OP25B対策には以下の2種類がある
(1)実験サーバSMTPサーバ(SMTP構内)から外部へ送信する場合
(2)外部(たとえばPlala構内)から実験サーバSMTPサーバ(SMTP構内)に接続(メールを受けとるという意味では受信)する場合
(1)に対する対策
/etc/postfix/main.cfに書きを追加
relayhost = [smtp.poem.ocn.ne.jp]
これは,外部へ送信する場合,OCNのメールサーバを中継する設定である。
(2)に対する対策
①cyrus-saslのインストール
# /usr/sbin/postconf -a
cyrus
dovecot
# sudo rpm -qa | grep cyrus-sasl
cyrus-sasl-2.1.22-7.el5_8.1
cyrus-sasl-lib-2.1.22-7.el5_8.1
cyrus-sasl-plain-2.1.22-7.el5_8.1
# sudo yum -y install cyrus-sasl-md5
# sudo yum -y install cyrus-sasl-plain
# sudo rpm -qa | grep cyrus-sasl
cyrus-sasl-2.1.22-7.el5_8.1
cyrus-sasl-lib-2.1.22-7.el5_8.1
cyrus-sasl-plain-2.1.22-7.el5_8.1
cyrus-sasl-md5-2.1.22-7.el5_8.1
②パスワードの設定
# sudo /usr/sbin/saslpasswd2 -c -u some.domain.jp userAccount
# /usr/sbin/sasldblistusers2
userAccount@some.domain.jp: userPassword
※削除する場合
# sudo /usr/sbin/saslpasswd2 -d -u some.domai.jp userAccount
③データベースのオーナーをpostfixに変更
# sudo chown postfix /etc/sasldb2
④Postfixの設定(SMTP AUTHの設定)
$ sudo vim /etc/postfix/main.cf
# SMTP AUTH
smtpd_sasl_auth_enable=yes
smtpd_sasl_local_domain=$mydomain
smtpd_recipient_restrictions=
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination
smtpd_sasl_security_options=noanonymous,noplaintext
⑤確認テスト
# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 kumw-hinfo.ddo.jp ESMTP Postfix
EHLO localhost
250-kumw-hinfo.ddo.jp
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH DIGEST-MD5 CRAM-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
【参考】
OP25B対策(Outbound Port 25 Blocking対策)
http://www.aconus.com/~oyaji/mail2/op25b.htm
⑥Submission587の設定
/etc/postfix/master.cf
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - n - - smtpd
#submission inet n - n - - smtpd
# -o smtpd_enforce_tls=yes
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
↓
submission inet n - n - - smtpd
-o smtpd_etrn_restrictions=reject
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
⑦ファイアウォールの設定(port587に穴を開ける)
/etc/sysconfig/iptables
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 587 -j ACCEPT
/etc/postfix/main.cf
mynetworks = xxx.xxx.xxx.xxx/32, 127.0.0.0/8, xxx.xxx.xxx.xxx/32
【参考】
Postfix + Cyrus SASL で SMTP AUTH を設定した
http://www.1x1.jp/blog/2012/10/postfix_and_cyrus_sasl2_stmp_auth.html
2014年11月22日土曜日
2014年11月20日木曜日
2014年11月19日水曜日
Webサーバ構築
Apache+PHPをインストールする
#yum install httpd phpWebコンテンツを修正できるグループを作成してメンバを登録する
# groupadd www# usermod -G www user
# chown -R root:www /var/www
# chmod -R g+w /var/www
公開鍵認証
http://www.websec-room.com/2014/01/18/1647chmod 700 ~/.sshを忘れないこと!
/etc/ssh/sshd_confでPubkeyAuthentication yesのコメントを外すことを忘れないこと
WinSCPのためのPuTTY用の秘密鍵の作成
http://www.websec-room.com/2014/01/18/1647WinSCPを使って、imagesフォルダとstyle.cssをアップロード
2014年10月24日金曜日
ユーザとグループの概念
- ユーザ
- システム上に登録されたアカウントを持つメンバ
- ユーザは/etc/passwdに登録される
- パスワードは/etc/shadowに登録される
- グループ
- 単独もしくは複数のユーザから構成され、システムに対する権限を与えたり限定したりするために使用される
- グループは/etc/groupへ登録される
コマンド
- ユーザ登録(useradd)
- パスワード設定(passwd)
- グループ登録(groupadd)
- ユーザの属するメイングループの変更(usermod -g)
- usermod -g グループ名 ユーザ名
- ユーザの補助グループを登録する(usermod -G)
- usermod -G グループ名 ユーザ名
- ユーザから所属する補助グループを削除(gpasswd)
- gpasswd -d ユーザ名 グループ名
2014年10月2日木曜日
VMwareのゲストOSに他のPCからTeratermで接続するには
VMwareのゲストOSとしてLinuxをインストールした.これによって,ホストOSのイーサネットアダプタにはVMware Network Adapter for WMnet8というのが追加され,192.168.aaa.1というIPアドレスが付与されている(aaaの部分はインスタンスごとに異なるようだ).これは,ゲストOSのゲートウェイになるらしい。一方,ゲストOSからifconfigで確認すると,割り当てられたIPアドレスは192.168.aaa.128になっていた.DHCPでIPアドレスを取得するときのデフォルトがこのIPアドレスになるらしい。
ゲストOSからホストOSへpingできる.また,ホストOSからゲストOSへもpingできる.また,ゲストOSからホストOSへtracerouteすると,192.168.aaa.2を経由していることがわかる。このIPアドレスはDHCP&NATになっているようだ(参考:「仮想化ソフトウェア VMware Player」)。逆に,ゲストOSからホストOSへtracertしても何も経由せずにホストOSにたどりつく。
VMwareのメニューからPlayer→「管理」→「仮想マシンの設定」→「ネットワークアダプタ」でネットワークの設定が行える.詳細は「VMware Player を使う」を参照のこと。
NAT接続(ただし,ゲストOS側ではDHCPは使わない)の方法については「VMwareのNAT接続設定」に説明がある。
次にブリッジ接続について。VMwareのネットワーク設定でブリッジ接続を選択する。ついで、CentOS側でネットワーク設定を行う(ホストOSと同じ設定で、IPアドレスのみ空いているのを使用)。なお、ホストOSのVMware Network Adaptorは何も触る必要がない。
ここで接続テストを行う。その際、ホストOSに設定したIPアドレスに向けてpingを送っても通らないので,Default Gatewayなどにpingしてテストを行う。
ゲストOSからホストOSへpingできる.また,ホストOSからゲストOSへもpingできる.また,ゲストOSからホストOSへtracerouteすると,192.168.aaa.2を経由していることがわかる。このIPアドレスはDHCP&NATになっているようだ(参考:「仮想化ソフトウェア VMware Player」)。逆に,ゲストOSからホストOSへtracertしても何も経由せずにホストOSにたどりつく。
VMwareのメニューからPlayer→「管理」→「仮想マシンの設定」→「ネットワークアダプタ」でネットワークの設定が行える.詳細は「VMware Player を使う」を参照のこと。
NAT接続(ただし,ゲストOS側ではDHCPは使わない)の方法については「VMwareのNAT接続設定」に説明がある。
次にブリッジ接続について。VMwareのネットワーク設定でブリッジ接続を選択する。ついで、CentOS側でネットワーク設定を行う(ホストOSと同じ設定で、IPアドレスのみ空いているのを使用)。なお、ホストOSのVMware Network Adaptorは何も触る必要がない。
ここで接続テストを行う。その際、ホストOSに設定したIPアドレスに向けてpingを送っても通らないので,Default Gatewayなどにpingしてテストを行う。
2014年9月26日金曜日
2014年9月25日木曜日
仮想マシン
VMwareをインストールして、Ubuntu 12.04 LTS 64bit 版をインストールした。Ubuntuはたいへん遅い。今後確認しておきたいこととして、
を仮想マシン上にインストールしてみる。
CentOS 6.5をインストールしてみた.Ubuntuに比べると順調にインストールできた.しかも軽い.VMware Toolsもインストールした.
- Ubuntu 32bit 版
- CentOS 6.5
を仮想マシン上にインストールしてみる。
CentOS 6.5をインストールしてみた.Ubuntuに比べると順調にインストールできた.しかも軽い.VMware Toolsもインストールした.
- VMware Playerの[Player]メニューから[管理]→[VMware Toolsのインストール]
- Toolsのセットアップファイルがマウントされる
- Terminalを起動して tar -xvf と入力し,Toolsのセットアップファイルをドラッグ&ドロップ
- カレントディレクトリにToolsのセットアップ関連ファイルが展開されるので,その中に入って拡張子が.plのセットアップスクリプトを実行する
セキュアブートを無効にする
実験室に導入した新しいPC(ESPRIMO FMVD10009)で、DVDブートができない。
BIOS設定(F2)の「詳細」タブで「リムーバルメディアからの起動」は[使用する]になっている。
しかし、「起動デバイスの優先順位」にDVD(TSSTcorp CDDVDW SH-216DB)がない。
セキュアブートとは
http://www.sophia-it.com/content/%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%83%96%E3%83%BC%E3%83%88
セキュアブートを無効にする
http://homepage2.nifty.com/nonnon/Chinamini/win8/win8-h016.html
BIOS設定(F2)の「詳細」タブで「リムーバルメディアからの起動」は[使用する]になっている。
しかし、「起動デバイスの優先順位」にDVD(TSSTcorp CDDVDW SH-216DB)がない。
- Windows Boot Manager
- UEFI:TOSHIBA MQ01ABF032
- UEFI:IP4
- UEFI:IP6
「セキュリティ」タブで「セキュアブート設定」を見ると、「セキュアブート」が「有効」になっている。無効にしようとしても変更できない。
同様にTPM(セキュリティチップ)設定も「セキュリティチップ」が「使用する」になっていて、変更できない。
セキュアブートとは
http://www.sophia-it.com/content/%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%83%96%E3%83%BC%E3%83%88
セキュアブートを無効にする
http://homepage2.nifty.com/nonnon/Chinamini/win8/win8-h016.html
2014年1月24日金曜日
ルート証明書の作成方法
自前でサーバ証明書を発行してSSLサイトを立ち上げても、ブラウザにルート証明書がなければ危険なサイトとみなしてエラーが出る。これを回避するには、ルート証明書を作成して、ブラウザにインストールしてしまえばいい。また、発行するサーバ証明書も認証局の秘密鍵で署名しなければならない。その作成方法が以下のサイトにあった。
オレオレ認証局の作り方~SSL証明書を無料で作る方法 on CentOS 5
オレオレ認証局の作り方~SSL証明書を無料で作る方法 on CentOS 5
メールサーバのMaildirとmutt
PstfixやDovecotは特に設定をしない限りメール保管方法がMailbox形式になる。その場合、mailコマンドで受信したメールを取り出すことができない。これは、mailコマンドがMailbox形式にしか対応していないためでsる。Maildir形式のメールを受信するにはmuttというツールを利用する必要がある。
インストール
# yum install mutt
設定ファイル:/etc/Muttrc.local
set mbox_type="Maildir"
set folder="~/Maildir"
set mbox="~/Maildir"
set spoolfile="~/Maildir"
set mask="!^¥¥.[^.]"
set record="+.Sent"
set postponed="+.Drafts"
mailboxes `echo -n "+ "; find ~/Maildir -maxdepth 1 -type d -name ".*" -printf "+'%f' "`
参考:MailboxをMaildirに変換
インストール
# yum install mutt
設定ファイル:/etc/Muttrc.local
set mbox_type="Maildir"
set folder="~/Maildir"
set mbox="~/Maildir"
set spoolfile="~/Maildir"
set mask="!^¥¥.[^.]"
set record="+.Sent"
set postponed="+.Drafts"
mailboxes `echo -n "+ "; find ~/Maildir -maxdepth 1 -type d -name ".*" -printf "+'%f' "`
参考:MailboxをMaildirに変換
登録:
コメント (Atom)