自宅サーバー – ページ 4 –          おやじdemo_CentOSを使う

2014最新Mini-ITXの使い道はどうなのか?

 PC部品関係, 個人的な意見  No Responses »
4月 232014
 

ここに来てMini-ITX(オンボードCPU)をC70からA4-5000まで掲載しました。
INTELとAMDでスペックは違いますが、少し前のATOMやE350と違い、セカンドマシンにしなくても平気なようなスペックになってきています。コアも2コアから4コアに主流が変わってきていますし、少しずつですが周波数も向上しています。

この周波数については、上がり方が緩やかです。
普通のCPUであれば一気に3GHオーバーですが、オンボードCPU(APU)は現在のところ2GHz前後です。どうして一気に上げないのか?というのが疑問ですが、ここはメインのCPUが売れなくなる事を考慮してスペックを小出しにしていると考えた方が良さそうです。まぁ、速い仕様で作りたいならCPUとMBは別に買ってくれよ!という事です。

AMDに関しては、INTELと違って、このような住み分けをしなくても商売上良いのでは?と私自身思うところがあるのですが、皆さんはどう思われますか?E350を発売した時には、VGAのRadeonHDも含めたAPUという形式をITXという小さなMBで実現し、性能を向上させていくものと思っていましたが、新しくはA4のCPUを持ってきました。何種類ものCPUを作るよりも、その方がAMDにとって良いかも知れません。

さて、今回のMini-ITXでは、比較すると周波数的にはCeleron(J1900:2.0GHz)に軍配が上がります。
デスクトップで使用するにしてもQuadコアは捨て難いですし、サーバーにするにしても処理効果は高い。そして、消費電力も2コアと変わらない状況ならば、Quadコアを選択するのが一番です。

そう考えると選択肢は①A4-5000と②Celeron-J1900になります。
私的にGoGo!したいのはAMDです。(今までGoGo!表示しているのはAMDだけなんです。)
自宅サーバーは現在ATOM-D510(1.66GHz-2コア)ですが、E350を次期サーバーとし、A4-5000をCentOS6.5-64bit-desktopにしようか?という考えでいます。(もちろんATOMが壊れなければあえてサーバーを変更するつもりはありません。)私の場合にはサーバーでも活用も考慮していますが、windowsの代わりのデスクトップ機としてだけの使い道であれば、J1900が良いと思っています。

パソコン自作という観点からすると、メモリ(SO-DIMM)が使い回しにくい。
ノートパソコンの最新版を所有している人なら構いませんが、あるのはx40とhp-6710bではね~。
それにRadeonHDが標準搭載というのもAMDのプラス要素です。
Linuxでも動画再生支援やワイド画面表示に苦労しないで済みます。

そんな事で私的にはA4推し!になるのでしょうか。
元々1万円前後のMBですから、安ければ試しに買って使ってみるのが一番かも知れません。

自宅サーバーの管理と外部からの攻撃について

 Linux設定, 個人的な意見  No Responses »
1月 302014
 

花粉が飛び始めました。特に関東圏については飛散が1週間昨年よりも早いとの事です。
仕事先でもくしゃみや鼻水全開で集中力が無くなります。
早めに処置をしようと思います。

さて、今回はサーバーの攻撃について書きたいと思います。
というのが、ちょっと前の投稿で攻撃についての記事を書きましたが、この2.3か月にサーバーのhttpdやNTP、そしてdovecotなどのサービスに毎日のようにしつこい攻撃跡がlogに残されています。

その対応として、攻撃先のIPを遮断したり、エラーログから自動的に該当するIPを停止させていますが、それでも攻撃が無くなりません。

毎日のようにメールで止めたIPの報告が自動的に上がってきます。

仕事が忙しい人はサーバーのlogをゆっくり見るという行為が出来ないので心配な面が多々あると思います。攻撃を受けても、サーバーが遮断、httpdであれば404で返すという一連の仕事をサーバーがこなしてくれている分には心配ありませんが、自分の知らないソフトの脆弱性や攻撃を仕掛けてくる連中の「これがダメなら、違うやり方で突破する」という考え方があるので、そのまま放置という訳にもいきません。

事前に怪しいIPはdenyIPにすべきです。

私の場合にはSSHはローカルのみでしか使えないように設定してありますが、外部から操作出来るように設定をされている方は、安易なIDやパスワードは止めて、合鍵を作るかなどの方策を取った方が良いと思います。一度突破されてしまうと裏口を作られてしまい、いつでも侵入を許す事にもなりかねます。

また、不要なサービスを停止させる事も忘れないでください。

結構な量のIPアドレスをdenyにしていますが、それでも攻撃があるという事は、その分の量が乗っ取られているという風にも考えられます。特にIPアドレスが連続しているものは、企業のIPアドレスなど使用しているように思えます。

◎個人サーバー=個人の責任
◎企業サーバー=会社(部署)の責任?

企業と言っても、大きな企業から中小企業まで存在しています。
その中でも社内にシステム部門や情報管理部門が無い企業のサーバーが狙われていると思います。

◎システム(情報部門)が無い=誰かが兼任で時間の空いている時に作業している

こんな構図になると思います。
そうなると、サーバーの日々の内容やlogなど誰が責任をもって管理しているかが曖昧になってしまい、もし問題が起きても最悪気が付かない、気が付いた時点でもう乗っ取られた後という最悪のシナリオが待っています。このような企業のIPがこのような攻撃IPに活用されてしまっているのが多いと考えます。問題点は経営者がPCの知識やセキュリティ面について投資をするつもりもないし、理解度が低いという事もあるかと思います。

「そんな企業のサーバーだから乗っ取られても当然の結果だろ」

と感じる人も多いと思いますが、兼任で管理させられていても、最低限やるべきことはやっておく、それが出来ないなら、一時的にも外部の技術者に依頼をして、攻撃されても遮断されるような機能を追加しておくべきです。後々、IPがブラックになっている事実が分かってからでは遅いですからね。最悪はネットバンクのIDやパスワードを盗んだりするような犯罪に使われる可能性だってある訳です。

我々が趣味として運用しているサーバーもきちんとした管理をしなくてはなりません。
本当にセキュアーな面が不安な人は外部との接続を停止して、その間、自分なりにファイヤーウォールを作ってから接続をするという方式も検討すべきではないかと思います。

ATOMサーバーにSquidclamavを設定する。

 Linux設定  No Responses »
1月 232014
 

家のサーバーであるATOM-D510ですが、ちょっと前にプロキシとしても動くようにSquidを導入しました。動作も上々です。当初はサーバーに設定するものが無くなり遊び半分でインストールしたのですが、ちょっと良い事を考えました。

それはXPのサポートが切れたら、このプロキシを経由させるという事です。
そして、そのプロキシには、Clamavでウイルスチェック(検閲)を行い、ウイルスがある場合にはブラウザ上で注意を促す、表示もさせない、ダウンロードもしないという形にしようと思いました。

XPにも、現在はウイルスソフトがあり、サポート停止ギリギリまでシグネイチャ(ウイルス情報)の更新をしておき、切れたらプロキシ経由に変更して、ATOMサーバーのチェックとXPのチェックの二重構造のセキュリティにしようかと考えました。少しはましに防御率が上がるでしょう。ドラクエで言えば、防具屋で布の服からくさりかたびらに変更した感じでしょうか。(ちょっと安っぽいですが)

そこで、先ず、既存のclamdのsoket変更と、squidclamavをインストールと設定をします。

◆参考にさせて頂いたサイト ⇔ プロキシサーバーでウィルスチェック(squid+clamav+squidclamav)
・・・・いつもCentOSとScientific-Linuxの設定でお世話になっています。

こちらのサイトを見ながら設定を行うと、squidclamavのバージョンが変わった事により、ダウンロードしてmakeした後のファイル構成やパスが変わったり、エラーが出たりと自分なりにファイル構成を調べて設定を行いました。・・・結構、これが面倒でした。

まぁ、XPのサポート終了まで時間ありますから焦る必要はありません。

途中で嵌ったのは、clamd.confのlocalsoketが設定では、/var/run/clamav/clamd.sock でsquidclamavの clamd_local /var/run/clamav/clamd.sockという形に合わせているのに、ERROR Can’t connect to clamd on local socket /tmp/clamd とエラー表示が出ます。何回も見直しても同様に・・・・(T_T)

原因はsquidclamav を make install した際に、参照する設定ファイルが/usr/local/etc/squidclamav.confになっているのですが、パスが/etc/squidclamav.confになっているではありませんか。これは/usr/local/etc/側のファイルを修正するか、/etc/squidclamavにリンク(シボリックリンク)を張るか、どちらかすれば良いと判明しました。

そして、clamd及びssquidを再起動して、嘘ウイルスzipファイルを(参照するサイトにある)ダウンロードできるか?確認をします。すると・・・

おおぉ~! ブラウザが起動し「このファイルはウイルス云々」と表示され、ダウンロード出来ません。
悩んだ甲斐があったもんだぜ。

◆おさらい◆

1.このsquidclamavを動作させるためには、httpdとclamavとsquidを先に設定しなくてはならない。
2.参照するサイトの情報(バージョンが違う)が古いケースもあり、何種類か事前に見ておく
3.ウイルスが表示されない場合には、サーバーのsquidのキャッシュとブラウザのキャシュも削除する
4.起動をしていても、嘘ウイルスチェックが出来なければ信用できないと考える(logを確認)

先にsquidを普通に立ち上げて、プロキシとしての動作を確認してみましょう。
内容的に隠蔽するような事は必要ありませんが、機能としては確認してみてください。

これでXPをこの串経由にすれば多少はましになるかも知れません。

自宅に鯖ありの方はいかがですか。

 Older Entries  Newer Entries