サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
セキュリティ
gentoo.reichsarchiv.jp
次はSambaのユーザーと認証関係の設定。/etc/samba/smb.confには楽しそうな記述が多いが、基本的にはデフォルトのままとする。外部に晒すつもりもないのでセキュリティは甘め。 security = user encrypt passwords = yes passdb backend = tdbsamこの辺りはSambaの定石どおりなので省略。 次に、ユーザーに公開するディレクトリ。まずは各人のホームディレクトリ。[homes] comment = Home Directories browseable = no writable = yesこれで、各ユーザーは自分のホームディレクトリだけが見えて読み書きできるようになる。 ウチはローカルサーバに公開サーバのドキュメントルートと同様の環境を構築している。ローカルサーバでの編集→公開サーバへscpで転送という手順になる。ロー
個人的な方針により、Apacheのドキュメントルートと同じくMySQLのデータベースも/homeに移動する。 まず、# /etc/init.d/mysql stopでMySQLを停止し、# mv /var/lib/mysql /homeでMySQLのデータベースディレクトリを/homeに。 これをやった場合は、MySQLの設定ファイルを修正しなければならない。 /etc/mysql/my.confを開き、mysqldセクションのdatadir = /var/lib/mysqlをdatadir = /home/mysqlに書き換える。 これだけでも問題ないが、メッセージを日本語化したい場合はlanguage = /usr/share/mysql/englishをlanguage = /usr/share/mysql/japanese
/etc/apache2/conf/commonapache2.confの設定編。 まずは、セキュリティ対策としてServerTokensディレクティブを変更する。ServerTokensディレクティブは、クライアントに返信するサーバ応答ヘッダに含める情報を制御する。デフォルトではServerTokens Fullとなっており、Apacheのバージョン、OS、PHPのバージョンなど、サーバの詳しい情報をクライアントに送り返す。例えば、Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2こんな感じ。 これでは、クラッカーに対して、クラッキングのための情報を与えているようなものである。 この情報を最小限にするため、ServerTokens Prodに修正する。ServerTokens ProductOnlyでもよい。これで、応答ヘッダの内容はServ
OSとして自立起動させるための仕上げ。まずはsyslogとcromのインストール。 syslogはmetalogを選択。インストールしたら、rc-updateでdefaltランレベルに追加。 # emerge metalog # rc-update add metalog default cromはvixie-cron。こちらもdefaltランレベルに追加しておく。 # emerge vixie-cron # rc-update add vixie-cron default さらにファイルのインデックスを作成するlocate(slocate)をインストール。 # emerge slocate /etc/fstabで各パーティションのマウント設定を行う。 # nano -w /etc/fstab 内容はこんな感じ。特筆すべきこともない、平凡な構成。 /dev/sda1 /boot
WindowsでRSA鍵を作成する場合は、PuTTYオリジナル版やWinSCPに付属するputtygen.exeを利用する。 puttygen.exeを起動したら、まずウィンドウ下部のラジオボタンで[SSH2 RSA]を選択する。次に[Generate]ボタンをクリックし、赤枠で示した辺りでマウスポインタをでたらめに動かす。マウスポインタの動きが、暗号を生成するための乱数の基数となる。 プログレスバーが右端に達するまでマウスを動かし続けると、パスフレーズ入力用のテキストボックスが表示される。「Key passphrase」と「Confirm passphrase」に、それぞれ同じパスフレーズを入力する。 パスフレーズを入力したら、[Save public key]ボタンで公開鍵、[Save private key]ボタンで秘密鍵を保存する。ファイル名は何でもよいが、公開鍵は「~.pub」、
忘れないうちに、MySQLのrootパスワードを設定しておく。設定には、SET PASSWORDを使う。# mysqlでmysqlツールを起動し、mysql> SET PASSWORD FOR root@localhost=PASSWORD('hoge'); Query OK, 0 rows affected (0.00 sec)とやって(「hoge」は任意のパスワード)、mysql> exitでmysqlツールを終了する。 パスワードが正しく設定されたか、確認してみる。まずは、パスワード設定前と同じようにmysqlツールを起動してみる。# mysql ERROR 1045: Access denied for user: 'root@localhost' (Using password: NO)このように、エラーになればOK。 次に、ユーザー名とパスワードの使用をオプションで指定する。#
「指定したページが見つからない」(404エラー)など、Webサーバが表示するエラーページをカスタマイズしてオリジナルページにする。これも/etc/apache2/conf/commonapache2.confで行う。 すべての17種類すべてのエラーページを用意するのは大変なので、よく使う(?)4種類のページだけオリジナルにした。commonapache2.confのデフォルト設定は、# ErrorDocument 401 /error/HTTP_UNAUTHORIZED.html.var # ErrorDocument 403 /error/HTTP_FORBIDDEN.html.var # ErrorDocument 404 /error/HTTP_NOT_FOUND.html.var # ErrorDocument 500 /error/HTTP_INTERNAL_SE
自宅サーバを外部に公開するには、プロバイダに割り当てられたグローバルIPアドレスとドメイン名を結びつける必要がある。これを行う手段の1つとして、ダイナミックDNSサービスを利用する方法がある。 多くのダイナミックDNSサービスは無償で提供されているが、一定の間隔でIPアドレスの更新処理を行わないとサービスが停止されてしまう。そこで、ダイナミックDNSサービスに対して定期的にIPアドレスの更新を行ってくれるDiCE for Linuxを利用する。 ここでは、ダイナミックDNSサービスにMyDNS.JPを利用した場合を例に説明する。 まず、DiCE DynamicDNS Client(for Linux)から、CUI版(diced000.tar.gz)をダウンロードする。 次にdiced000.tar.gzを展開し、DiCEディレクトリを/usr/local/bin下に移動する。 # tar
/etc/ssh/sshd_configを編集して、RSA公開鍵認証の有効化と各種の制限を行い、セキュリティを強化する。順番は前後するが、目的別に見ていく。 まず、RSA公開鍵認証の有効化。sshd_configの#RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeyFile .ssh/authorized_keysをRSAAuthentication yes PubkeyAuthentication yes AuthorizedKeyFile .ssh/authorized_keysに修正(「#」を削除)。これで、公開鍵と秘密鍵、パスフレーズによる認証が可能になる。 次に、#PermitRootLogin yesをPermitRootLogin noにして、rootで直接ログインできないようにする。これにより
USBハードディスクはSCSIデバイスとして認識される。よって、カーネルコンフィグではUSBの設定意外にSCSIの有効化が必要。 まずはカーネルの設定(カーネル2.6)。Device Drivers ---> SCSI device support ---> <*> SCSI disk support USB support ---> <*> EHCI HCD (USB 2.0) support <*> USB Mass Storage supportとして、必要な機能をオンにする。 USB 2.0の場合は、EHCIをオンにするだけでOK。さらに、ハードディスクを使うので「USB Mass Storage support」が必要になる。 カーネルを再構築(カーネル2.6の設定とコンパイル)したら、USBハードディスクを接続する。これだけで認識されるはずなので、その確認を行う。# c
このページを最初にブックマークしてみませんか?
『Gentoo Linuxで自宅サーバ』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
