月: 2013年10月

一応、元からexim4がインストールされているのだが、後述するmailmanとの連携はpostfixの方がやりやすいので、postfixをインストールする。すると競合するexim4はアンインストールされる。

apt-get install postfix

まずは、サーバーの種類だが、このサーバーはメールをSMTP AUTHでISPのサーバーに全部丸投げするので、スマートホストを選ぶ。次にFQDNを尋ねられるので運用予定のサーバー名を入力。そして、丸投げする相手の入力を求められるので[xxx.xxx.or.jp]:587の様にFQDNを[と]で囲んだ上でコロンの後にSubmissionポートを追加したものを入力する。最終受け取り先にはなっても中継は受けたくないので、localhost以外からは中継を受け付けない様に、デフォルトの中継受け入れ設定127.0.0.1/8,::1/128のままにしておく。

次に、/etc/postfix/sasl/authinfoを作成し、以下の様に丸投げ相手のSMTP AUTHに必要な情報を記入する。

[xxx.xxx.or.jp]:587 userid:password

パーミッションを600に設定、postmap authinfoを実行してhash化したauthinfo.dbを作成する。

最後に/etc/postfix/main.cfにSMTP AUTHのための情報を追加する。

smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl/authinfo

以上が完了したら、postfix reloadか再起動でpostfixを新しい設定で立ち上げる。コマンドラインからmailコマンドでテストメールをlocalhostからpostfixに投げ、ちゃんとスマートホスト経由で宛先に届くことを確認しておこう。

次に、iptablesによる余計なアクセスの遮断とsshguardによるsshへのブルートフォースアタックの遮断を設定しておく。

Wheezyではiptablesの設定はiptables-persistentパッケージによって起動時に再設定されるが、この時点ではまだ設定しない。

以下のファイルを作成。とりあえず、ウェブサーバーとSSHサーバーとSMTPサーバーだけファイヤーウォールを開けておく。

iptables.rule

—

*filter

# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn’t use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# Accepts all established inbound connections
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

# Allows all outbound traffic
# You could modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
-A INPUT -p tcp –dport 80 -j ACCEPT
-A INPUT -p tcp –dport 443 -j ACCEPT

# Allows SSH connections
# THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE
-A INPUT -p tcp -m state –state NEW –dport 22 -j ACCEPT

# Allows SMTP connections
-A INPUT -p tcp –dport 25 -j ACCEPT

# Allow ping
-A INPUT -p icmp –icmp-type 8 -j ACCEPT

# Reject all other inbound – default deny unless explicitly allowed policy:
-A INPUT -j REJECT
-A FORWARD -j REJECT

COMMIT

—

せっかくなのでIPv6でもファイヤーウォールを設定しておきたいのでIPv6用には別ファイルを用意する。

ip6tables.rule

—

*filter

# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn’t use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d ::1/128 -j REJECT

# Accepts all established inbound connections
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

# Allows all outbound traffic
# You could modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
-A INPUT -p tcp –dport 80 -j ACCEPT
-A INPUT -p tcp –dport 443 -j ACCEPT

# Allows SSH connections
# THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE
-A INPUT -p tcp -m state –state NEW –dport 22 -j ACCEPT

# Allows SMTP connections
-A INPUT -p tcp –dport 25 -j ACCEPT

# Allow ping
-A INPUT -p ipv6-icmp –icmpv6-type 128 -j ACCEPT

# Reject all other inbound – default deny unless explicitly allowed policy:
-A INPUT -j REJECT
-A FORWARD -j REJECT

COMMIT

—

そしたら、これらのルールをiptablesに食わせる。

iptables-restore < iptables.rule

ip6tables-restore < ip6tables.rule

ルールを食わせてからおもむろにiptables-persistentパッケージをインストールする。

apt-get install iptables-persistent

するとインストール時にその時点でのiptablesの設定内容をファイルに書き出すか？と尋ねられるのでyesと答えるとIPv4用のルールとIPv6用のルールがそれぞれ/etc/iptables/rules.v4,rules.v6に書き出される。これで、再起動したらルールが復活する。

次にapt-get install sshguardでsshguardをインストールする。これは起動すると自動的にsshguard用のiptablesルールをiptablesに追加してくれるので特になにかする必要はない。

これで再起動すれば余計なポートの遮断とブルートフォース攻撃の遮断が始まる。

もしiptablesの設定に失敗した時は、sysv-rc-confでiptables-persistentとsshguardを無効にした上で再起動し、再びiptablesに新しいルールを食わせた後、dpkg-reconfigure iptables-persistentで再びルールを書き出し、その後、sysv-rc-confでiptables-persistentとsshguardを再度有効化して再起動すればよい。

注意すべきは、sshguradが立ち上がった状態でdpkg-reconfigure iptables-persistentをするとsshguard用のiptablesルールが含まれた状態でルールを書き出してしまい、結果、次に起動したときにiptables-persistentとsshguardがどちらもsshguard用のルールを登録して二重に登録されてしまうこと。その場合は、/etc/iptables/rules.v4,v6を直接書き換えてsshguard用の行を削ってもいい。

 

起動したらまずは固定IPに設定しなおす。

/etc/network/interfacesにeth2の項目がある。DS47は内蔵の8111G二つがeth0,eth1で認識されるのでLUA3-U2-AGTはeth2になる。これがインストール時にはdhcpに設定されているので、このdhcpをstaticに書き換えた後、その下に固定IPの設定を記入する。

address xxx.xxx.xxx.xxx

netmask xxx.xxx.xxx.xxx

gateway xxx.xxx.xxx.xxx

この時点で一度shutdown -hP nowで電源を切り、ヘッドレス・手足レスにした上で再起動する。別の端末からsshでログイン出来ることを確認して、以後はsshでリモートで設定する。

次に、/etc/apt/sources.listを開き、それぞれのリポジトリにcontrib non-freeを追加して非GPLなパッケージもインストール対象にする。ついでにapt-get updateでリポジトリキャッシュを更新。

まずは余計なサービスを止めるためにapt-get install sysv-rc-confでsysv-rc-confをインストール。起動して、exim4,dovecot(POP3,IMAPサーバー),rpcbind,nfs-commonあたりをすべてチェックアウトしておく。これで余計なサービスは起動しなくなる。

 

さて、OSはどうしようかと思ったのだが、今回のサーバーはできる限りメンテナンスの手間を減らして長期にわたり運用したいということで、いつものFreeBSDで構築する代わりにバイナリアップデートでメンテナンスできるLinuxをインストールすることにする。

本来ならUbuntu Server 12.04 LTSにして2017年までサポートしてもらうというのが理想だが、なぜかUbuntu ServerのインストーラーはLUA3-U2-AGTを認識しなかったので、代わりにDebianのStable版の最新であるWheezy(7.1)をインストールすることにする。

Windows上でDebian 7.1のNetinstall Amd64 ISOイメージをダウンロードし、UNetbootinを使ってこのISOイメージからFAT32フォーマットしたUSBメモリにブート可能なシステムを書き込む。あとはUSBメモリをDS47に刺してUSBメモリから起動した後、Debianのインストーラーに従ってお任せでインストール。途中、ホスト名を聞かれるので、この時点でいずれ置き換えるべきこのサーバーの名前をFQDNで入力しておく。

最後にtaskselでインストールするパッケージの選択を要求されるので、Webサーバー、メールサーバー、SSHサーバーと標準ユーティリティーを選んでおく。インストール完了したらBIOSから内蔵mSATAをブート領域に選んで再起動。

中古PCに以前のサーバーのHDDをそのまま移植して無理やり立てた自宅サーバーもそろそろ１年半が過ぎて、いくら何でも正式に構築した信頼性の高いサーバーに更新した方がいいだろうということで、思い立ったが吉日、サーバーの再構築へ向けての準備作業に入る。

今回のサーバー構築にあたっての要件は、ファンレス・スピンドルレスで長期間ハードウェア的にメンテナンス不要であること。というわけで、そういう構成が可能なものを見繕って、ShuttleのDS47というベアボーンを選択。こいつの特徴は、Celeron 847搭載で64bit OSが使えること、内蔵mSATAスロットがあるのでmSATA SSDが使えること。心配点はEthernetインターフェースがRealtek 8111GでこれがまだどのPC-UNIXでもサポートされていないことぐらい。

というわけで購入時についでにTOSHIBAのmSATA SSD 60GBを購入し、MacBook Proのメモリ増設で余っていた2GB x 2のメモリを転用、ハードウェア的な準備はあっさり完了。

Ethernetインターフェースは予想通り認識されなかったので、USB2.0-Gigabit EthenetアダプターであるBuffalo LUA3-U2-AGTを購入して接続。幸いにもDebianとFreeBSDは素直に認識する模様。

ディスプレイはHDMI接続、キーボードはPS3につないでいたものをとりあえずUSB接続。どうせこれらはインストールが終了したら外してしまいヘッドレス、手足レスで運用するので、適当にごまかす。