はてなブックマーク

CAの構築 最終更新日：2013年8月31日 以下ではOpenSSLを使った自己認証局（CA）の構築方法について述べていきます。 自己認証局を使うことで、社内（組織内）で利用であればベリサインなどの商用の認証局を使わずに、サーバ証明証書を作成することが可能になります。（外部公開用のサーバなどでは、運用上の制限や「証明の保証」という点で問題があるので自己認証局を使わずにベリサインなどの商用認証局でサーバ証明書を証明してもらうようにすべきでしょう） ■OpenSSLのインストール OpenSSLパッケージのインストールは次のコマンドを実行して行います。

Zabbixで監視を長期間行うと、収集したベータによってDBのサイズが肥大していきます。　収集したデータは一定期間の制限があるので、ある程度まで肥大すればそれ以上は増えないように思えますが、実際にはフラグメントが発生して肥大を続けていきます。 このため、DBについては定期的にフラグメント対策していないと、気づいた時にはDB（またはディスクスペース）を食いつぶしてZabbixが動作できなくる事態が予想されます。 Zabbixで利用しているDBと各テーブルの使用サイズの確認 普通にインストールしたZabbixであれば、DBにはMySQL(innoDB)、DB名に"zabbix"が利用されている思われます。　この確認はZabbixサーバ上で次の操作で確認できます。 # mysql -u root -p Enter password: MySQLのパスワードを入力 Welcome to the M

< Top /　Next > ３章 セカンダリDNSの構築 2011年11月27日 更新 1．DNSの障害対策の必要性 現在、多くの企業や大学、官庁など多くの組織でインターネットを使い、メールやWebサーバの公開をしています。 各組織に置かれたこれらのサーバとの通信では、サーバ名としてFQDN名（ex. "www.example.co.jp")を使っていることでしょう。　このとき、自分のサイトのDNSに障害が発生したらどうでしょう。　相手のサーバやクライアントでは、こちらのサーバ名に対応するIPアドレスが取得できなくなり、メールやWebアクセスが失敗し、業務に支障がでるかも知れません。　また、自分の組織からも相手のサーバが探せなくなり、同じくアクセスに失敗することとなります。 このような障害は、DNSを冗長化させておくことで避けることが可能です。 DNSでは最初に構築した自サイトのDNSを

本資料は、Squid を使ったProxyの構築において、可用性を確保するためにロードバランサを使った構成の資料が少ないため作成したものです。　本章を読む前に、「冗長化(HA)への考察」を一読してから本当にロードバランサが必要かを判断することをお勧めします。特に利用数が少人数であるなら pac ファイルを使ったProxyの切り替えも現実的な解と思われます。 ロードバランサは、クライアントからリクエストされたパケットを受け取り、それをバックエンドにある複数のサーバに効率的に転送するための装置です。　例えば、非常にユーザアクセス数の多いショッピングサイトなどでは、見かけ上のWebサーバをロードバランサとしその配下に多数のWebサーバを配置することで大量に発生するリクエストを効率的に処理できるようになっています。 このとき、ロードバランサの重要な機能としてセッション管理があり、同じクライアントから

Presented by DMZ. (非武装エリア) 最終更新日： 2019年7月07日 (This site is not official.) → Topに戻る Zabbixインストール 前準備 システム要求に従い、必要なソフトのインストールを済ませておいてください。 こちらに今回用意した環境準備手順を載せておきます。　尚、DBは MySQL（MariaDB） を使用します。 インストール用イメージの入手・インストール ■リポジトリの追加 本資料ではZabbix 4をインストールする説明を行っていきます。　ZabbixはCentOS(Redhat)の場合には標準でパッケージに入っていないのでリポジトリを追加してパッケージとしてインストールできるようにします。　インストールに使うパッケージレポジトリについては、Zabbixのサイトに記載されているのでこれに従います。 【CentOS 7(

Presented by DMZ. (非武装エリア) 最終更新日： 2019年8月25日 (This site is not official.) Topページ 1.システム要求 2.インストール 3. Zabbix初期設定 - 初期設定 - ログイン画面 - 画面の日本語化 - パスワードの変更 4. 監視設定 - 管理者グループ作成 - メールの設定 - 監視グループの作成 - 監視対象の追加 - 監視対象の自動検索 - 監視アイテムの調整 - サービスの監視 - サービスの監視（テンプレート） - スクリプトを使った障害監視 - トリガーアクションの実行 - 障害メールの送信 - 障害サービスの自動再起動 - メンテナンス時間の設定 5. モニタ - グラフの表示 - スクリーンの作成 6.Tips(豆知識) ・Zabbixエージェントのインストール  ・エージェントへのリモート実行

TLS(SSL)によるSMTPの暗号化 最終更新日：2013年8月25日 はじめに、 多くのメールサーバではメールクライアントとの間を、パスワードを含めてクリアテキストでの通信を行っています。　このような通信は、サーバとクライアント間にパケットキャプチャツールなどを設置されると、簡単にその内容を第三者にさ盗聴される危険があります。　見かけることが多くなった、フリー（外部）のWiFi環境やホテルなどのネットワーク環境は、同じネットワークを第三者も使っており、このような環境から社内のメールサーバにアクセスする場合には、通信そのものをVPNなどで暗号化するか、メールサーバなどのそれぞれのサービスごとに暗号化をせずに行うことは非常に危険です。 この資料では、メールサーバサービスとしてのPostｆｉｘのＴＬＳ(SSL)化を行うことで、ＳＭＴＰプロトコルを使ったメールの通信時にサーバ・クライアント間の

LDAPの検索を行う場合にどのDN名をベースにするかを選択します。　ベースの範囲を狭めることで検索に必要な時間が短縮可能です。例えば、ADの標準ユーザ情報コンテナである「CN=Users,DC=xxx,DC=xxx)を指定すれば、LDAP情報はこのコンテナに登録されているものだけを検索します。また、自分でADに専用のオブジェクトコンテナを作成した場合には、それを使うようにすることも可能です。（ex. OU=Users,OU=Unix,DC=xxx,DC=xxx) ADのLDAPにどんなコンテナがあるかは、AD上にてmmcを起動して"ADSI Editスナップイン"を追加してドメインの情報に接続すれば、内容を表示・編集が可能になります。 以上設定したら[OK]をクリックして処理を終了します。　これらの設定を行った結果は、/etc/openldap.conf と /etc/ldap.conf、

qmailの設定 Presented by 非武装エリア 最終更新日：2003年12月31日 ■１．起動・終了スクリプトの作成 1.1 /var/qmail/rc の作成 qmailを開始するためのスクリプトを記述します。スクリプトは/var/qmail/bootディレクトリの下に幾つかの起動スクリプトがあります。利用している環境に合わせてこれを/var/qmail/rcとしてコピーします。もし、適当なスクリプトが見つからない場合には、以下のスクリプトを試してください。 ( /var/qmail/rc ) #!/bin/sh exec env - PATH="/var/qmail/bin:$PATH" \ /var/qmail/bin/qmail-start ./Maildir/ splogger /var/qmail/rcを作成したら、実行権を与えるのを忘れないように。 # chmod

通常ではＰｒｏｘｙにユーザ認証を行うような運用は少ないと思いますが、セキュリティを心配する企業や学校などでは、内部のProxyを利用する際にユーザ側にIDによる認証を求める運用を行うケースもあります。　このとき、Webなどでお馴染みのユーザ認証（ベーシック認証）では、ユーザの管理をSquid上のサーバで行う必要があり大規模ユーザなどでにはユーザ情報の重複化やセキュリティーに関する問題が出てきます。 Squid には、Samba-3.0 (Windowsサーバ互換機能）に実装されたwinbind という機能を使うことで、既存のWindowsサーバのドメインとして登録されているユーザアカウントを使ったユーザ認証機能をサポートしています。 これによって大規模なユーザ環境においてもWindowsでのユーザ管理とSquidのユーザ管理を一元化した運用が可能となりました。 また、ユーザ情報自体はSqu

Webalizerって何？ Webalizerは高速な、無料のWebサーバーのログファイル解析プログラムです。　これは簡単な設定で、標準的なWebブラウザで表示できるHTML形式の非常に詳細なレポートを生成します。 特徴・機能 高速で移植性の高いC言語で書かれています。　1.6GHzのラップトップパソコンでも70,000レコード/秒を処理できます。これは、約200万件のアクセスが記録されたログファイルを、約30秒で解析できる事を意味します。 Standard Common logfile Format (CLF)形式のサーバログ、 いくつかのバリエーションのNCSA Combined ログ形式、wu-ftpd/proftpd xferlog (FTP) のログフォーマット、Squidプロキシサーバ標準のフォーマット、そしてW3C拡張ログフォーマットなどを解析できます。また、gzip (.g

注意： これは、Squid-2.4以前の設定ファイルの解説です。　Squid-バージョン2.5よりここに記述されている設定項目の多くが変更されました。 Squid-2.5以上を利用している場合にはこちらのSquid-2.5用のsquid.confの解説をお読みください。 これは、デフォルトのSquid設定ファイルです。ドキュメンテーションについては、 http://cache.is.co.za/squid/ を、またFAQについては http://squid.nlanr.net/ のホームページを参照すると良いでしょう。 ※squid.confでミスや不明な点を見つけたらメールください。 ネットワーク・オプション TAG: http_port SquidがHTTPクライアントからのリクエストを受けるポート番号です。標準では3128になっています。また、httpd-accel モードでは 8

SARG (Squid Analysis Report Generator） は、Squid によって記録されたログファイルから、「誰が、どのサイトに、何時見に行ったか、どの位データをダウンロードしたか」などの情報をHTML型式のレポートにして報告するツールです。 Sargは標準のSquidログ形式と拡張ログ形式のログファイルを処理できます。 コマンドラインに与えるフラグによって、1日、1週間、または1か月にわたるレポートが簡単に作成でき更に任意の日付範囲を含むレポートも作成できます。 HTMLレポートは静的です。 生成されると、それらは変わることが無く選択された日付範囲のみを表示します。 できることは、リンクをナビゲートしてさまざまなページを表示し、表ののコンテンツを並べ替えることだけです。 これには2つの利点があります。Sargはデータベースをまったく必要とせず、レポートは追加処理なし

OpenSSLを使ったサーバ証明書発行 最終更新日：2013年8月31日 現在、インターネット上での通信の暗号化にはSSL/TLS（Secure Sockets Layer/Transport Layer Security の略）という技術が一般的に使われています。 例えば、WebブラウザでSSLによる暗号化通信を行うサイトに接続すると、次のような鍵のマークが表示され、その鍵マークをクリックするとそのサイトの電子証明書を確認することができます。 電子証明書は、Web以外に例えばメールサーバとのやり取りやVPNによる暗号化通信など色々なところで活躍します。 この証明書を見ると、"login.yahoo.co.jp"というサイト（マシン名）に対して「GlobalSign」という認証局（CA）が2014/02/26まで有効な証明を発行していることが判ります。認証局はセキュリティを扱うに相応しいと

Squidのアクセスコントロールは比較的広範囲で一般の人には難しいと思います。　これには２つのコンポーネントがあり、１つはACLとその要素、もう一つがACLとその要素に対する許可・不許可の動作です。 ■ ACL（アクセスコントロールリスト）の要素 注：この情報はバージョン2.5におけるものです。 squidには以下のACL要素があります。 src : ソース（クライアント）のIPアドレス dst : デスティネーション（サーバ）のIPアドレス myip : クライアントの接続ローカルIPアドレス srcdomain : ソース（クライアント）のドメイン名 dstdoamin : デスティネーション（サーバ）のドメイン名 srcdom_regex : ソース（クライアント）の正規表現パターンマッチング dstdom_regex : デスティネーション（サーバ）の正規表現パターンマッチング t

Proxyを構築する理由の１つには、複数の端末からサイトへのアクセスが発生した場合、以前にアクセスした事があるサイトへのアクセスの場合、そのサイトの情報をProxy上に蓄えておくことで実際のサイトへのアクセスを発生させずにProxyに保持されたオブジェクトをクライアントへ返すことで帯域の節約と高速なアクセスを実現することにあります。この機能をキャッシュ機能といいます。 このとき、Proxyを利用する端末の数が少なければ、1台（単一）Proxyでも十分でしょう。 しかし、大規模（500人規模）なユーザのいるような環境では、Proxyが1台だけでは、そのProxy自体へのアクセスが集中することによって望んでいたパフォーマンスが出ないことが十分予想できます。 これに対する簡単な解決策は、複数のProxyを用意して一定のユーザ数以内でProxyを利用する方法が考えられますが、この場合それぞれのPr

2003-05-15 更新 Bridge（ブリッジ）の構築 Bridge（ブリッジ）を使うことは現在は少なくなってきたかもしれません。　Bridgeは２つ（複数）の分離されたＬＡＮセグメントを接続し、単一のLANとして働かさせる機能を持ちます。　これだけではリピータHUBとの差が無いように思えますが、ブリッジの場合にはそれぞれのLANセグメントにあるMACアドレスを管理しているので、セグメントAから発生したパケットがセグメントAの他のPC宛のパケットであった場合にはセグメントBにはそのパケットを流さないので不要なトラフィックを避けることが可能です。　また、ネットワーク上にトラフィックゲート（ボトルネック）を設けて、強制的なトラフィック／アクセスコントロールを行いたい場合には便利な機能です。（通常はボトルネックは避けるような設計を行うのですが、アクセスコントロールを行ってセキュリティを高めた

qmailのFAQ Presented by 非武装エリア 最終更新日：2003年12月31日 Q-1. qmailって本当に良いですか？ A-1. qmailの良さを色々な人に聞くとおおよそ次の１０のポイントがあげられます。 ・セキュリティ： 侵入されません ・スピード： sendmailより遙かに早くメールを届けられます。 ・信頼性： qmailはメールを失いません。 ・少ないメモリでの動作： 古い486ベースの16MBメモリのマシンで何１０ものメールを同時に処理できます。 ・ユーザによって管理されるメーリングリスト： 管理者は新しいリストを作る為にユーザがらせがまれずに済みます。 ・容易に作るれるバーチャルホスト： qmailでは簡単にバーチャルホストを実現できます。 ・判りやすい管理： 最小の設定でqmailは動作します。 ・柔軟な転送： qmailは外部のプログラムへ強力なインタ

2003年7月30日 更新 独り言： 最近、このページのアクセスがかなり多くなっています。　そんなにファイヤーウォールの構築にみんな悩んでのかしら．．． 構築例−3：低価格ファイヤーウォールでの構築例 前のページ　HOME 長所： 低価格ではあるが、専用のファイヤーウォール製品を利用する事で、アクセスコントロールや監視が簡単に行えるようになる。 ファイヤーウォールは専用のハードウェアなので、OS等のインストールで悩む必要がない。また可動部分（ディスク）がないため安定した運用が可能である。 DMZゾーンから内部LANへは許可したパケット以外は通さない上、WAN側から内部にはアクセスすることは基本的にはできない。 短所： ファイヤーウォールの設定知識が必要になるが、資料が少ない。 個人で購入するには少し高い。 この構成は低価格ファイヤーウォールアプライアンスの雄である「SonicWALL」を使

qmailの制御ファイル Presented by 非武装エリア 最終更新日：2003年12月31日 qmailの動作を制御する制御ファイルは/var/qmail/controlディレクトに存在します。qmailではsendmailなどとは違い、各制御は、１つのファイルにまとまっておらず、制御毎のファイルとして設定します。 設定ファイルには次のようなものがあります。