httpd –          おやじdemo_CentOSを使う

Linuxファイルサーバーの管理について

 Linux全般, Linux設定, ソフト関係, 個人的な意見  No Responses »
3月 072024
 

仕事場では私が作ったLinuxのsambaサーバーを使っています。

これは各事業所に1台ずつ設置して、個人使用のパソコンの大事なデータbackup用にしています。

かれこれ最初のサーバーを作ってから8年以上経過していますが、まだ動いています。

停電などの障害、もしくは電気の設備点検の時にしか電源は切らない状態です。
それも古いDELLのパソコンやCore2時代のCPUを搭載している旧型パソコンです。

外見は古びてくたびれた外装ですが、中身は現役です。
我々、還暦過ぎのおやじ的なサーバーになっています。(ちゃんと仕事してます)

LinuxのOSはCentOSであったり、ScientificLinuxであったり、MINTであったりします。

私の事務所ではScientificLinuxを使用しています。(ほとんどCentOSと同じです)
メモリは4GBしか搭載していませんが、sambaとして休みなく動作してくれている上、Httpdについても仕事先のホームページの試験環境としても活躍しています。

月に1度程度、電源を落としてファンやケース内部の埃を取るようにしている程度でハードディスクもその旧型PCに付いていた製品をそのまま使用していますが使えています。

何だかんだで10年近くなるのでディスクの交換をしておいた方が安心と言えば安心ですよね。

ただ、問題なのが私のいない事務所のサーバーです。

サーバーを設置した時に使い方や内部のディレクトリ構造、保存するファイル等をワードで説明文を書いて渡したつもりでしたが、社員も入れ替わった事務所ではその事が引き継ぎされていませんでした。

私のところに電話があり・・・・「サーバーの容量が一杯になっているのですが・・・」と問い合わせがありました。

聞いたところ、クライアントのWindowsPCから見るともうディスクが一杯で赤く表示されているとの事です。

私がその事務所に赴き、内部の状態を調べると、こりゃまた凄い状態のファイルがあります。

年度毎、仕事毎に区別されていれば分かり易いのですが、ルートに個別のファイルからどうでも良いファイル、ホルダーまで置かれています。

私も次の作業はせずに、その事務所のお偉いさんに伝えました。

「ディスクを増設したという事でしたが、先ずは不要なファイルとディレクトリを整理整頓してください。そうしないと新しいディスクを付けてもどのファイルを残すのか分かりません」

大きなファイルはデジカメの写真と動画でした。

このファイル関連を削除するだけで容量は半分以下になったようです。

動画や写真は良い物、後々使えそうなファイルだけ選別してサーバーに残すという決まりにしました。

そして個人のどうでも良いファイルはサーバーに置かない。
一時的に置いても不要になったら削除するという決まりも作りました。

結局は不要なファイルの削除とディレクトリの整理だけで、容量もまだまだ使えるという結果になりました。

やはりサーバーを設置している事務所には、ある程度サーバーを管理する事が出来る様な人材が欲しいところですね。

現場の社員さんから「教えて欲しい」という言葉が出てこないのが不思議です。

私のLinuxについては、50歳前後で覚えたので、これが30代とか若ければ仕事も変わっていただろうなとつくづく思いました。

今後、win10の中古PCが安く出回る事が予想されるので、若い人はLinuxサーバーの勉強でもどうですか。
普通の事務所でもサーバーの管理・メンテナンスの人材としては今後、今以上必要になると思われます。

暇つぶしとしても良いし、自宅のネットワーク環境に入れて遠隔操作の勉強にもなるし、HPやワードプレスの制作環境も作れます。

その際には中古ノートPCよりもデスクトップPCを選んだ方が無難です。

自宅サーバー(ATOM)への攻撃が静かに・・。

 Linux設定  No Responses »
3月 022014
 

色々とニュースではサイトへの攻撃や侵入が後を絶ちませんが、自宅でサーバーを運用されている人もddos攻撃やwordpressへの攻撃でlogを見る度に嫌な思いをしているのではないでしょうか。

攻撃してくる奴等は、自然とどこからかサーバーの在り処を調べてきます。
サーバーを立ち上げても1週間しない内に攻撃が始まったりします。

少し前に記事として、Dovecotやpostfixなどのメールサーバーの認証攻撃とhttpdのcgi-binやPHP等への攻撃が特に多く、一時的にはNTPサーバーへの攻撃がありました。私の家のサーバー環境は、サービスとして、Mail,FTP,SSH,httpdを立ち上げていますが、SSHとFTPはlocalnetのみしか接続出来ないように設定しています。(外部からアクセスして何かをするという事が無いので)Mailとhttpdはルーターでポートを開放してあり、サーバーのIPに繋がっています。

先ず、攻撃の多かったmailサーバーについては、ルーターのポートを閉じました。
元々サーバーからのメール(logwatchなど)を受信するものとして使用していたので、localだけで充分でした。外部とのやり取りはレンタルサーバーのメールアカウントが沢山あるので、こちらを使用するようにしました。そうするとポート25番、110番が閉じる事が出来ます。現在開放してあるポートはhttpdの80番のみです。

そして、このhttpdへの攻撃については、htaccessファイルを見直して、deny from allを基本とし、localを許可、jpを許可、その他google,bingのbot関係のIPを許可する事にしました。という事は日本国以外からのアクセスを遮断しているという事です。日本語で書いているブログですので海外からアクセスをして見る人もいないでしょうし、逆にこちらの方が安心という感じでしょうか。

そしてcgi-binについては、httpd.confで同じく<cgi-bin>の箇所をdeny fron all とし、localとjpだけ許可をしました。元々、このフォルダーは使用していないので、localだけ許可でもOKなのですが。こうするとネット上からcgi-binにアクセスしようとしても入れません。

以上の3点を見直す事によって、攻撃はほとんど無くなりました。
そして、攻撃が無くなった分、サーバーも身軽になったようで動作も速くなりました。後は、updateやcronの自動化を停止させて、時間がある時に手動で行う事にしました。こちらについては毎日、SSHでアクセスしてサーバーの状態を確認するのが日課となっているので全くもって問題ありません。

攻撃が酷くて困っている人、一度環境を見直してみてはいかがでしょうか。

ATOMサーバーにSquidclamavを設定する。

 Linux設定  No Responses »
1月 232014
 

家のサーバーであるATOM-D510ですが、ちょっと前にプロキシとしても動くようにSquidを導入しました。動作も上々です。当初はサーバーに設定するものが無くなり遊び半分でインストールしたのですが、ちょっと良い事を考えました。

それはXPのサポートが切れたら、このプロキシを経由させるという事です。
そして、そのプロキシには、Clamavでウイルスチェック(検閲)を行い、ウイルスがある場合にはブラウザ上で注意を促す、表示もさせない、ダウンロードもしないという形にしようと思いました。

XPにも、現在はウイルスソフトがあり、サポート停止ギリギリまでシグネイチャ(ウイルス情報)の更新をしておき、切れたらプロキシ経由に変更して、ATOMサーバーのチェックとXPのチェックの二重構造のセキュリティにしようかと考えました。少しはましに防御率が上がるでしょう。ドラクエで言えば、防具屋で布の服からくさりかたびらに変更した感じでしょうか。(ちょっと安っぽいですが)

そこで、先ず、既存のclamdのsoket変更と、squidclamavをインストールと設定をします。

◆参考にさせて頂いたサイト ⇔ プロキシサーバーでウィルスチェック(squid+clamav+squidclamav)
・・・・いつもCentOSとScientific-Linuxの設定でお世話になっています。

こちらのサイトを見ながら設定を行うと、squidclamavのバージョンが変わった事により、ダウンロードしてmakeした後のファイル構成やパスが変わったり、エラーが出たりと自分なりにファイル構成を調べて設定を行いました。・・・結構、これが面倒でした。

まぁ、XPのサポート終了まで時間ありますから焦る必要はありません。

途中で嵌ったのは、clamd.confのlocalsoketが設定では、/var/run/clamav/clamd.sock でsquidclamavの clamd_local /var/run/clamav/clamd.sockという形に合わせているのに、ERROR Can’t connect to clamd on local socket /tmp/clamd とエラー表示が出ます。何回も見直しても同様に・・・・(T_T)

原因はsquidclamav を make install した際に、参照する設定ファイルが/usr/local/etc/squidclamav.confになっているのですが、パスが/etc/squidclamav.confになっているではありませんか。これは/usr/local/etc/側のファイルを修正するか、/etc/squidclamavにリンク(シボリックリンク)を張るか、どちらかすれば良いと判明しました。

そして、clamd及びssquidを再起動して、嘘ウイルスzipファイルを(参照するサイトにある)ダウンロードできるか?確認をします。すると・・・

おおぉ~! ブラウザが起動し「このファイルはウイルス云々」と表示され、ダウンロード出来ません。
悩んだ甲斐があったもんだぜ。

◆おさらい◆

1.このsquidclamavを動作させるためには、httpdとclamavとsquidを先に設定しなくてはならない。
2.参照するサイトの情報(バージョンが違う)が古いケースもあり、何種類か事前に見ておく
3.ウイルスが表示されない場合には、サーバーのsquidのキャッシュとブラウザのキャシュも削除する
4.起動をしていても、嘘ウイルスチェックが出来なければ信用できないと考える(logを確認)

先にsquidを普通に立ち上げて、プロキシとしての動作を確認してみましょう。
内容的に隠蔽するような事は必要ありませんが、機能としては確認してみてください。

これでXPをこの串経由にすれば多少はましになるかも知れません。

自宅に鯖ありの方はいかがですか。

 Older Entries