かずばんBBS
今までのBBS、Spamが多いので新しくしてみました。
特に話題は特定していません、お気軽に投稿してください
5軸の話題はこちらで・・
 |
▼ | サーバー交換、覚書 かずばん 12/6/5(火) 15:02 |
|
|
ファイヤーウォールの設定 かずばん 12/6/9(土) 13:42 |
![[添付]](./brd/myk/image/clip_icon.gif){kind=icon}
|
|
 |
TCP Wrapper かずばん 12/6/9(土) 17:55 |
|
|
apache2 の設定 かずばん 12/6/24(日) 11:36 |
|
かずばん - 12/6/9(土) 13:42 - |
インストール時にファイヤーウォールを有効にしていて
SSHを許可していない場合、許可しないと、SSH接続できない
GNOME環境では、
システム → システム環境 → セキュリティレベルとファイヤーウォールの設定
で、rootバスワードで認証すれば設定画面にアクセスできる
画像の「信頼できるサービス」でSSHにチェックをいれる
ちなみに、ここで設定した場合のSSHのポート番号はデフォルトの22番でポートである
後に、あまりにもアタックが激しいため、私は違う番号にしたが
その場合には、SSHのチェックを外し、その他のポートの追加で
適当なポート番号を追加する
SSHを許可していない場合、許可しないと、SSH接続できない
GNOME環境では、
システム → システム環境 → セキュリティレベルとファイヤーウォールの設定
で、rootバスワードで認証すれば設定画面にアクセスできる
画像の「信頼できるサービス」でSSHにチェックをいれる
ちなみに、ここで設定した場合のSSHのポート番号はデフォルトの22番でポートである
後に、あまりにもアタックが激しいため、私は違う番号にしたが
その場合には、SSHのチェックを外し、その他のポートの追加で
適当なポート番号を追加する
<Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
|
かずばん - 12/6/9(土) 17:55 - |
ファイヤウォールを設定しても、SSHでアクセスできない場合があります
おっと忘れてた、まずはSSHデーモンが動いているかを確認してください
sudo /etc/init.d/sshd status
openssh-daemon (pid 1133) を実行中...
こうなっていれば動いているので、次の確認へ・・
もし動いていなかったら、起動させます
sudo /etc/init.d/sshd start
これでも、アクセスできない場合、TCP Wrapper の設定を確認します
sshは xinetd 経由でも起動できるように設定できるようですが
ここを見ると、xinetd はEメールができないようなので、私はTCP Wrapperで設定することにします
http://www.express.nec.co.jp/linux/distributions/knowledge/network/xinetd.html
TCP Wrapperは、/etc/hosts.allow と /etc/hosts.deny で制限をかけます
1./etc/hosts.allow の設定で許可するサービスとホストを決定
2.上で許可されたホストを除き、/etc/hosts.deny で拒否されているホストを拒否
3.両方に記述がないホストは許可
となりますから、まず、、/etc/hosts.deny にはすべてを拒否に設定します
/etc/hosts.deny
ALL:ALL : spawn (/bin/mail -s "Atack%d-%h" root) &
私はこのように設定しています。
ALL:ALL で全ての サービス:ホスト を拒否
さらに、アクセスがあったサービス名(%d)とアドレス(%h)を付加した件名のメールをroot へ送信
この設定で、下記のアタックが判明しました
http://www.kazuban.com/bbs/KazubanBBS2/KazubanBBS.cgi?cmd=one;no=71;id=#71
それで、SSH、デフォルトのポート22番はやめて、適当なポート番号へ変更しています
/etc/hosts.allowは、自宅内(ローカル)は全て許可とし
一部のアドレスのみ許可としました。
ただし、その場合でもEメール通知はおこなう設定にしています
これにより、外部からもサーバーへアクセスできるようになりました
/etc/hosts.allow
ALL : 127.0.0.1
ALL : 192.168.1.0/255.255.255.0
sshd : 110.123.456.240/255.255.255.248 : spawn (/bin/mail -s "allow-%d-%h" root) &
<Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
|
かずばん - 12/6/24(日) 11:36 - |
私の環境では、すでにインストールされていました
調べるには、rpm -qa と grep を使って
$ rpm -qa | grep apache
apache2-2.2.22-1vl6.i686
インストールされていない場合には、synaptic でやれば
簡単に追加できますね
ちょっと設定ファイル、/etc/apache2/conf/apache2.conf を編集して
8080番ポートで確認してみます
編集といっても、2行だけ
適当なエディタを起動して、設定ファイルを開きます
私は、viエディタをいつも使っています
$ sudo vi /etc/apache2/conf/apache2.conf
Listen 8080
ServerName www.kazuban.com:8080
の2行変更して起動
$ sudo /etc/init.d/apache2 start
これで、サーバーアドレスにアクセスすると何かしら、ページが表示されるはずです
サーバー自身からアクセスするとOKでしたがほかのPCからではNGでした。
あれ〜
そっか、ファイヤーウォールか?!
下記と同様に、その他のポートに8080を追加すると他のPCからも見えるようになりました
http://www.kazuban.com/bbs/KazubanBBS2/KazubanBBS.cgi?cmd=one;no=84;id=#84
次は、外部(インターネット側)からもアクセスできるようにします
ルータのNAT→ポート転送に8080番を追加します
http://www.kazuban.com/bbs/KazubanBBS2/KazubanBBS.cgi?cmd=ntr;tree=48;id=#52
これで、外部からも ttp://www.kazuban.com:8080 でアクセスできるようになりました
この :8080 がポート番号で、通常は :80 ですが普通は省略されています
ただし、自分のプロバイダがグローバルIPを提供してくれていなければいけません
私の場合は、YahooBBですが、グローバルのアドレスを提供してくれています
また、www.kazuban.comのように、ドメインでアクセスするには、独自ドメインを取得してDNSの設定が必要です
私は無料の、www.mydns.jp/ を使わせていただいています
独自ドメインを取得しなくても、
ttp://ddo.jp/
のように無料でドメインを提供してくれるサイトもありますのでそちらを利用する方法もあります
また、たとえば、http://123.123.123.5 のように、IPアドレスであれば、その必要はありません
いずれにして、外部からアクセスするには、
・apache で使用するポート番号を設定する(通常は80番)
・apache が動いているPCのファイやウォールでそのポートを許可する
・ルーターでapacheで設定したポートをapacheが動いているPCのIPアドレスへポート転送する
これらの設定が必要です
これで、外部から自宅のIPアドレスの設定したポート番号へアクセスすれば
ルータがそのポート番号を、設定してある自宅内のPCへ転送して
それを、apache が受け取り、そのアドレスへhttpコマンド を返します
IEなどのインターネット閲覧ソフトは帰ってきたhttpコマンドを解釈して
ホームページとして表示するという仕組みですね
さらに、IPアドレスでのアクセスは覚えにくいので、DNSサーバーにお願いしてIPドレスをドメインを変換してもらうよう設定しておけばドメインでのアクセスも可能になるということです
調べるには、rpm -qa と grep を使って
$ rpm -qa | grep apache
apache2-2.2.22-1vl6.i686
インストールされていない場合には、synaptic でやれば
簡単に追加できますね
ちょっと設定ファイル、/etc/apache2/conf/apache2.conf を編集して
8080番ポートで確認してみます
編集といっても、2行だけ
適当なエディタを起動して、設定ファイルを開きます
私は、viエディタをいつも使っています
$ sudo vi /etc/apache2/conf/apache2.conf
Listen 8080
ServerName www.kazuban.com:8080
の2行変更して起動
$ sudo /etc/init.d/apache2 start
これで、サーバーアドレスにアクセスすると何かしら、ページが表示されるはずです
サーバー自身からアクセスするとOKでしたがほかのPCからではNGでした。
あれ〜
そっか、ファイヤーウォールか?!
下記と同様に、その他のポートに8080を追加すると他のPCからも見えるようになりました
http://www.kazuban.com/bbs/KazubanBBS2/KazubanBBS.cgi?cmd=one;no=84;id=#84
次は、外部(インターネット側)からもアクセスできるようにします
ルータのNAT→ポート転送に8080番を追加します
http://www.kazuban.com/bbs/KazubanBBS2/KazubanBBS.cgi?cmd=ntr;tree=48;id=#52
これで、外部からも ttp://www.kazuban.com:8080 でアクセスできるようになりました
この :8080 がポート番号で、通常は :80 ですが普通は省略されています
ただし、自分のプロバイダがグローバルIPを提供してくれていなければいけません
私の場合は、YahooBBですが、グローバルのアドレスを提供してくれています
また、www.kazuban.comのように、ドメインでアクセスするには、独自ドメインを取得してDNSの設定が必要です
私は無料の、www.mydns.jp/ を使わせていただいています
独自ドメインを取得しなくても、
ttp://ddo.jp/
のように無料でドメインを提供してくれるサイトもありますのでそちらを利用する方法もあります
また、たとえば、http://123.123.123.5 のように、IPアドレスであれば、その必要はありません
いずれにして、外部からアクセスするには、
・apache で使用するポート番号を設定する(通常は80番)
・apache が動いているPCのファイやウォールでそのポートを許可する
・ルーターでapacheで設定したポートをapacheが動いているPCのIPアドレスへポート転送する
これらの設定が必要です
これで、外部から自宅のIPアドレスの設定したポート番号へアクセスすれば
ルータがそのポート番号を、設定してある自宅内のPCへ転送して
それを、apache が受け取り、そのアドレスへhttpコマンド を返します
IEなどのインターネット閲覧ソフトは帰ってきたhttpコマンドを解釈して
ホームページとして表示するという仕組みですね
さらに、IPアドレスでのアクセスは覚えにくいので、DNSサーバーにお願いしてIPドレスをドメインを変換してもらうよう設定しておけばドメインでのアクセスも可能になるということです
<Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; ...
