【JFE-TEC ITプロフェッショナル NEWS】第34号 [まぐまぐ！]

2007/11/06

【JFE-TEC ITプロフェッショナル NEWS】第34号

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◆　　　　
　　　　【JFE-TEC　ITプロフェッショナル　NEWS】
　　　　　
　　　　　Published by [http://it.jfe-tec.jp/]
◆◇◆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━2007/11/06　 No.34
みなさま、こんにちは☆11月になりました。

平成20年用の年賀状も販売が開始されました。
日本郵政グループのサイトの郵便年賀.jpでは、年賀状の情報のほかに、「年賀
のトリビア」を公開しています。
それによると、『「あなたが新しい年を迎えたことを喜びます」との想いを伝え
るあいさつが、「年賀」のはじまり。』で、『「年賀」は昔、高齢を祝うこと
だった』とか。他にも、いろんなトリビアが紹介されていますよ。

郵便年賀.jpは→　　http://www.yubin-nenga.jp/pre/flash_index.html

では第34号をお届けいたします。
今回は、連載『オープンソース』の第9回です。ぜひご覧ください。

───────────────────────────────────
□■
■□　連載「オープンソース」
□■
───────────────────────────────────
第9回　オープンソース導入事例2

【サーバー群の構築】
◆インターネット・サービス
　インターネット向けサービスでのDNS、mail serverに関しては、ある程度の
専門的前提知識や詳細な解説が必要となるため、Webサーバー構築に焦点を絞
り、関連サービスを含めたインストール、アップデート、セキュリティー、環
境設定を中心に解説します。

◆ OSのインストール
　OSインストールは、標準インストールを選択し、ウィザードに従って作業を
進めます。

　但し、インストール先設定を「TFDisk」に変更し、パーティションタイプは、
最新ディストリビューションでの標準ファイルシステムである「ext3」を指定
します。ext3を採用する理由は、ext2ファイルシステムに対してジャーナリン
グ機能が追加され、マシントラブルからの復旧に要する時間が短いとされてい
るためです。

　また、構築サーバー用途別に、システム領域破損時等からの復旧を想定した
適切なパーティション設定※1を行います。

　容量80GBのRAID5にて構成されるHDD群を搭載するWebサーバーのパーティ
ション設定例を表9.1.に示します。まず、起動ファイル領域の「/boot」を設
置します。swap領域は経験上、複数に分割する事でパフォーマンスが向上する
ため2個所設定しています。
引き続き、アプリケーションを追加インストールする領域としての「/usr」、シ
ステムのテンポラリー領域としての「/tmp」、市販パッケージのインストール領
域としての「/opt」、ユーザー利用領域としての「/home」、そして、Webホーム
ページ、CGI、データベース、各種データ、添付ファイル等々の保存領域として
の「/var」を設定します。また、各領域の確保容量は同表に示す通りです。

┌─┬───┬──────┐
｜1 ｜/boot ｜        64MB｜
├─┼───┼──────┤
｜2 ｜swap  ｜       512MB｜
├─┼───┼──────┤
｜3 ｜/     ｜       512MB｜
├─┼───┼──────┤
｜4 ｜/usr  ｜      2048MB｜
├─┼───┼──────┤
｜5 ｜/tmp  ｜       512MB｜
├─┼───┼──────┤
｜6 ｜swap  ｜       512MB｜
├─┼───┼──────┤
｜7 ｜/opt　｜        64MB｜
├─┼───┼──────┤
｜8 ｜/home ｜      1024MB｜
├─┼───┼──────┤
｜9 ｜/var  ｜  (残り)74GB｜
└─┴───┴──────┘
表9.1.パーティション設定例

　インストール・タイプは「インターネットサーバー」とし、ユーザー設定は
デフォルトで設定されるrootユーザーの他、ネットワーク経由でのシステム管
理を行うための管理ユーザー・アカウントを設定します。
また、セキュリティー・レベル設定は「カスタム」を選択し、「httpd、 proftpd、
sshd、 webmin」の各サービスを指定してインストール作業を終了します。

◆ SSHの設定
　SSH(Secure Shell)※2は、TelnetをはじめFTP、　SMTP、　POP3を暗号化し、
アプリケーション層レベルで動作するプロトコルであり、ホストの認証、パス
フレーズによる暗号化、通信の暗号化、ポートフォワーディング等、サーバー
を管理・運用してゆく上で、必須な通信手段です。

　SSH設定ファイルである「/etc/ssh/sshd_config」中のListenAddressは、
「ListenAddress 192.168.0.100」の様にclient PCのIPアドレスを設定した
後、「service sshd restart」により設定を有効にします。

　但し、セグメント単位でのアクセス制御を行なう場合には、TCP Wapperを利
用します。

◆Webminの設定
　一般にLinuxのシステム環境設定は、「/etc」以下の各種テキスト設定ファイ
ルを編集する事で行われます。これらのシステム環境設定は、各種設定ファイ
ルを直接編集する事なく、GUIを用いて行う事のできるパッケージとして
Webmin※3が提供され、システム構築・設定・運用管理※4負荷を軽減できる様
になりました。

　そこで、システム管理者がイントラネット上の管理用PCからWebminを利用
できる環境を設定します。

　設定手順は、 X windowにてWebブラウザーを起動し、URLに
「https://localhost:10000」と入力する事で、サーバー・ローカル上にWebmin
が起動されます。次に、「IPアドレスの制御」を選択し、 IPアドレスを設定す
る事で当該client PCの遠隔操作が許可※5されます。

　設定終了後、「Log Out」を選択し、設定を有効にします。その後、設定され
た管理者PCの Webブラウザーにて、URLに「https://（サーバIPアドレ
ス）:10000」を入力する事でWebminの利用が可能となります。

◆ FTPの設定
　引き続き、ホスト間ファイル転送のためのTCP/IPアプリケーションである
FTP（File Transfer Protocol）を設定します。

　「/etc/proftpd/proftpd.conf」を以下の通り編集した後、「service proftpd
restart」にて再起動します。

┌──────────────┐
｜＃＜LimitLOGIN＞　　      　｜
｜＃DenyAll　　　　　　       ｜
｜＃＜/Limit＞　　　　      　｜
└──────────────┘
　　　　　　↓
┌──────────────┐
｜＜LimitLOGIN＞　　　　　　｜
｜Allow from 192.168.0.10　　｜
｜Deny from all               ｜
｜＜/Limit＞　　　　　　　　　｜
└──────────────┘

　但し、設定するIPアドレスは各々のネットワーク環境に従い、適切に設定し
ます。この例は、192.168.0.10のIPアドレスを持つclient接続を許可してい
ます。

　FTPは、通信を暗号化しないため、セキュリティー上、SSHプロトコルによる
SCP、SFTP暗号化通信の活用を推奨します。Windows PCからftpによる暗号化
通信を行うには、WinSCP※6を利用します。

◆ セキュリティー設定
　インターネット・サービスに際し、クラッカー防御を万全にする必要があり
ます。攻撃の対象の70%が80ポートを使うHTTPプロトコルであると言われ※7、
SQL injection、 cross site scripting、 parameter falsify、 buffer overflow
からシステムを防御する仕組みを構築する必要があります。尚、この具体的な
設定方法は、システム環境設定方法にて解説します。

　ここではセキュリティーホールを塞ぐための修正プログラムを適用※8しま
す※9。引き続き、不要なサービスの停止設定、「xinetd、TCP Wrapper」による
アクセス制御、「iptables」によるIPパケット・フィルタリングの手段を用い
て、必要なパケット以外は全てを遮断する設定を行います。

◆ Webサーバーの構築
　以上の環境設定の下で、Webサーバーを構築※10します。
　Webサービスは、httpd起動設定を行う事で自動起動されます。一方、
「service」コマンドを用いた手動による制御も可能です。

　ネットワーク上のclient PCへの閲覧・検索・情報入力・通信等々のサービ
スを提供するめには、公開すべき情報をWebサーバー上の「/var/www/html/」
ドキュメントルートに、CGIスクリプトを「/var/www/cgi-bin/」にそれぞれ設
置する事で可能となります。

　更に、公開情報の改竄やサーバー奪取操作を防止するため、予めWeb管理
ユーザー「webadmin」を設置した上で、下記の設定を行います。

┌────────────────────────────┐
｜chown webadmin.webadmin /var/www/html /var/www/cgi-bin　｜
｜chmod 755 /var/www/html /var/www/cgi-bin           　　｜
└────────────────────────────┘

　この設定により、Web管理ユーザーにフルアクセス権が与えられ、それ以外
は、htmlファイルの読出し権とcgiスクリプトの実行権のみが与えられます。

　次回は、オープンソース導入事例の3回目として、イントラネット・サービ
スについて取り上げます。

※1：Red Hat Linux 9インストールガイド. “システムパーティションの設
定”.(online) available from
<http://www.jp.redhat.com/manual/Doc9/rhl-ig-x86-ja-9/s1-diskpartitioning.html>、
(accessed 2003-12-29).

※2：宗近龍一郎. “sshでセキュアネットワーク構築”. (online)、
available from <http://211.4.250.170/flinux/special/ssh/ssh.html>、
(accessed 2003-12-29).

※3：千葉、福井. webmin大全. ローカス. p.13-47.

※4：Jamie Cameron.”webmin”. (online)、 available from
<http://www.webmin.com/>、 (accessed 2003-12-29).

※5：木田. “Webminのセキュリティレベルを上げたい～SSLアクセス＆
IPアドレス制限～”.(online)、 available from
<http://www.itmedia.co.jp/help/tips/linux/l0454.html>、
(accessed 2004-1-9).

※6：田淵.”WinSCP”. (online) available from
<http://www.tab2.jp/~winscp/>、(accessed 2003-12-29).

※7：“ポート80はこう守れ”、Nikkei Internet Solutions、 2003.7、 p.76-87.

※8：Turbolinux. ”turbopkgコマンドを使用するためのパッケージアップ
デートの方法について”. (online)、 available from
<http://www.turbolinux.co.jp/download/zabom.html>、
(accessed 2003-12-29).

※9：Turbolinux. “RPMパッケージのアップデート”. (online)、
available from <http://www.turbolinux.co.jp/knowledge/public/52.html>、
(accessed 2003-12-29).

※10：サーバ構築研究会編著. TURBOLINUX8で作るネットワークサーバ構築ガ
イド. 秀和システム. p.100-123、 p.496-553.

◆◇◆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【発行者】JFEテクノリサーチ株式会社　IT開発部
【所在地】千葉市中央区川崎町１番地
　　　　　TEL（043）262-4175
【Webサイト】http://it.jfe-tec.jp/
【お問合せ】itdev@jfe-tec.co.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◆
◇このメールマガジンは、「まぐまぐ」を利用して配信しています。
http://www.mag2.com/
◇登録・解除はこちらから http://www.mag2.com/m/0000225861.html
◇バックナンバーはこちらからhttp://blog.mag2.com/m/log/0000225861/