当サイトでは、オープンソースのリレーショナルデータベース管理システム(RDBMS)として MySQL を使用しています。
MySQL の管理や操作を Web ブラウザから GUI で行うため、phpMyAdmin をインストールしました。
インストールについての情報は
2010/05/18 インストール情報の phpMyAdmin バージョンは 3.3.3 です
MySQL の管理や操作を Web ブラウザから GUI で行うため、phpMyAdmin をインストールしました。
インストールについての情報は
http://www.system-act.com/server/phpmyadmin.html
を参照してください。2010/05/18 インストール情報の phpMyAdmin バージョンは 3.3.3 です
当サイトの POP3/IMAP サーバーは、SSL によるセキュア通信にも対応したオープンソースの Dovecot を導入、運用しています。
また、POP3/IMAP サーバー以外に、SMTP サーバー Postfix の SMTP-AUTH 用認証サーバーとしても使用しています。
ユーザー認証は MySQL サーバーを使用して、Postfix 用の GUI 管理ツールである PostfixAdmin のデータベースによるアカウント管理を行っています。
インストール方法、および MySQL の PostfixAdmin データベースによる認証方法は
2010/04/13 インストール情報の Dovecot バージョンは 1.2.11 です
また、POP3/IMAP サーバー以外に、SMTP サーバー Postfix の SMTP-AUTH 用認証サーバーとしても使用しています。
ユーザー認証は MySQL サーバーを使用して、Postfix 用の GUI 管理ツールである PostfixAdmin のデータベースによるアカウント管理を行っています。
インストール方法、および MySQL の PostfixAdmin データベースによる認証方法は
http://www.system-act.com/mail/dovecot.html
を参照してください。2010/04/13 インストール情報の Dovecot バージョンは 1.2.11 です
System House ACT では、SMTP サーバーにオープンソースのメール転送エージェント(Mail Transfer Agent)である Postfix を導入しています。
導入にあたっては、
ソースファイル(tar.gz)からのインストール情報を
2010/03/29 インストール情報バージョンは 2.6.5 です
導入にあたっては、
MySQL サーバーによるアカウント管理が行えるようにしています。
ClamSMTP と Clam Antivirus によるウィルスメール対策
taRgrey および SPF(Sender Policy Framework) による迷惑メール対策
ソースファイル(tar.gz)からのインストール情報を
http://www.system-act.com/mail/postfix.html
に記載しました。2010/03/29 インストール情報バージョンは 2.6.5 です
迷惑メール対策のひとつとして、SPF(Sender Policy Framework)によるドメイン認証があります。
当サイトでは SPF によるドメイン認証として、SMTP サーバー Postfix の Policy Daemon 機能を使用した policyd-spf-fs をインストールしています。
インストール情報は
以前は、policyd-1.0.1 を使用していたのですが、JPCER/CC の 2008-11-06 付セキュリティ関連情報で、バージョン 1.2.8 以前の libspf2 にバッファオーバーフローの脆弱性があることが判明したため、その対応で libspf2 をバージョン 1.2.9 にしたところ、コンパイルができなくなりました。
セキュリティ面の問題であるため、libspf2 のバージョンは落とせませんので、policyd-1.0.1 から policyd-spf-fs に変更しました。
当サイトでは SPF によるドメイン認証として、SMTP サーバー Postfix の Policy Daemon 機能を使用した policyd-spf-fs をインストールしています。
インストール情報は
http://www.system-act.com/mail/policyd-spf.html
を参照してください。以前は、policyd-1.0.1 を使用していたのですが、JPCER/CC の 2008-11-06 付セキュリティ関連情報で、バージョン 1.2.8 以前の libspf2 にバッファオーバーフローの脆弱性があることが判明したため、その対応で libspf2 をバージョン 1.2.9 にしたところ、コンパイルができなくなりました。
セキュリティ面の問題であるため、libspf2 のバージョンは落とせませんので、policyd-1.0.1 から policyd-spf-fs に変更しました。
今後のサーバー運用管理面を考え、データベースサーバーを仮想サーバーで運用することにしました。
現時点のサーバー CPU が Intel Atom 330 (1.6GHzx2) であるため、PAE(Physical Address Extension:物理アドレス拡張)には対応していますが、Intel-VT(Intel Virtualization Technology:Intel 仮想化支援技術)には対応していません。
したがって、仮想サーバーの構築は、準仮想化で行うことになります。
KVM は準仮想化に対応していませんので、Xen による仮想化を採用することにしました。
構築に関しての手順等は、
現時点のサーバー CPU が Intel Atom 330 (1.6GHzx2) であるため、
したがって、仮想サーバーの構築は、準仮想化で行うことになります。
KVM は準仮想化に対応していませんので、Xen による仮想化を採用することにしました。
構築に関しての手順等は、
http://www.system-act.com/server/xen.html
を参照してください。
迷惑メール対策のひとつとして、SPF(Sender Policy Framework)によるドメイン認証があります。
当サイトでも、SMTP サーバーに SPF を使用したドメイン認証機能を実装していますが、その際に SPF ライブラリが必要になります。
そこで SPF ライブラリ libspf2 のインストール情報を
JPCER/CC の 2008-11-06 付セキュリティ関連情報で、バージョン 1.2.8 以前の libspf2 にバッファオーバーフローの脆弱性があることが判明してます。
そのため、かなり以前にバージョン 1.2.9 に更新していたのですが、インストール情報が古いバージョンのままでした。m<_ _>m
2010/02/13 インストールバージョンを 1.2.9 に変更しました。
当サイトでも、SMTP サーバーに SPF を使用したドメイン認証機能を実装していますが、その際に SPF ライブラリが必要になります。
そこで SPF ライブラリ libspf2 のインストール情報を
http://www.system-act.com/mail/libspf2.html
に記載しました。JPCER/CC の 2008-11-06 付セキュリティ関連情報で、バージョン 1.2.8 以前の libspf2 にバッファオーバーフローの脆弱性があることが判明してます。
そのため、かなり以前にバージョン 1.2.9 に更新していたのですが、インストール情報が古いバージョンのままでした。m<_ _>m
2010/02/13 インストールバージョンを 1.2.9 に変更しました。
バッファオーバーフローの脆弱性対応
当サイトでは、ソースファイル等のバージョン管理を行うため、バージョン管理システム Subversion を導入し、以下の方針で運用しています。
実際の運用についての情報は
2010/02/09 SSH 鍵の運用方法を変更しました。
1.Subversion サーバーとは SSH で接続します
2.SSH は鍵方式による接続のみ許可しています
3.システム上の実ユーザー(ログインユーザー)はプロジェクト単位に1つだけ作成します
4.リポジトリへのアクセスメンバーは実ユーザー(ログインユーザー)として登録しません
5.リポジトリへは複数のメンバーでアクセス可能にします
6.メンバー識別は、SSH 接続用の鍵で行います
実際の運用についての情報は
http://www.system-act.com/server/subversion.html
を参照してください。2010/02/09 SSH 鍵の運用方法を変更しました。
サーバー側で鍵セットを作成する運用から、メンバー(クライアント)側で鍵セットを作成する運用に変更しました。
DNS サーバーへのアタック対策として導入したログ監視ツール swatch ですが、SSH サーバーへのアタック対策も swatch で行うようにしました。
それに伴い、アタックを受けた時に実行するスクリプトを共通で使用できるように drop_ip_address として改修しています。
なお、現時点でもブロックのスクリプトは単に
詳細情報は、
それに伴い、アタックを受けた時に実行するスクリプトを共通で使用できるように drop_ip_address として改修しています。
なお、現時点でもブロックのスクリプトは単に
・iptables によるブロックを実現しているのみです。
・一定時間後にブロックを解除
詳細情報は、
http://www.system-act.com/server/swatch.html
を参照してください。最終更新日時 : 2010-02-01 11:47:24
ネットワーク経由でサーバーへログインし、シェル操作を行うことができれば便利です。
ただし、ネットワーク上をパケットが流れますので、サーバーとクライアント間の伝送経路は暗号化しておきたいものです。
それを実現するため、OpenSSH による Secure SHell 接続を行うことにします。
SSH 接続用のポートへは、サーバーへログインできることから、かなりの頻度で侵入を試みるアタックが行われてきます。
その対策として、認証方式は公開鍵方式のみとし、パスワード認証を禁止するとともに、root ユーザーでのログインも禁止するように設定します。
また、公開鍵方式を採っているため、パスワードの総当たり攻撃に対しては防御できるのですが、アタックを受けたログが大量に残ってしまいます。
そうなるとログから必要な情報を探すことが困難になってしまいますので、iptables を使用して、パスワード攻撃を仕掛けてきた IP アドレスからの接続を一定時間拒否するようにします。
詳細は、
なお、OpenSSH は CentOS をインストールする際に組み込んでいることを前提としています。
2010/02/01 鍵セットの作成と公開鍵の保存について加筆修正しました。
2009/12/06 不正接続ログ対策をログ監視ツール swatch による方法に変更しました。
ただし、ネットワーク上をパケットが流れますので、サーバーとクライアント間の伝送経路は暗号化しておきたいものです。
それを実現するため、OpenSSH による Secure SHell 接続を行うことにします。
SSH 接続用のポートへは、サーバーへログインできることから、かなりの頻度で侵入を試みるアタックが行われてきます。
その対策として、認証方式は公開鍵方式のみとし、パスワード認証を禁止するとともに、root ユーザーでのログインも禁止するように設定します。
また、公開鍵方式を採っているため、パスワードの総当たり攻撃に対しては防御できるのですが、アタックを受けたログが大量に残ってしまいます。
そうなるとログから必要な情報を探すことが困難になってしまいますので、iptables を使用して、パスワード攻撃を仕掛けてきた IP アドレスからの接続を一定時間拒否するようにします。
詳細は、
http://www.system-act.com/server/openssh.html
を参照してください。なお、OpenSSH は CentOS をインストールする際に組み込んでいることを前提としています。
2010/02/01 鍵セットの作成と公開鍵の保存について加筆修正しました。
2009/12/06 不正接続ログ対策をログ監視ツール swatch による方法に変更しました。
Web サーバーのアクセスログを解析し、その結果をブラウザ上で確認することができるツール AWStats のインストール情報を AWStats 6.9 に更新しました。
http://www.system-act.com/web/awstats.html
を参照してください。
http://www.system-act.com/web/awstats.html
を参照してください。
Copyright © 2004-2009 System House ACT. All Rights Reserved.
(Comments and Trackbacks each author is also exist Copyright.)
(Comments and Trackbacks each author is also exist Copyright.)
