2009/4/23 木曜日

bind9 セカンダリサーバーの構築

カテゴリー: サーバ — yamada @ 15:44:51

bind9でセカンダリサーバーを構築したときのメモです。
OSは、FreeBSD6.3です。

bindは標準でインストールされているので、設定ファイルの記述で構築できます。
/etc/namedb/named.conf で転送するゾーンの記述をします。

zone "henachoko.com"  {
  type slave;    < === スレーブの設定
  file "slave/henachoko.com";
  masters {
     XXX.XXX.XXX.XXX;    <=== プライマリのIPアドレス
  }
}

あと、デフォルトの状態では、ローカルからの問い合わせのみに応える設定になっています。外部からの問い合わせにも応えるようにするには、外部ネットワークのIPアドレスをリッスンするようにしておきます。今回は、ここでハマリました。

listen-on { 127.0.0.1; } ===> listen-on { 127.0.0.1; YYY.YYY.YYY.YYY; }

あとは、/etc/rc.conf に

named_enable="YES"

と記述して、サーバーを再起動するか

# /etc/rc.d/named start

でネームサーバーを起動します。

#プライマリ側では、セカンダリサーバーに転送を許可するように named.conf の記述をしておきます。

zone "henachoko.com"  {
  type master;
  file "master/henachoko.com";
  allow-update { none; }
  allow-transfer {
     YYY.YYY.YYY.YYY;    < ===  セカンダリのIPアドレス
  }
  notify yes;
}

プライマリのネームサーバーの再起動を忘れずに。

ゾーンの転送が失敗する場合は、両サーバーの /var/log/messages ファイルを見て原因を探りましょう。

2009/4/2 木曜日

SSHのアクセス制限 hosts.allow

カテゴリー: サーバ — yamada @ 18:35:51

sshのポートを開けると、攻撃がすごいですね。
そこで、特定のipアドレスからしかログインできないようにする設定です。
環境はFreeBSDです。/etc/hosts.allow を使います。

まず、最初の方で全てのアクセスを許可する記述があれば
それをコメントアウトします。

#ALL : ALL : allow

これをしておかないと、以降の設定が効きません。

sshdの設定を以下のように記述します。
ipアドレス XXX.XXX.XXX.XXX からのアクセスのみを受け付ける設定です。

sshd : XXX.XXX.XXX.XXX : allow
sshd : ALL : deny

hosts.allowの編集が終わったと同時に、その設定が有効になりますので編集はくれぐれも慎重に。

2009/3/27 金曜日

postfix のバージョンの調べ方

カテゴリー: Web開発, サーバ — nito @ 22:11:11

サーバーにインストールされている postfix のバージョンがわからなかったので調べる方法をメモしておきます。

# /usr/sbin/postconf  | grep mail_version

Ports Collectionを作る

カテゴリー: サーバ — yamada @ 18:10:29

FreeBSDのアプリケーションの管理で、いつもお世話になっているPortsシステムですが、FreeBSDのサーバーを発注したところ、なんとPortsコレクションが入っていませんでした。確かに最小構成で頼んだけど、Portsを使わないケースってあるのかな?・・・。

ということで、インストール時にPortsコレクションを入れず、後から、Portsコレクションを用意する方法です。

1.sysinstall を使う。

sysinstall で、Configure -> Distributions -> ports
の順にメニューを選びインストールします。

但し、FTPなどで、ネットワークからインストールする場合、OSのバージョンが古いとFTPサーバーにそのバージョンのOSが無いといってインストールできないことがあります。(今回はこのケースでした。)

2.CVSup を使う。

まず net/cvsup-without-gui をインストール。

# pkg_add -r cvsup-without-gui

次に、cvsup を実行してPortsコレクションを作ります。

# cvsup -L 2 -h cvsup.FreeBSD.org /usr/share/examples/cvsup/ports-supfile

少し時間がかかります。コマンドが終了すると、いつもの /usr/ports が出来ました。

3.Portsnap を使う。

んーー。ハンドブックを見ると FreeBSD 6.0 から Portsnap という新しい方法が出来たようです。知りませんでした。今度、試してみたいと思います。

2008/9/3 水曜日

iptables で http、https の外部からの接続を許可する設定のメモ

カテゴリー: Web開発, サーバ — nito @ 18:55:44

専用サーバーでの iptables の設定のメモをしておきます。

前提

外部からのポートはssh(22)以外は拒否設定。

やりたいこと

http(80)、https(443)を外部から接続できるようにする。

  1. iptables のルール一覧をルール番号をつけて表示して現在の設定を確認 
    # /sbin/iptables -L --line-number
  2. httpを許可するように設定

    # /sbin/iptables -A INPUT -p tcp --dport http -j ACCEPT
  3. httpsを許可するように設定

    # /sbin/iptables -A INPUT -p tcp --dport https -j ACCEPT

    -A ルールの末尾に追加(-I だと先頭に追加)
    -p プロトコルを tcp に指定
    –dport ポートを http, https に指定
    -j パケットの処理方法を ACCEPT に指定

  4. ルール一覧に追加されているか確認

    # /sbin/iptables -L --line-number
  5. 確認したら設定保存

    # /sbin/service iptables save
  6. 保存されたか確認

    # cat /etc/sysconfig/iptables

HTML convert time: 0.543 sec. Powered by WordPress ME