CentOS低予算自宅サーバ奮闘メモ http://centlinuxer.blog37.fc2.com/ CentOSを使って、低予算で自宅サーバを構築する奮闘内容を記録しています。プロフィール掲載のリンクから我が家の環境をご覧ください。 ja http://centlinuxer.blog37.fc2.com/blog-entry-53.html Webサーバー間通信内容暗号化(Apache+mod_SSL) 1.mod_sslインストール[アプリケーション] - [ソフトウェアの追加/削除]でパッケージマネージャを起動。「1:mod_ssl-2.2.3-22.el5.centos.2.i386」にチェックを付けて適用ボタンを押下する。2.サーバー用証明書有効期限の変更端末よりディレクトリの移動。# cd /etc/pki/tls/certs/サーバー用証明書有効期限を1年から10年に変更する為、以下のコマンドを入力する。# sed -i 's/365/3650/g' Makefile3.サーバー用秘密鍵・証 1.mod_sslインストール
[アプリケーション] - [ソフトウェアの追加/削除]でパッケージマネージャを起動。

「1:mod_ssl-2.2.3-22.el5.centos.2.i386」にチェックを付けて適用ボタンを押下する。

パッケージマネージャ

2.サーバー用証明書有効期限の変更
端末よりディレクトリの移動。

# cd /etc/pki/tls/certs/


サーバー用証明書有効期限を1年から10年に変更する為、以下のコマンドを入力する。

# sed -i 's/365/3650/g' Makefile



3.サーバー用秘密鍵・証明書作成
同ルートから以下のコマンドを入力する。

#make server.crt


umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > server.key
Generating RSA private key, 1024 bit long modulus
.................++++++
............++++++
e is 65537 (0x10001)
Enter pass phrase: ← 任意のパスワードを応答※表示はされない
Verifying - Enter pass phrase: ← 任意のパスワードを応答(確認)※表示はされない
umask 77 ; \
/usr/bin/openssl req -utf8 -new -key server.key -x509 -days 3650 -out server.crt -set_serial 0
Enter pass phrase for server.key: ← 上記で応答したパスワードを応答※表示はされない
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:JP ← 国名応答
State or Province Name (full name) [Berkshire]:Tottori ← 都道府県名応答
Locality Name (eg, city) [Newbury]:Kawasaki ← 市区町村名応答
Organization Name (eg, company) [My Company Ltd]:mitchy.com ← サイト名応答(なんでもいい)
Organizational Unit Name (eg, section) []: ← 空ENTER
Common Name (eg, your name or your server's hostname) []:mitchy.com ← Webサーバー名応答
Email Address []:webmaster@mitchy.com ← 管理者メールアドレス応答

4.サーバー用秘密鍵からパスワード削除
Webサーバー起動時にパスワードを要求されないようにするため、サーバー用秘密鍵からパスワード削除

# openssl rsa -in server.key -out server.key



5.ssl.confの編集
ファイル「/etc/httpd/conf.d/ssl.conf」を開く。
以下の項目を変更する。

SSLCertificateFile /etc/pki/tls/certs/server.crt

SSLCertificateKeyFile /etc/pki/tls/certs/server.key


6.Apacheの再起動
[システム] - [管理] - [サービス]からサービスの設定を起動し、httpdの項目を再起動させる。

6.ポート443番のOPEN
ルーター側の設定でポート443番をOPENする。
ポートチェック【外部からポート開放確認】」からポート443を指定してポートが開いているかチェックをする。
ファイアウォールを設定している場合は、
[システム] - [管理] - [セキュリティレベルとファイアウォールの設定]を選択し、セキュリティレベルの設定画面を開く。
Secure WWW(HTTPS)の項目にチェックを付け、OKボタンを押下する。
WS000166.jpg

7.アクセスの確認
https://~でアクセスしてページが開けばOK。 ]]> Webサーバ 2009-07-29T17:58:52+09:00 mitchy FC2-BLOG http://centlinuxer.blog37.fc2.com/blog-entry-52.html DiCEで自動的にIPアドレスを更新する 1.DiCEインストールまずディレクトリを移動します。# cd /usr/local/bin次に以下のコマンドでDiCEをダウンロードします。# wget http://www.hi-ho.ne.jp/cgi-bin/user/yoshihiro_e/download.cgi?p=diced019ダウンロードしたDiCEを展開します。# tar zxvf diced01914.tar.gz2.DiCE設定スクリプト実行# setarch `uname -m` /usr/local/bin/DiCE/diced以下青字部分のように入力していきます。=-=-=- DiCE DynamicDNS Client -=-=- 1.DiCEインストール
まずディレクトリを移動します。

# cd /usr/local/bin


次に以下のコマンドでDiCEをダウンロードします。

# wget http://www.hi-ho.ne.jp/cgi-bin/user/yoshihiro_e/download.cgi?p=diced019


ダウンロードしたDiCEを展開します。

# tar zxvf diced01914.tar.gz



2.DiCE設定スクリプト実行

# setarch `uname -m` /usr/local/bin/DiCE/diced


以下青字部分のように入力していきます。
=-=-=- DiCE DynamicDNS Client -=-=-=
Version 0.19 for Japanese
Copyright(c) 2001 sarad

:setup
IPアドレスの検出方法を指定してください
(0) 自動検出
(1) ローカルのネットワークアダプタから検出
(2) 外部のスクリプトから検出
<現在:0>
(N)変更しない  (P)戻る
>n
-------------------------------------------------
プライベートIPアドレスも検出対象ですか? (Y/N)
<現在:いいえ>
(P)戻る
>n
-------------------------------------------------
IPアドレスの検出をテストしますか? (Y/N)
(P)戻る
>y
検出IPアドレス>×××.×××.×××.×××
-------------------------------------------------
IPアドレスの検出をテストしますか? (Y/N)
(P)戻る
>n
-------------------------------------------------
IPアドレスをチェックする間隔を指定してください(分)
設定可能範囲は5分以上です
<現在:10>
(N)変更しない  (P)戻る
>n
=================================================
DNSサーバーの負荷を軽減するために頻繁なDNS更新を防ぐ必要があります
前回の更新から一定時間DNS更新処理を行わないように保護時間を設定して
ください(分)  設定可能範囲は10分から1440分です
<現在:60>
(N)変更しない  (P)戻る
>30
=================================================
設定を保存しますか? (Y/N)
(P)戻る
>y
設定を保存しました
=================================================
:add
新しくイベントを追加します

DynamicDNSサービス名を入力してください
"?"で対応しているサービスを一覧表示します
(P)戻る
>ieServer
-------------------------------------------------
<< ieServer Project >>
URL: http://www.ieserver.net/
*** 情報 ***
IPアドレスはサーバー側で自動検出します。
IPアドレスの指定は出来ません。
(入力しても無視されます)
=================================================
ドメイン名を入力してください
"?"でドメイン一覧を表示します
(P)戻る
>dip.jp     ←http://webapp.dip.jpの場合
=================================================
ホスト名を入力してください
(P)戻る
>webapp     ←http://webapp.dip.jpの場合
=================================================
ログインユーザ名を入力してください
(P)戻る
>(空白)
=================================================
ログインパスワードを入力してください
(P)戻る
>××××××
=================================================
登録するIPアドレスを入力してください
空白にすると現在のIPアドレスを自動検出します
(P)戻る
>(空白)
=================================================
このイベントに題名を付けてください
(P)戻る
>webappアドレス更新
=================================================
このイベントを実行するスケジュールを設定します
-------------------------------------------------
実行する頻度を指定してください (番号入力)
(0)1回のみ (1)1日1回 (2)1週間に1回 (3)1ヵ月に1回
(4)その他の周期 (5)IPアドレス変化時 (6)起動時
(P)戻る
>5
-------------------------------------------------
IPアドレスがあまり変化しない環境の場合、更新せずに一定期間を過ぎると
アカウントを削除されてしまうことがあります
IPアドレスの変化が無い時に実行する間隔を指定してください
(0)7日毎   (1)14日毎  (2)21日毎  (3)28日毎
(4)35日毎  (5)56日毎  (6)84日毎
(P)戻る
>0
=================================================
詳細オプションを設定します
-------------------------------------------------
[ オフライン ]
(0)No (1)Yes
番号>0
=================================================
このイベントを有効にしますか? (Y/N)
(イベントの有効/無効は"EN/DIS"コマンドで切替えられます)
>y
=================================================
イベントを保存しますか? (Y/N)
>y
イベント"harukofarmアドレス更新"を保存しました
=================================================


3.DiCEの起動
以下のコマンドを入力します。

# setarch `uname -m` /usr/local/bin/DiCE/diced -d -l

]]> ネットワーク環境 2009-04-22T15:54:08+09:00 mitchy FC2-BLOG http://centlinuxer.blog37.fc2.com/blog-entry-51.html Postgresql導入ガイド 1.インストストール手順GUIメニューの[アプリケーション] - [ソフトウェアの追加/削除] でパッケージマネージャを起動します。ブラウズタブのサーバーを選択し、PostgreSQLデータベースにチェックを付け「適用」ボタンを押下します。これでインストールは完了です。2.PostgresSQLの設定/var/lib/pgsql/data配下にあるpg_hda.confファイルを開きます。行末にある部分を以下のように(ident sameuser→trust)修正します。# TYPE 1.インストストール手順
GUIメニューの[アプリケーション] - [ソフトウェアの追加/削除] でパッケージマネージャを起動します。
ブラウズタブのサーバーを選択し、PostgreSQLデータベースにチェックを付け「適用」ボタンを押下します。

これでインストールは完了です。
2.PostgresSQLの設定
/var/lib/pgsql/data配下にあるpg_hda.confファイルを開きます。
行末にある部分を以下のように(ident sameuser→trust)修正します。
# TYPE  DATABASE    USER        CIDR-ADDRESS          METHOD

# "local" is for Unix domain socket connections only
#local   all         all                               ident sameuser
local   all         all                               trust
# IPv4 local connections:
#host    all         all         127.0.0.1/32          ident sameuser
host    all         all         127.0.0.1/32          trust
# IPv6 local connections:
#host    all         all         ::1/128               ident sameuser
host    all         all         ::1/128               trust


3.PostgresSQLの起動
GUIメニューの[システム] - [管理] - [サービス]よりサービスの設定画面を起動し、postgresqlにチェックが付いていることを確認します。

4.コマンドラインからのアクセス
初期状態では、データベース作成権限である「postgres」に変更して操作する必要があります。

# su - postgres



・現在利用可能なデータベース名、所有者、およびエンコーディングの一覧を表示

$ psql -U postgres -l


表示結果
        List of databases
   Name    |  Owner   | Encoding
-----------+----------+----------
 postgres  | postgres | UTF8
 template0 | postgres | UTF8
 template1 | postgres | UTF8
(3 rows)


・データベースの作成

$ createdb test


・データベースの接続

$ psql test


接続結果
Welcome to psql 8.1.11, the PostgreSQL interactive terminal.

Type:  \copyright for distribution terms
       \h for help with SQL commands
       \? for help with psql commands
       \g or terminate with semicolon to execute query
       \q to quit

・データベースの切断

# \q

]]> PostgreSQL 2009-03-11T18:28:31+09:00 mitchy FC2-BLOG http://centlinuxer.blog37.fc2.com/blog-entry-50.html Outbound Port 25 Blocking対策 for Postfix 不正プログラムを利用したスパムメールは独自の機能によりメールを送信先のサーバに送りつけます。その際、インターネットサービスプロバイダ(以下ISP)のメールサーバは経由しないで行われます。その点を利用してISPでは「Outbound Port25 Blocking」(以下、OP25B)と呼ばれる対策がとられるようになりつつあります。OP25Bとは、ISPのメールサーバを経由しないメールについてはインターネットへ送信せずに破棄します。
OP25Bとは、ISPのメールサーバを経由しないメールについてはインターネットへ送信せずに破棄します。具体的に、25ポートを利用したメールはISPの外には出られません。また、多くのISPではメール送信にSMTP Authのようなユーザー認証を行うようにしています。このようにすることで、不正プログラムからのスパムメールをインターネット上に送られるのを阻止しています。

しかし、OP25Bが導入されることで、自宅サーバのように独自にメールサーバを設置しているユーザにとっては弊害となります。独自に設置したメールサーバもISPのメールサーバを通過しないので、スパムとして扱われてしまいます。

その為Postfixの設定をISPのメールサーバを経由するように設定してやります。そのためにはISPのメールアカウント(以下の情報)が必要となります。

・ISPの送信メールサーバのホスト名(SMTP)
・ユーザー名
・パスワード


下記ファイルを開きます。

/etc/postfix/main.cf



下記箇所を

#relayhost = [mailserver.isp.tld]


以下のように書き換えます。(ISPがOCNの例)

relayhost = [song.ocn.ne.jp]



次に設定ファイルの最終行にアカウントファイルを指定してやります。ファイルは存在しないので、後ほど作りますが、/etc/postfix/isp_accountとします。

smtp_sasl_password_maps = hash:/etc/postfix/isp_account



「/etc/postfix/isp_account」のファイルには以下のように記述してやります。

ISPの送信メールサーバのホスト名 ユーザ名:パスワード


保存が完了したら、アカウントファイルをデータベース化し、他のユーザが読めないようにアクセス権を変更します。root権限より、以下のコマンドを実行します。

cd /etc/postfix
chmod 600 isp_account
/usr/sbin/postmap isp_account



これが完了したらPostfixを再起動させます。
]]> メールサーバ 2009-02-26T03:38:02+09:00 mitchy FC2-BLOG http://centlinuxer.blog37.fc2.com/blog-entry-49.html MTAをsendmail⇒postfixへ移行させる。 1.Postfixのインストールデフォルトではインストールされていないので、メニューの[アプリケーション] - [ソフトウェアの追加と削除]を選択し、パッケージマネージャ画面の[一覧]タブより、以下の2つを選択します。・postfix・system-switch-mail-gnome2.メール転送エージェントの切り替えメニューの[システム] - [管理] - [メール転送エージェント 切り替え]を選択します。上図の画面が表示されるので、Postfixを選択します 1.Postfixのインストール
デフォルトではインストールされていないので、メニューの[アプリケーション] - [ソフトウェアの追加と削除]を選択し、パッケージマネージャ画面の[一覧]タブより、以下の2つを選択します。

・postfix
・system-switch-mail-gnome


インストール画面

2.メール転送エージェントの切り替え
メニューの[システム] - [管理] - [メール転送エージェント 切り替え]を選択します。

メールエージェントの切り替え

上図の画面が表示されるので、Postfixを選択します。

postfix切り替えok

3.設定ファイルの更新
下記ファイルを開きます。
]]> メールサーバ 2009-02-25T18:10:25+09:00 mitchy FC2-BLOG