サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
大谷翔平
fiore.hatenadiary.org
http://www.debian.or.jp/blog//openssl_package_and_its_vulnerability.html パッケージをアップデートしただけではダメなので、早めに上記の対策をしておきましょう。 うちのUbuntuマシンも2台ほど影響受けました。
例えば、以下のようなログを記録しないようにする。 "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02 ... \x90\x90\x90\x90" 414 271 "-" "-" 上記は非常に長いログ。これを1回記録するとそれだけで 32kB になるので、アクセスログに記録しないようにする。また、その他のワームアクセスや記録が不要と思われる物もログに記録しないようにする。 以下のように設定ファイルを編集する。 $ sudo vi /etc/apache2/apache2.conf # \"%r\" の部分を \"%!414r\" に変更する LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined ↓ LogFormat "%h %l %u
Apacheモジュールのmod_deflateを使用すれば、サーバ→クライアントでやり取りするデータを圧縮することができ、トラフィック量の低減が期待できる。 a2enmod コマンドで deflate と headers を読み込むように設定する。(Headerディレクティブを使用する為、mod_headersも読み込ませる必要がある) $ sudo a2enmod deflate $ sudo a2enmod headers続いて、/etc/apache2/mods-enabled/deflate.conf を以下のように編集する。 $ sudo vi /etc/apache2/mods-enabled/deflate.conf <IfModule mod_deflate.c> # 1〜9の値で圧縮率の設定(数字が大きくなると圧縮率が大きくなる) DeflateCompressionLe
システム全体での最大プロセス数(プロセス数+スレッド数)は、threads-max の値で決まる。(Linuxカーネルからは、スレッドもプロセスのように見える) この値を超えるプロセスは生成できないので必要に応じて十分な値を取る必要があるかもしれない。ただし、threads-maxのデフォルトの数値はメモリ量に合わせて起動時に計算された値となっている。ちなみにうちの環境では以下の値だった。 $ cat /proc/sys/kernel/threads-max 15871とりあえず、テストとして値を3倍にしてみる。変更方法は、/etc/sysctl.conf に以下のように追記する。 $ sudo vi /etc/sysctl.conf ... # システム全体での最大プロセス数 kernel.threads-max = 47613 ← 追記 編集後は以下のコマンドで設定を反映させる。 $
Apache再起動時に以下のメッセージが出る場合の対処法。 $ sudo /etc/init.d/apache2 restart * Restarting web server apache2 apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName [ OK ]/etc/hosts の 127.0.0.1 の行を以下のようにlocalhost.localdomain を先頭に持ってくることで対処できる。 $
システム全体のファイルディスクリプタの上限値を変更する ファイルディスクリプタの上限値を増やす設定を、Ubuntuを例として作業を進めていくが、CentOSなどにも適用可能。 とりあえず、現在のファイルディスクリプタの使用状況を確認してみる。 $ cat /proc/sys/fs/file-nr 4256 0 98531左から、割り当て済みファイルディスクリプタ 、使用中ファイルディスクリプタ 、最大割り当て可能ファイルディスクリプタとなる。 この最大割り当て可能ファイルディスクリプタの値を増やしてみる。/etc/sysctl.conf を開いて、最下行に以下のように追記する。 $ sudo vi /etc/sysctl.conf # ファイルディスクリプタの上限値 fs.file-max = 794573ここでは最大割り当て可能値を794573とした。この設定を反映させる為に以下のコマン
Ubuntuでnmapを使用するには、先ず以下のようにインストールを行う。 $ sudo aptitude install nmap試しに、LAN内(192.168.1.0/24)にpingスイープを実行してみる。 $ nmap -sP 192.168.1.0/24 Starting Nmap 4.20 ( http://insecure.org ) at 2008-03-06 21:06 JST Host 192.168.1.1 appears to be up. Host mikuru (192.168.1.50) appears to be up. Host haruhi (192.168.1.100) appears to be up. Host server (192.168.1.120) appears to be up. Host nagato (192.168.1.150)
先ずは、以下のようにしてインストールを行う。 $ sudo aptitude install samba今回、設定する内容としては、 LAN内(192.168.1.0/24)からのみアクセス可能 共有用のディレクトリ(/home/data/share)を作成して、Guestアカウントで読み込み・書き込みを可能にする 共有用のディレクトリを作成しておく。 $ sudo mkdir -p /home/data/share $ sudo chmod -R 777 /home/data $ sudo chown -R nobody. /home/dataうちの環境だと、/homeをかなり大きく取ってあるので、共有ディレクトリを/home以下に作成したが、ここは自分の環境に合わせて適宜読み替えてしまってください。 続いて、Sambaの設定ファイルを以下のように編集していく。 $ sudo vi /e
http://chibi.name/~ユーザ名/ みたいな、「~ユーザ名」を使用できるようにする設定をUbuntuで行う。 なお、Apacheの基本的な設定は完了していることを前提として設定していく。 もしAapacheの設定がまだな場合は、前回の日記のApacheの設定なんかを参考に。 先ずは以下のモジュールを読み込む。 $ sudo a2enmod userdir/etc/apache2/mods-enabled/userdir.conf の Directoryタブの中を以下のように変更する。 $ sudo vi /etc/apache2/mods-enabled/userdir.conf ... <Directory /home/*/public_html> # SSI(一部制限)やCGIの使用を許可している Options IncludesNoExec ExecCGI Follow
sshdサービスの開始 違うマシンからこのUbuntuマシンに接続して、あれこれできたほうが便利なのでsshdの設定をしておく。 先ずは以下のようにしてインストール。 $ sudo aptitude install ssh設定ファイルを見ると、rootでのログインが有効になっているのでこれを無効にしておく。 $ sudo vi /etc/ssh/sshd_config PermitRootLogin no ← noにしておくあとは基本的にそのままでOK。PasswordAuthentication については現段階ではとりあえずyesにしておき、あとで一通り公開鍵の登録などが終わったらnoに変更して、パスワードによるログインを無効にしてしまうのがいい。 とりあえず、上記で設定ファイルの変更をしているので、sshdのサービスを再起動しておく。 サービス再起動後は念のため、ちゃんと起動している
UbuntuでApacheを使用するには、先ず以下のようにしてapache2のパッケージをインストールする。 $ sudo aptitude install apache2あと、apxs を使用できるようにする為、以下のパッケージもインストールしておく。 $ sudo aptitude install apache2-dev $ which apxs2 /usr/bin/apxs2なお、このページで行うApacheの設定の概要は、 意図しないディレクトリやファイルへのアクセスを禁止する DocumentRootは/var/www/html SSIを使用可能にする Userdirを使用できるようにする 不要なアクセスについてはログに記録しないようにする パフォーマンスにちょっとこだわってみる とりあえずはこんなところで。 Apacheの基本的な設定 /etc/apache2/apache2.
PHPのインストール 先ずは以下のようにして必要なものをインストールしてやる。 $ sudo aptitude install php5 php5-cli php-pearPHPのモジュールはインストール後に読み込まれている状態になっていたので、a2enmodで読み込む必要は無し。 PHPの設定 以下は設定を変更した部分のみピックアップ。 なお、セキュリティにも一応気を使った設定となっている。 $ sudo vi /etc/php5/apache2/php.ini ; PHPのバージョンを隠す expose_php = Off ; ログに記録するレベルを指定 ; E_STRICTはPHP5で推奨されていない関数が使用された場合などに警告を出す error_reporting = E_ALL & ~E_NOTICE | E_STRICT ; エラーをHTMLで表示しないようにする displ
不要サービスの停止 例として、avahi-daemon, cupsys のサービスを停止する。 $ sudo /etc/init.d/avahi-daemon stop $ sudo /etc/init.d/cupsys stopまた、上記を実行しただけでは、次回コンピュータ起動時に立ち上がってきてしまうので、自動起動の停止もしておく。 $ sudo update-rc.d -f avahi-daemon remove $ sudo update-rc.d -f cupsys remove cronのログを有効にする デフォルトでは、cron のログが無効になっているので有効にしておく。 $ sudo vi /etc/syslog.conf #cron.* /var/log/cron.log ↓ cron.* /var/log/cron.log --MARK-- を記録しないようにする /
以下のように、telnet や nc でWebサーバに接続して、HEADメソッドを発行してヘッダ情報を取得できる。 $ telnet chibilog.name 80 Trying 122.21.243.156... Connected to chibilog.name. Escape character is '^]'. HEAD / HTTP/1.0 ←入力 HTTP/1.1 200 OK Date: Wed, 05 Mar 2008 02:29:39 GMT Server: Apache Vary: Accept-Encoding,User-Agent Connection: close Content-Type: text/html; charset=EUC-JP Connection closed by foreign host.※ chibilog.name は自分で管理
7.10から8.04にアップグレードしてみたので、その際のメモでも。 アップグレードを行う前に現状のパッケージのアップデートを全て適用しておく。 $ sudo -i # aptitude update # aptitude safe-upgradeGUI画面の「システム」 → 「システム管理」 → 「アップデート・マネージャ」を開く。 8.04LTSにアップグレードできますという項目があるので、アップグレードのボタンを押せばOK。 時間的には、1時間半くらいかかる感じ。途中、ファイルを置き換えますか?とか聞かれる場面が何度かあり、処理がそこで止まってしまうのでアップグレード中は完全に放置することができなかった。 下は途中でファイルを新しいものに置き換えるか聞かれ、置き換えたものたち。 /etc/mime.conf /etc/sysctl.conf /etc/modprobe.d/black
このページを最初にブックマークしてみませんか?
『そ、そんなことないんだから!』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く