はてなブックマーク

個人的な方針により、Apacheのドキュメントルートと同じくMySQLのデータベースも/homeに移動する。 まず、# /etc/init.d/mysql stopでMySQLを停止し、# mv /var/lib/mysql /homeでMySQLのデータベースディレクトリを/homeに。 これをやった場合は、MySQLの設定ファイルを修正しなければならない。 /etc/mysql/my.confを開き、mysqldセクションのdatadir         = /var/lib/mysqlをdatadir         = /home/mysqlに書き換える。 これだけでも問題ないが、メッセージを日本語化したい場合はlanguage        = /usr/share/mysql/englishをlanguage        = /usr/share/mysql/japanese

/etc/apache2/conf/commonapache2.confの設定編。 まずは、セキュリティ対策としてServerTokensディレクティブを変更する。ServerTokensディレクティブは、クライアントに返信するサーバ応答ヘッダに含める情報を制御する。デフォルトではServerTokens Fullとなっており、Apacheのバージョン、OS、PHPのバージョンなど、サーバの詳しい情報をクライアントに送り返す。例えば、Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2こんな感じ。 これでは、クラッカーに対して、クラッキングのための情報を与えているようなものである。 この情報を最小限にするため、ServerTokens Prodに修正する。ServerTokens ProductOnlyでもよい。これで、応答ヘッダの内容はServ

OSとして自立起動させるための仕上げ。まずはsyslogとcromのインストール。 syslogはmetalogを選択。インストールしたら、rc-updateでdefaltランレベルに追加。 # emerge metalog # rc-update add metalog default cromはvixie-cron。こちらもdefaltランレベルに追加しておく。 # emerge vixie-cron # rc-update add vixie-cron default さらにファイルのインデックスを作成するlocate（slocate）をインストール。 # emerge slocate /etc/fstabで各パーティションのマウント設定を行う。 # nano -w /etc/fstab 内容はこんな感じ。特筆すべきこともない、平凡な構成。 /dev/sda1       /boot

WindowsでRSA鍵を作成する場合は、PuTTYオリジナル版やWinSCPに付属するputtygen.exeを利用する。 puttygen.exeを起動したら、まずウィンドウ下部のラジオボタンで［SSH2 RSA］を選択する。次に［Generate］ボタンをクリックし、赤枠で示した辺りでマウスポインタをでたらめに動かす。マウスポインタの動きが、暗号を生成するための乱数の基数となる。 プログレスバーが右端に達するまでマウスを動かし続けると、パスフレーズ入力用のテキストボックスが表示される。「Key passphrase」と「Confirm passphrase」に、それぞれ同じパスフレーズを入力する。 パスフレーズを入力したら、［Save public key］ボタンで公開鍵、［Save private key］ボタンで秘密鍵を保存する。ファイル名は何でもよいが、公開鍵は「～.pub」、

忘れないうちに、MySQLのrootパスワードを設定しておく。設定には、SET PASSWORDを使う。# mysqlでmysqlツールを起動し、mysql> SET PASSWORD FOR root@localhost=PASSWORD('hoge'); Query OK, 0 rows affected (0.00 sec)とやって（「hoge」は任意のパスワード）、mysql> exitでmysqlツールを終了する。 パスワードが正しく設定されたか、確認してみる。まずは、パスワード設定前と同じようにmysqlツールを起動してみる。# mysql ERROR 1045: Access denied for user: 'root@localhost' (Using password: NO)このように、エラーになればOK。 次に、ユーザー名とパスワードの使用をオプションで指定する。#

「指定したページが見つからない」（404エラー）など、Webサーバが表示するエラーページをカスタマイズしてオリジナルページにする。これも/etc/apache2/conf/commonapache2.confで行う。 すべての17種類すべてのエラーページを用意するのは大変なので、よく使う（？）4種類のページだけオリジナルにした。commonapache2.confのデフォルト設定は、#   ErrorDocument 401 /error/HTTP_UNAUTHORIZED.html.var #   ErrorDocument 403 /error/HTTP_FORBIDDEN.html.var #   ErrorDocument 404 /error/HTTP_NOT_FOUND.html.var #   ErrorDocument 500 /error/HTTP_INTERNAL_SE

/etc/ssh/sshd_configを編集して、RSA公開鍵認証の有効化と各種の制限を行い、セキュリティを強化する。順番は前後するが、目的別に見ていく。 まず、RSA公開鍵認証の有効化。sshd_configの#RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeyFile   .ssh/authorized_keysをRSAAuthentication yes PubkeyAuthentication yes AuthorizedKeyFile   .ssh/authorized_keysに修正（「#」を削除）。これで、公開鍵と秘密鍵、パスフレーズによる認証が可能になる。 次に、#PermitRootLogin yesをPermitRootLogin noにして、rootで直接ログインできないようにする。これにより

USBハードディスクはSCSIデバイスとして認識される。よって、カーネルコンフィグではUSBの設定意外にSCSIの有効化が必要。 まずはカーネルの設定（カーネル2.6）。Device Drivers  ---> SCSI device support  ---> <*>  SCSI disk support USB support  ---> <*> EHCI HCD (USB 2.0) support <*> USB Mass Storage supportとして、必要な機能をオンにする。 USB 2.0の場合は、EHCIをオンにするだけでOK。さらに、ハードディスクを使うので「USB Mass Storage support」が必要になる。 カーネルを再構築（カーネル2.6の設定とコンパイル）したら、USBハードディスクを接続する。これだけで認識されるはずなので、その確認を行う。# c