。mk-mode.com、サーバホスト名は p183 を想定。/var 配下に /exports ディレクトリを作成する)/var/exports とする。# apt -y install nfs-kernel-server
/etc/idmapd.conf というユーザー名・グループ名と UID/GID のマッピングを保持するデーモンの設定ファイルを以下のように編集する。
File: /etc/idmapd.conf
Domain = mk-mode.com # < = コメント解除&自ドメイン名に変更
共有 NFS ディレクトリを以下のようにして作成する。
所有者・所有グループは /etc/idmapd.conf に記載されている nobody, nogroup とする。
# mkdir /var/exports
# chown -R nobody:nogroup /var/exports
設定ファイル /etc/exports を以下のように編集(追記)する。
File: /etc/exports
/var/exports 192.168.11.0/24(rw,sync,fsid=0,no_root_squash,no_subtree_check)
NFS サーバは都度ポート番号が変更になるため、ファイアウォールで開放するポートを指定できない。
ファイアウォール ufw を「一時的」にオフにする。
(別途、NFS サーバのポートを固定する措置を施せばよい(別記事))
# ufw disable
Firewall stopped and disabled on system startup
設定を反映させるため、NFS サーバを再起動する。
# systemctl restart nfs-kernel-server
【以下、クライアント側・ローカルユーザでの作業】
NFS クライアントを以下のようにしてインストールする。
$ sudo apt install -y nfs-client
apt command [options] でなく apt [options] command のことがあるので注意。NFS サーバ同様 etc/idmapd.conf という設定ファイルを、以下のように編集する。
File: /etc/idmapd.conf
Domain = mk-mode.com # <= コメント解除&自ドメイン名に変更
設定を反映させるため、NFS クライアントを再起動する。
$ sudo systemctl restart nfs-common
ちなみに、nfs-common は自動起動するようになっているが、普段使用しない場合は、以下のように自動起動しないように設定しておいてもよいだろう。(NFS を使用したい時のみ nfs-common を起動させる)
$ sudo systemctl disable nfs-common
マウントするディレクトリを作成する。
$ sudo mkdir /var/exports
NFS サーバのディレクトリ使用するために、クライアントマシンでマウントする。
以下では、クライアントマシンの /var/exports ディレクトリにマウントしている。
$ sudo mount -t nfs p183.mk-mode.com:/var/exports /var/exports
マウントできているか df コマンドで確認する。
# df -h
Filesystem Size Used Avail Use% Mounted on
:
====< 途中省略 >====
:
p183.mk-mode.com:/var/exports 1.7G 431M 1.2G 28% /var/exports
その他、クライアントマシンからファイルを貼り付けてみたり、削除してみたりしてみる。
上記の方法ではクライアントマシンを再起動するたびにマウントしないといけないので、マシン起動時に自動マウントするようにしたければ以下のように fstab を設定する。
File: /etc/fstab
p183.mk-mode.com:/var/exports /var/exports nfs defaults 0 0
クライアントマシン再起動時にマウントされるかも確認しておく。
テストのために無効化していたファイアウォールを有効化に戻す。※サーバ側
# ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
実際に運用する場会は、 NVF サーバのポートを固定する設定を施す。
ここでは、一旦ファイアウォールを有効化に戻しておく。(この後続けて、次記事の方法で NFS サーバのポート固定の設定を施すのであれば、この限りでない)
以上。
]]>以前古いバージョンでの作業時に残していた記録を参考に作業を行い、今回更新した作業記録を貼付する形式の内容となっています。
(当然ながら、興味がなければスルーしてください)
# apt -y install vsftpd
File: /etc/vsftpd.conf
# anonymous によるログインを無効化
anonymous_enable=NO
# ローカルアクセスの許可
local_enable=YES
# 書き込み許可
write_enable=YES
# アスキーモードでの転送を許可
ascii_upload_enable=YES
ascii_download_enable=YES
# chroot 有効化
chroot_local_user=YES
# chroot リスト有効化
chroot_list_enable=YES
# chroot リスト指定
chroot_list_file=/etc/vsftpd.chroot_list
# chroot ディレクトリへの書き込み許可
allow_writeable_chroot=YES
# ディレクトリごと一括での転送を有効化
ls_recurse_enable=YES
# chroot のルートディレクトリ指定
# ( 指定しない場合はユーザーのホームディレクトリ直下 )
# public_htmlを指定した場合で、且つ当該ディレクトリがないとログインできないので注意
local_root=public_html
# seccomp filter をオフにする
seccomp_sandbox=NO
# PASV モード有効化
pasv_enable=YES
pasv_min_port=4000
pasv_max_port=4005
ホームディレクトリより上層へのアクセスを許可するユーザのリストを作成する。(上記設定ファイル内の “/etc/vsftpd.chroot_list” のこと)
指定は、1行に1ユーザ。
File: /etc/vsftpd.chroot_list
foo
vsftpd を SSL/TLS で使用できるようにするには SSL サーバが必要であるので、未インストールなら OpenSSL をインストールする。
# apt -y install openssl
vsftpd を SSL/TLS で 10 年使用できるようサーバ証明書を作成する。
# cd /etc/ssl/private
# openssl req -x509 -nodes -newkey rsa:2048 -keyout vsftpd.pem -out vsftpd.pem -days 3650
:
===< 中略 >===
:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP # <= 国の略名
State or Province Name (full name) [Some-State]:Shimane # <= 都道府県名
Locality Name (eg, city) []:Matsue # <= 市区町村名
Organization Name (eg, company) [Internet Widgits Pty Ltd]:mk-mode.com # <= 組織名(何でもよい)
Organizational Unit Name (eg, section) []: # <= 部署名(空でよい)
Common Name (e.g. server FQDN or YOUR name) []:ftp.mk-mode.com # <= ホスト名
Email Address []:root@mk-mode.com # <= 管理者メールアドレス
作成したサーバ証明書のパーミッションを設定する。(所有者読み込み専用に)
# chmod 400 vsftpd.pem
サーバ証明書を使用できるよう vsftpd 設定ファイルを以下のように編集する。
File: /etc/vsftpd.conf
rsa_cert_file=/etc/ssl/private/vsftpd.pem # 編集(上記で設定した証明書)
rsa_private_key_file=/etc/ssl/private/vsftpd.pem # 編集(上記で設定した証明書)
ssl_enable=YES # 編集(SSL有効化)
ssl_ciphers=HIGH
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
設定を有効化するために、vsftpd を再起動する。
# systemctl restart vsftpd
外部に公開する場合は、TCP ポート 21(FTP) へのアクセスを許可する必要がある。
また、 PASV モードで運用する場合は、 /etc/vsftpd.conf の pasv_min_port から pasv_max_port で設定したポートも開放する。
# ufw allow 21/tcp
Rule added
# ufw allow 4000,4001,4002,4003,4004,4005/tcp
Rule added
# ufw status
Status: active
To Action From
-- ------ ----
9999/tcp ALLOW 192.168.11.0/24
53 ALLOW Anywhere
21/tcp ALLOW Anywhere
4000,4001,4002,4003,4004,4005/tcp ALLOW Anywhere
クライアント側からコマンドラインや FTP クライアントでサーバに接続して、アップロード・ダウンロード等各種操作が可能かチェックする。
FTP クライアント FileZilla なら以下のように設定してログイン。
lftp を使用するなら、インストール後、設定を行なう。
# apt install lftp
Filename: ~/.lftprc
set ftp:ssl-auth TLS
set ftp:ssl-force true
set ftp:ssl-protect-list yes
set ftp:ssl-protect-data yes
set ftp:ssl-protect-fxp yes
set ssl:verify-certificate no
そして、ログイン。
$ lftp -u masaru 192.168.11.101
vsftpd インストール直後はマシン起動時に自動で vsftpd が起動するようになっている。
自動起動しないように設定するなら以下のようにする。
# systemctl disable vsftpd
Synchronizing state of vsftpd.service with SysV service script with /usr/lib/systemd/systemd-sysv-install.
Executing: /usr/lib/systemd/systemd-sysv-install disable vsftpd
Removed '/etc/systemd/system/multi-user.target.wants/vsftpd.service'.
# systemctl is-enabled vsftpd
disabled # <= disabled であることを確認
逆に自動起動するように設定するなら以下のようにする。
# systemctl enable vsftpd
Synchronizing state of vsftpd.service with SysV service script with /usr/lib/systemd/systemd-sysv-install.
Executing: /usr/lib/systemd/systemd-sysv-install enable vsftpd
Created symlink '/etc/systemd/system/multi-user.target.wants/vsftpd.service' → '/usr/lib/systemd/system/vsftpd.service'.
# systemctl is-enabled vsftpd
enabled # <= enabled であることを確認
以上。
]]>以前古いバージョンでの作業時に残していた記録を参考に作業を行い、今回更新した作業記録を貼付する形式の内容となっています。
(当然ながら、興味がなければスルーしてください)
/var/bind9/chroot/ とする。bind9.service ファイルは以下のようになっているだろう。
File: /etc/systemd/system/bind9.service
[Unit]
Description=BIND Domain Name Server
Documentation=man:named(8)
After=network.target
Wants=nss-lookup.target
Before=nss-lookup.target
[Service]
Type=notify
EnvironmentFile=-/etc/default/named
ExecStart=/usr/sbin/named -f $OPTIONS
ExecReload=/usr/sbin/rndc reload
ExecStop=/usr/sbin/rndc stop
Restart=on-failure
[Install]
WantedBy=multi-user.target
Alias=bind9.service
次に /etc/default/named の OPTIONS を次のように編集する。(IPv6 を使用しない例)
File: /etc/default/named
OPTIONS="-u bind -4 -t /var/bind9/chroot"
# mkdir -p /var/bind9/chroot/{etc,dev,run/named,var/cache/bind,usr/share}
chroot 化に必要なスペシャルファイルを作成し、パーミッションを変更する。
# mknod /var/bind9/chroot/dev/null c 1 3
# mknod /var/bind9/chroot/dev/random c 1 8
# mknod /var/bind9/chroot/dev/urandom c 1 9
# chmod 666 /var/bind9/chroot/dev/{null,random,urandom}
元々の BIND ディレクトリを chroot 用ディレクトリへ移動する。
root hints ファイルも移動する。
# mv /etc/bind /var/bind9/chroot/etc
# mv /usr/share/dns /var/bind9/chroot/usr/share/
BIND を chroot 用ディレクトリにリンクするようシンボリックリンクを設定する。
# ln -s /var/bind9/chroot/etc/bind /etc/bind
# cp /etc/localtime /var/bind9/chroot/etc/
# chown bind:bind /var/bind9/chroot/etc/bind/rndc.key
# chown bind:bind /var/bind9/chroot/run/named
# chmod 775 /var/bind9/chroot/{var/cache/bind,run/named}
# chgrp bind /var/bind9/chroot/{var/cache/bind,run/named}
以下の内容のファイルを新規作成。
File: /etc/apparmor.d/local/usr.sbin.named
/var/bind9/chroot/etc/bind/** r,
/var/bind9/chroot/var/** rw,
/var/bind9/chroot/dev/** rw,
/var/bind9/chroot/run/** rw,
/var/bind9/chroot/usr/** r,
そして、変更を適用。
# systemctl reload apparmor
rsyslog にログを出力するよう、以下の内容のファイルを新規作成。
File: /etc/rsyslog.d/bind-chroot.conf
$AddUnixListenSocket /var/bind9/chroot/dev/log
システムログ設定を編集したので、syslogd を再起動。
# systemctl restart rsyslog
# systemctl restart named
以上。
]]>以前古いバージョンでの作業時に残していた記録を参考に作業を行い、今回更新した作業記録を貼付する形式の内容となっています。
(当然ながら、興味がなければスルーしてください)
192.168.11.3、グローバル IP アドレスは xxx.yyy.zzz.aaa を想定。mk-mode.com、マシンのホスト名は foo、ネームサーバホスト名は ns を想定。(bind9-utils は dig コマンド用)
# apt -y install bind9 bind9-utils
File: /etc/bind/named.conf
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
//include "/etc/bind/named.conf.root-hints"; # <= 削除(view "internal" 内で設定するので)
include "/etc/bind/named.conf.internal-zones"; # <= 追加
include "/etc/bind/named.conf.external-zones"; # <= 追加
BIND 設定ファイルで指定している内部向けゾーンファイルを以下のように作成する。
File: /etc/bind/named.conf.internal-zones
view "internal" {
# 内部向け設定の対象範囲定義
match-clients {
localhost;
internal-network;
};
# 内部向け正引きゾーン定義
zone "mk-mode.com" IN {
type primary;
file "/etc/bind/mk-mode.com.lan";
allow-update { none; };
};
# 内部向け逆引きゾーン定義
zone "11.168.192.in-addr.arpa" IN {
type primary;
file "/etc/bind/11.168.192.db";
allow-update { none; };
};
include "/etc/bind/named.conf.root-hints";
empty-zones-enable no;
};
最後の empty-zones-enable no; は、ログに以下のようなメッセージが出力されないための対処。
Warning: view internal: 'empty-zones-enable/disable-empty-zone' not set: disabling RFC 1918 empty zones
BIND 設定ファイルで指定している外部向けゾーンファイルを以下のように作成する。
File: /etc/bind/named.conf.external-zones
view "external" {
match-clients { any; }; # 全て対象(内部向け範囲以外のホスト)
allow-query { any; }; # 問合せは全て許可
recursion no; # 再帰検索禁止
# 外部向け正引きゾーン定義
zone "mk-mode.com" IN {
type primary;
file "/etc/bind/mk-mode.com.wan";
allow-update { none; };
};
# 外部向け正引き情報を定義 *注
zone "zzz.yyy.xxx.in-addr.arpa" IN {
type primary;
file "/etc/bind/zzz.yyy.xxx.db";
allow-update { none; };
};
};
その他の設定用ファイルを以下のように編集する。
File: /etc/bind/named.conf.options
// ローカルネットワークの定義
acl internal-network { # <= 追加
192.168.11.0/24; # <= 追加
}; # <= 追加
options {
// bindのバージョン情報の非表示化
version "unknown"; # <= 追加
directory "/var/cache/bind";
// 名前解決の問い合わせを受け付ける範囲
allow-query { localhost; internal-network; }; # <= 追加
// ゾーン情報の転送要求を許可する範囲
allow-transfer { localhost; }; # <= 追加
// 再帰的な問合せを許可する範囲
allow-recursion { localhost; internal-network; }; # <= 追加
dnssec-validation auto; # <= 追加
listen-on port 53 { any; }; # <= 追加
auth-nxdomain no; # conform to RFC1035
// IPv6 は使用する場合は "none" を "any" に
listen-on-v6 { none; };
};
# EDNS0 の無効化
# "error (unexpected RCODE REFUSED) ..." の出力抑止
server 0.0.0.0 {
edns no;
};
logging {
// エラーログ "DNS format error ... invalid response" の出力抑止
category resolver { null; };
// エラーログ "error (connection refused) resolving" の出力抑止
category lame-servers { null; };
};
File: /etc/bind/mk-mode.com.lan
$TTL 86400
@ IN SOA ns.mk-mode.com. root.mk-mode.com. (
2025100201 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
IN NS ns.mk-mode.com.
IN A 192.168.11.101
IN MX 10 ns.mk-mode.com.
ns IN A 192.168.11.3
foo IN A 192.168.11.3
var IN A 192.168.11.2
baz IN A 192.168.11.101
www IN CNAME ns.mk-mode.com.
ftp IN CNAME ns.mk-mode.com.
mail IN CNAME ns.mk-mode.com.
hoge, fuga はローカルネットワーク内の別のマシン。
www, ftp, mail は別名定義。
File: /etc/bind/mk-mode.com.wan
$TTL 86400
@ IN SOA ns.mk-mode.com. root.mk-mode.com. (
2025100201 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
IN NS ns.mk-mode.com.
IN A xxx.yyy.zzz.aaa
IN MX 10 ns.mk-mode.com.
ns IN A xxx.yyy.zzz.aaa
File: /etc/bind/11.168.192.db
$TTL 86400
@ IN SOA ns.mk-mode.com. root.mk-mode.com. (
2025100201 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
IN NS ns.mk-mode.com.
IN PTR mk-mode.com.
IN A 255.255.255.0
3 IN PTR ns.mk-mode.com.
3 IN PTR foo.mk-mode.com.
2 IN PTR var.mk-mode.com.
101 IN PTR baz.mk-mode.com.
File: /etc/bind/zzz.yyy.xxx.db
$TTL 86400
@ IN SOA ns.mk-mode.com. root.mk-mode.com. (
2025100201 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
IN NS ns.mk-mode.com.
IN PTR mk-mode.com.
IN A 255.255.255.254
aaa IN PTR ns.mk-mode.com.
(255.255.255.254 はグローバル IP が1個のみの場合の設定値)
DNS サーバー自身も問合せ先に追加する。
最初から記載のあるルータの IP アドレス(インストール・初期設定時のもの)をセカンダリ、今回構築のサーバ自身をプライマリに設定するので、ルータより先に記述する。
File: /etc/resolv.conf
domain localdomain
search localdomain # <= 追加
nameserver 192.168.11.3 # <= 追加(今設定中のサーバマシンの IP アドレス)
nameserver 192.168.11.1 # ルータの IP アドレス
システムとして IPv6 を無効にしている場合は、以下のように /etc/default/named を編集する。
(/var/log/syslog に ... named[9999]: error (network unreachable) resolving ... のようなエラーが出力されないようにするため)
File: /etc/default/named
OPTIONS="-u bind -4"
設定を有効化するために BIND を再起動する。
# systemctl restart bind9
もし、この際に次のようなエラーとなる場合、
System has not been booted with systemd as init system (PID 1). Can't operate.
Failed to connect to bus: ホストが落ちています
これは、 SystemD が正常に起動していない(SystemCtl がインストールされていない)ためなので、 SystemCtl をインストールする。
DNS サーバが正常に機能する(正引きで IP アドレス、逆引きでホスト名が返ってくる)か、確認してみる。 ・内部向け正引きテスト
# dig ns.mk-mode.com.
; <<>> DiG 9.20.11-4-Debian <<>> ns.mk-mode.com.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20348
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 5bb4de70b01c8ee30100000068dddea4377d61e260c26d68 (good)
;; QUESTION SECTION:
;ns.mk-mode.com. IN A
;; ANSWER SECTION:
ns.mk-mode.com. 86400 IN A 192.168.11.3
;; Query time: 0 msec
;; SERVER: 192.168.11.3#53(192.168.11.3) (UDP)
;; WHEN: Thu Oct 02 11:08:36 JST 2025
;; MSG SIZE rcvd: 87
・内部向け逆引きテスト
# dig -x 192.168.11.3
; <<>> DiG 9.20.11-4-Debian <<>> -x 192.168.11.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6826
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: a4f16205a483276c0100000068dddec471ff09e6e2099c01 (good)
;; QUESTION SECTION:
;3.11.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
3.11.168.192.in-addr.arpa. 86400 IN PTR p183.mk-mode.com.
3.11.168.192.in-addr.arpa. 86400 IN PTR ns.mk-mode.com.
;; Query time: 0 msec
;; SERVER: 192.168.11.3#53(192.168.11.3) (UDP)
;; WHEN: Thu Oct 02 11:09:08 JST 2025
;; MSG SIZE rcvd: 129
・外部向け正引きテスト
# dig www.isc.org
; <<>> DiG 9.20.11-4-Debian <<>> www.isc.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44769
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 168a1f252af84ee90100000068dddedc0d138d056d655a3f (good)
;; QUESTION SECTION:
;www.isc.org. IN A
;; ANSWER SECTION:
www.isc.org. 300 IN CNAME isc.map.fastlydns.net.
isc.map.fastlydns.net. 60 IN A 151.101.90.217
;; Query time: 780 msec
;; SERVER: 192.168.11.3#53(192.168.11.3) (UDP)
;; WHEN: Thu Oct 02 11:09:32 JST 2025
;; MSG SIZE rcvd: 119
・外部向け逆引きテスト
# dig -x 151.101.90.217
; <<>> DiG 9.20.11-4-Debian <<>> -x 151.101.90.217
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 43324
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 80fbf217b53192350100000068dddef63efa7ab5a357e24e (good)
;; QUESTION SECTION:
;217.90.101.151.in-addr.arpa. IN PTR
;; AUTHORITY SECTION:
151.in-addr.arpa. 3600 IN SOA pri.authdns.ripe.net. dns.ripe.net. 1758790516 3600 600 864000 3600
;; Query time: 2452 msec
;; SERVER: 192.168.11.3#53(192.168.11.3) (UDP)
;; WHEN: Thu Oct 02 11:09:58 JST 2025
;; MSG SIZE rcvd: 144
実際に運用する場合は、外部からのTCP/UDP53番ポート(DNS)へのアクセスを許可する必要がある。
# ufw allow 53
Rule added
# ufw status
Status: active
To Action From
-- ------ ----
9999/tcp ALLOW 192.168.11.0/24
53 ALLOW Anywhere
以上。
]]>以前古いバージョンでの作業時に残していた記録を参考に作業を行い、今回更新した作業記録を貼付する形式の内容となっています。
(当然ながら、興味がなければスルーしてください)
※※※ Debian 13 では sysv-rc-conf をインストールできない(251001) ※※※
以下は vsftpd サーバの例。(vsftpd.service が正式なサービス名だが .service は省略可能)
$ systemctl start vsftpd # <= vsftpd サービスの起動
$ systemctl stop vsftpd # <= vsftpd サービスの停止
$ systemctl status vsftpd # <= vsftpd サービスの状況確認
$ systemctl enable vsftpd # <= vsftpd サービスの自動起動設定
$ systemctl disble vsftpd # <= vsftpd サービスの自動起動解除
$ systemctl is-enabled vsftpd # <= vsftpd サービスが自動起動設定されているか
$ systemctl list-unit-files -t service | grep vsftpd # <= vsftpd 起動設定の確認
$ systemctl -t service # <= 起動中サービス一覧の確認
$ systemctl -t service --all # <= 全サービス一覧の確認
$ systemctl poweroff # <= システム Shutdown 後電源 OFF
$ systemctl halt # <= システム Shutdown 後 Halt
$ systemctl reboot # <= システム Shutdown 後リブート
SystemD 未対応のサービスの場合でも自動で従来の SysVinit にサービスの管理を移譲しますが、 systemctl list-unit-files での確認はできないので注意。
以上。
]]>以前古いバージョンでの作業時に残していた記録を参考に作業を行い、今回更新した作業記録を貼付する形式の内容となっています。
(当然ながら、興味がなければスルーしてください)
Uncomplicated Firewall) という nftables のフロントエンドツールを使用する。依存する nftables 等もインストールされる。
# apt -y install ufw
起動していなければ、起動する。
# systemctl start ufw
自動起動設定になっていなければ、設定する。(自動起動する設定になっているはず)
# systemctl enable ufw
IPv6 を使用しない場合は以下のように編集しておく
File: /etc/default/ufw
IPV6=no
各種コマンドの使用法について簡単に説明する。
(以下のサービス名、ポート番号は一例)
# ufw status # <= 状況確認
# ufw enable # <= ファイアウォールの有効化
# ufw disable # <= ファイアウォールの無効化
# ufw default deny # <= 全アクセスの拒否
# ufw default allow # <= 全アクセスの許可
# ufw deny smtp # <= SMTP サービスのアクセスを拒否
# ufw allow ftp # <= FTP サービスのアクセスを許可
# ufw deny 25/tcp # <= TCP ポート 25 でのアクセスを拒否
# ufw allow 80/udp # <= UDP ポート 80 でのアクセスを許可
# ufw allow 53 # <= TCP ポート 53, UDP ポート 53 でのアクセスを拒否
# ufw allow in http # <= HTTP サービスのアクセスを IN のみ許可
# ufw reject out smtp # <= SMTP サービスのアクセスを OUT のみ却下
# ufw allow proto tcp from any to any port 8080:8090
# <= TCP ポート 8080 〜 8090 での全アクセスを許可
# ufw allow proto tcp from 192.168.11.0/24 to any port 9999
# <= TCP ローカルネットワーク 192.168.11.0/24 からの
# TCP ポート 9999 でのアクセスを許可
# ufw delete 3 # <= 3 番目のルールを削除
その他、詳細な説明は man ufw で確認可。
一般的には、一旦全てのアクセスを拒否し、許可したいポートのみ解放するという形式となる。
サーバインストール直後(SSH サーバ導入済み)なら、以下のようにローカルネットからのみ SSH 接続を許可するようにし、後に各種サービスを運用するたびに解放するポートを設定すればよいだろう。
# ufw default deny
Default incoming policy changed to 'deny'
(be sure to update your rules accordingly)
# ufw allow proto tcp from 192.168.11.0/24 to any port 9999
Rules updated
# ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
# ufw status
Status: active
To Action From
-- ------ ----
9999/tcp ALLOW 192.168.11.0/24
ファイアウォールを有効にする際に SSH 接続できるように設定しておかないとリモートで操作できなるのでご注意を。
以上。
]]>以前古いバージョンでの作業時に残していた記録を参考に作業を行い、今回更新した作業記録を貼付する形式の内容となっています。
(当然ながら、興味がなければスルーしてください)
ntpd や chronyd は使用しない。まず、現状の NTP の設定状況を確認する。
# timedatectl status
Local time: 水 2025-10-01 15:24:14 JST
Universal time: 水 2025-10-01 06:24:14 UTC
RTC time: 水 2025-10-01 06:24:14
Time zone: Asia/Tokyo (JST, +0900)
System clock synchronized: yes
NTP service: active
RTC in local TZ: no
NTP service が active になっていれば、 NTP 機能は有効になっているということ。(次項 2 へ)
NTP service が inactive になっていれば、 NTP 機能が無効になっているということなので、以下を実行して NTP 機能を有効化する。
# timedatectl set-ntp true
以下は当方の例。
File: /etc/systemd/timesyncd.conf
[Time]
NTP=ntp.nict.jp
FallbackNTP=ntp1.jst.mfeed.ad.jp ntp2.jst.mfeed.ad.jp ntp3.jst.mfeed.ad.jp
NTP がメイン、 FallbackNTP が予備(ある意味「予備」であるが、厳密にはそうではない)。設定を有効化するために時刻同期デーモン systemd-timesyncd を再起動する。
# systemctl restart systemd-timesyncd
systemd-timesyncd は起動していなかったであろうから、 restart でなく start とする。systemd-timesyncd は自動起動する設定になっているはずだが、自動起動する設定になっていない場合は、設定しておく。
# systemctl enable systemd-timesyncd
# systemctl is-enabled systemd-timesyncd
以上。
]]>以前古いバージョンでの作業時に残していた記録を参考に作業を行い、今回更新した作業記録を貼付する形式の内容となっています。
(当然ながら、興味がなければスルーしてください)
# apt -y update
# apt -y install clamav
ClamAV インストール後は、ウイルスデータベース更新のサービス clamav-freshclam が自動で起動しているはず。
また、しばらくすると、 /var/lib/clamav/ ディレクトリ配下にウイルスデータベースがダウンロードされる。
ダウンロードの状況は、ログファイル /var/log/clamav/freshclam.log で確認できる。
clamscan, ウイルス無しの場合)以下のようにして、ウイルススキャンを行ってみる。
(スキャンするディレクトリを指定するなら、最後にディレクトリを指定する)
# clamscan --infected --remove --recursive
----------- SCAN SUMMARY -----------
Known viruses: 8708636
Engine version: 1.4.3
Scanned directories: 5
Scanned files: 5
Infected files: 0
Data scanned: 0.02 MB
Data read: 0.01 MB (ratio 2.00:1)
Time: 27.205 sec (0 m 27 s)
Start Date: 2025:10:01 15:06:10
End Date: 2025:10:01 15:06:37
--infected : 感染ファイルのみ結果出力--remove : 感染ファイルを削除(注意)--move で感染ファイルを別ディレクトリへ移動してもよいだろう)--recursive : サブディレクトリも再帰的にスキャンその他のオプションについては clamscan --help 等で確認
ウイルスが有る場合に正常に機能するかをテストするために、まずテスト用ウイルスを用意する。
File: eicar.com
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
clamscan, ウイルス有りの場合)# clamscan --infected --remove --recursive
/root/eicar.com: Eicar-Signature FOUND
/root/eicar.com: Removed.
----------- SCAN SUMMARY -----------
Known viruses: 8708636
Engine version: 1.4.3
Scanned directories: 5
Scanned files: 6
Infected files: 1
Data scanned: 0.02 MB
Data read: 0.01 MB (ratio 2.00:1)
Time: 27.144 sec (0 m 27 s)
Start Date: 2025:10:01 15:07:08
End Date: 2025:10:01 15:07:36
--infected : 感染ファイルのみ結果出力--remove : 感染ファイルを削除(注意)--move で感染ファイルを別ディレクトリへ移動してもよいだろう)--recursive : サブディレクトリも再帰的にスキャンその他のオプションについては clamscan --help 等で確認
clamscan によるウイルススキャンは重いため、リアルタイムスキャンには clamdscan を使用する。
# apt -y install clamav-daemon
ClamAV デーモンインストール後は、clamav-daemon が自動で起動しているはず。
clamdscan, ウイルス無しの場合)以下のようにして、clamdscan でウイルススキャンを行ってみる。
(スキャンするディレクトリを指定するなら、最後にディレクトリを指定する)
# clamdscan --fdpass --infected --remove
----------- SCAN SUMMARY -----------
Infected files: 0
Time: 16.896 sec (0 m 16 s)
Start Date: 2025:10:01 15:08:06
End Date: 2025:10:01 15:08:23
--fdpass : clamav と異なるユーザでスキャンする場合--infected : 感染ファイルのみ結果出力--remove : 感染ファイルを削除(注意)--move で感染ファイルを別ディレクトリへ移動してもよいだろう)clamdscan では --recursive オプションは使用不可(3. と同じ)
clamdscan, ウイルス有りの場合)# clamdscan --fdpass --infected --remove
/root/eicar.com: Eicar-Signature FOUND
/root/eicar.com: Removed.
----------- SCAN SUMMARY -----------
Infected files: 1
Time: 0.027 sec (0 m 0 s)
Start Date: 2025:10:01 15:08:49
End Date: 2025:10:01 15:08:49
--fdpass : clamav と異なるユーザでスキャンする場合--infected : 感染ファイルのみ結果出力--remove : 感染ファイルを削除(注意)--move で感染ファイルを別ディレクトリへ移動してもよいだろう)clamdscan では --recursive オプションは使用不可# dpkg-reconfigure clamav-freshclam
インタラクティブに次の項目を設定できる。
daemon / ifup.d / cron / manual ?daemon とした)DatabaseMirror db.jp.clamav.netDatabaseMirror db.local.clamav.netDatabaseMirror database.clamav.netYes」とした)Yes」とした(ある意味、ダウンロードは必須なので))Yes」とした)設定ファイルは以下のようになった。
File: /etc/clamav/freshclam.conf
# Automatically created by the clamav-freshclam postinst
# Comments will get lost when you reconfigure the clamav-freshclam package
DatabaseOwner clamav
UpdateLogFile /var/log/clamav/freshclam.log
LogVerbose false
LogSyslog false
LogFacility LOG_LOCAL6
LogFileMaxSize 0
LogRotate true
LogTime true
Foreground false
Debug false
MaxAttempts 5
DatabaseDirectory /var/lib/clamav
DNSDatabaseInfo current.cvd.clamav.net
ConnectTimeout 30
ReceiveTimeout 0
TestDatabases yes
ScriptedUpdates yes
CompressLocalDatabase no
Bytecode true
NotifyClamd /etc/clamav/clamd.conf
# Check for new database 24 times a day
Checks 24
DatabaseMirror db.jp.clamav.net
DatabaseMirror db.local.clamav.net
DatabaseMirror database.clamav.net# dpkg-reconfigure clamav-daemon
設定項目が多数あるが、全てデフォルトでよい。
設定ファイルは以下のようになった。
File: /etc/clamav/clamd.conf
#Automatically Generated by clamav-daemon postinst
#To reconfigure clamd run #dpkg-reconfigure clamav-daemon
#Please read /usr/share/doc/clamav-daemon/README.Debian.gz for details
LocalSocket /var/run/clamav/clamd.ctl
FixStaleSocket true
LocalSocketGroup clamav
LocalSocketMode 666
# TemporaryDirectory is not set to its default /tmp here to make overriding
# the default with environment variables TMPDIR/TMP/TEMP possible
User clamav
ScanMail true
ScanArchive true
ArchiveBlockEncrypted false
MaxDirectoryRecursion 15
FollowDirectorySymlinks false
FollowFileSymlinks false
ReadTimeout 180
MaxThreads 12
MaxConnectionQueueLength 15
LogSyslog false
LogRotate true
LogFacility LOG_LOCAL6
LogClean false
LogVerbose false
PreludeEnable no
PreludeAnalyzerName ClamAV
DatabaseDirectory /var/lib/clamav
OfficialDatabaseOnly false
SelfCheck 3600
Foreground false
Debug false
ScanPE true
MaxEmbeddedPE 10M
ScanOLE2 true
ScanPDF true
ScanHTML true
MaxHTMLNormalize 10M
MaxHTMLNoTags 2M
MaxScriptNormalize 5M
MaxZipTypeRcg 1M
ScanSWF true
ExitOnOOM false
LeaveTemporaryFiles false
AlgorithmicDetection true
ScanELF true
IdleTimeout 30
CrossFilesystems true
PhishingSignatures true
PhishingScanURLs true
PhishingAlwaysBlockSSLMismatch false
PhishingAlwaysBlockCloak false
PartitionIntersection false
DetectPUA false
ScanPartialMessages false
HeuristicScanPrecedence false
StructuredDataDetection false
CommandReadTimeout 30
SendBufTimeout 200
MaxQueue 100
ExtendedDetectionInfo true
OLE2BlockMacros false
AllowAllMatchScan true
ForceToDisk false
DisableCertCheck false
DisableCache false
MaxScanTime 120000
MaxScanSize 100M
MaxFileSize 25M
MaxRecursion 16
MaxFiles 10000
MaxPartitions 50
MaxIconsPE 100
PCREMatchLimit 10000
PCRERecMatchLimit 5000
PCREMaxFileSize 25M
ScanXMLDOCS true
ScanHWP3 true
MaxRecHWP3 16
StreamMaxLength 25M
LogFile /var/log/clamav/clamav.log
LogTime true
LogFileUnlock false
LogFileMaxSize 0
Bytecode true
BytecodeSecurity TrustSigned
BytecodeTimeout 60000
OnAccessMaxFileSize 5Mclamdscan による実行用スクリプトの作成。(一例。簡易版)
File: /root/clamdscan.sh
#!/bin/bash
PATH=/usr/bin:/bin
# ウイルススキャン
CLAMSCANLOG=`mktemp`
TARGET="$(mount | egrep -v ' type +(sysfs|proc|configfs) ' | cut -d ' ' -f 3)"
clamdscan --fdpass --infected --remove $TARGET > $CLAMSCANLOG 2>&1
# レポートのメール送信(ウイルス検知時のみ)
# ※ログ内の行の最後に "FOUND" の文字列があるものをチェック
if [ -n "$(grep FOUND$ $CLAMSCANLOG)" ]; then
grep -A 1 FOUND$ $CLAMSCANLOG | mail -s "Virus Found in `hostname`" root
fi
# スキャンログをシスログに出力
cat $CLAMSCANLOG | logger -t $(basename ${0})
rm -f $CLAMSCANLOG$TARGET について、LibClamAV Warning: fmap_readpage: pread fail: ... という警告が出力されるので、それを抑止するため、スキャン対象を仮想ファイルシステム以外としている。実行権限付与。
# chmod +x /root/clamdscan.sh
cron 登録。(毎日深夜2:50に実行する例)
File: /etc/cron.d/clamdscan
50 2 * * * root /root/clamdscan.sh > /dev/null
以上。
]]>