# mount /dev/cdrom /media

# cp. /media/VMwareTools-*****.tar.gz ./
# tar zxvf VMwareTools-*****.tar.gz
# cd vmware-tools-distrib
# ./vmware-install.pl

特に設定する必要が無いんで、全Enterで進めて完了。

# vi /etc/passwd

bubbkis:x:500:500::/home/bubbkis:/bin/bash
↓
bubbkis:x:501:501::/home/bubbkis:/bin/bash

# vi /etc/group

bubbkis:x:500:
↓
bubbkis:x:501:

# chown -R bubbkis.bubbkis /home/bubbkis
# find /tmp -user 500 -exec chown bubbkis.bubbkis {} \;

• インストール

  $ sudo port install apache2

• 自動起動設定

  $ sudo launchctl load -w /Library/LaunchDaemons/org.macports.apache2.plist

• httpd.confを編集

  $ sudo vi /opt/local/apache2/conf/httpd.conf

  ServerAdmin you@example.com
  ↓
  ServerAdmin webmaster@localhost
   
  ServerName www.example.com:80
  ↓
  ServerName localhost
   
  DocumentRoot "/opt/local/apache2/htdocs"
  ↓
  DocumentRoot "/Users/bubbkis/Sites"
   
  <Directory />
      Options FollowSymLinks
      AllowOverride None
  #    Order deny,allow ←コメントアウト追加
  #    Deny from all ←コメントアウト追加
  </Directory>
   
  <Directory "/opt/local/apache2/htdocs">
  ↓
  <Directory "/Users/bubbkis/Sites">
   
  ## <Directory "/Users/bubbkis/Sites">内のOptionsとAllowOverrideを以下の様に修正。
  Options Indexes Includes ExecCGI FollowSymLinks MultiViews
  AllowOverride All
   
  DirectoryIndex index.html
  ↓
  DirectoryIndex index.php index.html index.htm
   
  ## <Directory "/opt/local/apache2/cgi-bin">内のOptionsを以下の様に修正。
  Options Indexes Includes ExecCGI FollowSymLinks MultiViews
   
  #AddHandler cgi-script .cgi
  ↓
  AddHandler cgi-script .cgi .pl .rb
   
  #Include conf/extra/httpd-languages.conf
  ↓
  Include conf/extra/httpd-languages.conf
   
  #Include conf/extra/httpd-default.conf
  ↓
  Include conf/extra/httpd-default.conf

• Apache起動

  $ /opt/local/apache2/bin/apachectl configtest
  $ sudo /opt/local/apache2/bin/apachectl graceful
  

• インストール

  $ sudo port install mysql5 +innodb_plugin
  $ sudo port install mysql5-server
  

• 初期化

  $ sudo -u mysql mysql_install_db5

• MySQL起動

  $ sudo /opt/local/share/mysql5/mysql/mysql.server start

• 自動起動設定

  $ sudo launchctl load -w /Library/LaunchDaemons/org.macports.mysql5.plist

• MySQLのrootアカウントへパスワードを設定

  $ /opt/local/lib/mysql5/bin/mysqladmin -u root password '******'

  $ mysql -u root -p
  mysql> select user,host,password from mysql.user;
  mysql> set password for root@'bubbkis-MacBook.llocal'=password('パスワード');
  mysql> set password for root@'127.0.0.1'=password('パスワード');
  mysql> exit
  

• MySQL設定ファイル編集

  $ sudo cp /opt/local/share/mysql5/mysql/my-medium.cnf /opt/local/etc/mysql5/my.cnf
  $ sudo vi /opt/local/etc/mysql5/my.cnf
  

  ##[mysqld]の項目へ追加
  character-set-server = utf8
  collation-server = utf8_unicode_ci
  init-connect = 'SET NAMES utf8'
  skip-character-set-client-handshake
  
  ##[mysqldump]の項目へ追加
  default-character-set = utf8
  
  ##[mysql]の項目へ追加
  default-character-set = utf8
  

• MySQL再起動

  $ sudo /opt/local/share/mysql5/mysql/mysql.server restart

• インストール

  $ sudo port install postgresql83 +perl +python
  $ sudo port install postgresql83-server
  

• 自動起動設定

  $ sudo launchctl load -w /Library/LaunchDaemons/org.macports.postgresql83-server.plist

• 初期化

  $ sudo mkdir -p /opt/local/var/db/postgresql83/defaultdb
  $ sudo chown postgres:postgres /opt/local/var/db/postgresql83/defaultdb
  $ sudo su postgres -c '/opt/local/lib/postgresql83/bin/initdb -D /opt/local/var/db/postgresql83/defaultdb'
  

• PostgreSQL起動

  $ sudo su postgres -c '/opt/local/lib/postgresql83/bin/postgres -D /opt/local/var/db/postgresql83/defaultdb'
  or
  $ sudo su postgres -c '/opt/local/lib/postgresql83/bin/pg_ctl -D /opt/local/var/db/postgresql83/defaultdb start'
  

• PL/pgSQL && dblinkをインストール

  $ sudo su postgres
  sh-3.2$ createdb testdb
  sh-3.2$ /opt/local/lib/postgresql83/bin/createlang plpgsql testdb
  sh-3.2$ psql -U postgres -d testdb < /opt/local/var/macports/software/postgresql83/8.3.8_1/opt/local/share/postgresql83/contrib/dblink.sql
  

  インストール後、これらを使いたい場合は「testdb」をテンプレートDBとして新規DBを作成し使う。

• postgresアカウントへパスワードを設定

  sh-3.2$ psql template1
  template1=# alter user postgres with password '******';
  template1=# \q
  

• 一般ユーザへのデータベース作成権限設定

  sh-3.2$ createuser -AdPE bubbkis
  sh-3.2$ exit
  

• PostgreSQL設定ファイル編集
  postgresql.confを編集。

  $ sudo vi /opt/local/var/db/postgresql83/defaultdb/postgresql.conf

  #listen_addresses = 'localhost'
  ↓
  listen_addresses = '*'
  

  pg_hba.confを編集

  $ sudo vi /opt/local/var/db/postgresql83/defaultdb/pg_hba.conf

  #追記
  host    all         all       0.0.0.0    0.0.0.0      password
  

• PostgreSQL再起動

  $ sudo su postgres -c '/opt/local/lib/postgresql83/bin/pg_ctl -D /opt/local/var/db/postgresql83/defaultdb restart'

• いろいろインストール

  $ sudo port install php5 +apache2 +mysql5 +pear +postgresql83 +sqlite
  $ sudo port install php5-curl
  $ sudo port install php5-exif
  $ sudo port install php5-gd
  $ sudo port install php5-gettext
  $ sudo port install php5-imagick
  $ sudo port install php5-mbstring
  $ sudo port install php5-mcrypt
  $ sudo port install php5-mysql
  $ sudo port install php5-postgresql  +postgresql83
  $ sudo port install php5-readline
  $ sudo port install php5-sqlite
  $ sudo port install php5-sqlite3
  $ sudo port install php5-xmlrpc
  $ sudo port install php5-zip
  $ sudo port install php5-zlib
  $ sudo pear upgrade PEAR
  

• ApacheへPHPモジュールを読み込ませる

  $ cd /opt/local/apache2/modules
  $ sudo /opt/local/apache2/bin/apxs -a -e -n "php5" libphp5.so
  

• PHP設定ファイル編集

      $ sudo cp /opt/local/etc/php5/php.ini-development /opt/local/etc/php5/php.ini
  or
      $ sudo cp /opt/local/etc/php5/php.ini-production /opt/local/etc/php5/php.ini
  $ sudo vi /opt/local/etc/php5/php.ini
  

  max_execution_time = 30
  ↓
  max_execution_time = 0
  
  post_max_size = 8M
  ↓
  post_max_size = 64M
  
  upload_max_filesize = 2M
  ↓
  upload_max_filesize = 64M
  
  ;date.timezone =
  ↓
  date.timezone = Asia/Tokyo
  
  mysql.default_socket =
  ↓
  mysql.default_socket = /opt/local/var/run/mysql5/mysqld.sock
  
  mysqli.default_socket =
  ↓
  mysqli.default_socket = /opt/local/var/run/mysql5/mysqld.sock
  
  pdo_mysql.default_socket =
  ↓
  pdo_mysql.default_socket = /opt/local/var/run/mysql5/mysqld.sock
  

• Apache設定ファイル編集

  $ sudo vi /opt/local/apache2/conf/httpd.conf

  # 追記
  Include conf/extra/mod_php.conf
  

• Apache再起動

  $ sudo /opt/local/apache2/bin/apachectl restart

# MacPorts
export PATH=/opt/local/bin:/opt/local/sbin:$PATH
# Man
export MANPATH=/usr/local/man:/usr/share/man:/opt/local/man

追加したら.bashrcを再読み込み

$ source .bashrc

1. スクリプトファイル作成

   $ vi port.sh

   ↓の内容で作成する。

   #!/bin/bash
    
   sudo port -d selfupdate
   sudo port -d install zsh-devel
   sudo port -d install libiconv +enable_cp932fix
   sudo port -d install coreutils
   sudo port -d install findutils
   sudo port -d install wget
   sudo port -d install curl +ssl +sftp_scp
   sudo port -d install nkf
   sudo port -d install screen
   sudo port -d install ruby
   sudo port -d install zlib
   sudo port -d install openssl
   sudo port -d install rb-rubygems
   sudo port -d install subversion
   sudo port -d install git-core
   sudo port -d install -f svk
   sudo port -d install lv
   sudo port -d install chasen
   sudo port -d install sqlite3
   sudo port -d install libxml
   sudo port -d install libxml2
   sudo port -d install expat
   sudo port -d install p7zip
   sudo port -d install bzip2
   sudo port -d install ctags
   sudo port -d install ncurses
   sudo port -d install vim
   sudo port -d install smartmontools
   sudo port -d install colordiff
   sudo port -d install tiff
   sudo port -d install imagemagick +q8 +gs +wmf
   sudo port -d install openssh
   sudo port -d install perl5.8
   sudo port -d install perl5.10
   sudo port -d install tig
   sudo port -d install tree
   sudo port -d install w3m
    
   # Python25
   sudo port -d install python25
   sudo port -d install py25-django
   sudo port -d install py25-ipython
   sudo port -d install py25-pip
   sudo port -d install py25-setuptools
   sudo port -d install py25-hashlib
   sudo port -d install py25-zlib
   sudo port -d install py25-readline
   sudo port -d install py25-sqlite3
   sudo port -d install py25-mysql
   sudo port -d install py25-twisted
   sudo port -d install py25-pgsql
   sudo port -d install py25-mechanize
   sudo port -d install py25-openssl
   sudo port -d install py25-paste
   sudo port -d install py25-pastedeploy
   sudo port -d install py25-simplejson
   sudo port -d install py25-nose
   sudo port -d install py25-sqlalchemy
   sudo port -d install py25-sqlalchemy-migrate
   sudo port -d install py25-turbogears
   sudo port -d install py25-memcached
   sudo port -d install py25-yaml
   sudo port -d install python25-doc
   sudo port -f activate py25-cherrypy3
   sudo port -d install py25-cherrypy3
    
   # Python26
   sudo port -d install python26
   sudo port -d install py26-bpython
   sudo port -d install py26-django
   sudo port -d install py26-django-extensions
   sudo port -d install py26-coverage
   sudo port -d install py26-ipython
   sudo port -d install py26-mysql
   sudo port -d install py26-nose
   sudo port -d install py26-pip
   sudo port -d install py26-pymacs
   sudo port -d install py26-setuptools
   sudo port -d install py26-twisted
   sudo port -d install py26-pgsql
   sudo port -d install py26-openssl
   sudo port -d install py26-paste
   sudo port -d install py26-pastedeploy
   sudo port -d install py26-simplejson
   sudo port -d install py26-sqlalchemy
   sudo port -d install py26-sqlalchemy-migrate
   sudo port -d install py26-memcached
   sudo port -d install py26-yaml
   sudo port -d install python26-doc
   sudo port -d install py26-cherrypy3
   sudo port -d install python_select
    
   # Ruby
   export RUBYOPT=rubygems
   sudo gem update --system
   sudo gem update
   sudo gem install mongrel
   sudo gem install mongrel_cluster
   sudo gem install mechanize
   sudo gem install Selenium
   sudo gem install vim-ruby
   sudo gem install sqlite3-ruby
   sudo gem install mysql
   sudo gem install postgres
   sudo gem install postgres-pr
   sudo gem install BlueCloth
   sudo gem install RedCloth
   sudo gem install net-ssh
   sudo gem install net-sftp
   sudo gem install coverage
   sudo gem install capistrano
   sudo gem install magic_multi_connections
   sudo gem install redgreen
   sudo gem install rspec
   sudo gem install rspec-rails
   sudo gem install cucumber
   sudo gem install rmagick
   sudo gem install rails
   sudo gem install jpmobile
   sudo gem install ruby-debug
   sudo gem install refe
   sudo gem install xml-simple
   sudo gem cleanup

2. 作ったスクリプトファイルに実行権を付与。

   $ chmod +x port.sh

3. インストールスクリプト実行

   $ ./port.sh

4. インストール終了までかなり時間がかかるから寝て待つ

1. /etc/shellsに/opt/local/bin/zshを追記

   $ sudo vi /etc/shells
   

2. chshする

   $ chsh -s /opt/local/bin/zsh

$ gem list | cut -d ' ' -f1 > installed_gems
$ sudo mv /System/Library/Frameworks/Ruby.framework/Versions/1.8/usr/lib/ruby/gems/1.8 /System/Library/Frameworks/Ruby.framework/Versions/1.8/usr/lib/ruby/gems/1.8.bak
$ sudo mkdir /System/Library/Frameworks/Ruby.framework/Versions/1.8/usr/lib/ruby/gems/1.8
$ sudo gem list | cut -d ' ' -f1 | xargs sudo gem uninstall -aIx

# 32bitな人用
$ cat installed_gems | xargs sudo env ARCHFLAGS=”-Os -arch i386 -fno-common” gem install —no-ri —no-rdoc
# 64bitな人用
$ cat installed_gems | xargs sudo env ARCHFLAGS=”-Os -arch x86_64 -fno-common” gem install —no-ri —no-rdoc

$ alias sgi32=”sudo env ARCHFLAGS="-Os -arch i386 -fno-common" gem install —no-ri —no-rdoc”
$ alias sgi64=”sudo env ARCHFLAGS="-Os -arch x86_64 -fno-common" gem install —no-ri —no-rdoc”

# users generic .zshrc file for zsh(1)

alias sgi="sgi64"
## Environment variable configuration
#
# LANG
#
export LANG=ja_JP.UTF-8

# パスの設定
PATH=/usr/local/bin:$PATH
# PHP
export PATH=/usr/local/php/bin:$PATH
# Ruby
export PATH=/usr/local/ruby/bin:$PATH
# PostgreSQL
POSTGRES_HOME=/usr/local/pgsql
export PATH=$PATH:/usr/local/pgsql/bin:/opt/local/lib/postgresql83/bin
export PGLIB=$POSTGRES_HOME/lib
export LD_LIBRARY_PATH="$LD_LIBRARY_PATH":"$PGLIB"
export PGDATA=$POSTGRES_HOME/data
export MANPATH=$MANPATH:$POSTGRES_HOME/man
# MySQL
export PATH=$PATH:/usr/local/mysql/bin:/opt/local/lib/mysql5/bin
# MacPorts
export PATH=/opt/local/bin:/opt/local/sbin:$PATH
# Refe
REFE_DATA_DIR=/usr/share/refe:/opt/local/share/refe
export REFE_DATA_DIR
# Man
export MANPATH=/usr/local/man:/usr/share/man:/opt/local/man

# cd /usr/local/src

最新版をここから探す。http://sourceforge.net/project/showfiles.php?group_id=63361

# wget http://jaist.dl.sourceforge.net/sourceforge/iptablelog/iptablelog-v0.9.tar.gz
# tar -zxvf iptablelog-v0.9.tar.gz
# mv iptablelog /var/www/admin
# chown -R root.root /var/www/admin/iptablelog
# cd
# mysql -u root -p
mysql> create database iptablelog;
mysql> grant all on iptablelog.* to iptablelog_user@localhost identified by '******';
mysql> exit
# cat /var/www/admin/iptablelog/conf/iptables.mysql | mysql -u iptablelog_user -p iptablelog

# aptitude install ulogd ulogd-mysql
# vi /etc/ulogd.conf

#
# ulogd_BASE.so - interpreter plugin for basic IPv4 header fields
#                 you will always need this
plugin="/usr/lib/ulogd/ulogd_BASE.so"
plugin="/usr/lib/ulogd/ulogd_LOCAL.so" ← 追加

plugin="/usr/lib/ulogd/ulogd_LOGEMU.so"
↓
#plugin="/usr/lib/ulogd/ulogd_LOGEMU.so"

#plugin="/usr/lib/ulogd/ulogd_MYSQL.so"
↓
plugin="/usr/lib/ulogd/ulogd_MYSQL.so"

[MYSQL]
pass="changeme"
↓
pass="******"

user="laforge"
↓
user="iptablelog_user"

db="ulogd"
↓
db="iptablelog"

# /etc/init.d/ulogd start

# vi /root/iptables.sh

・・・
・・・
# ↓この行の下へ追加する
# 上記のルールにマッチしなかったアクセスはログを記録して破棄
iptables -A INPUT -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES INPUT] : '
iptables -A INPUT -m limit --limit 1/s -j ULOG --ulog-nlgroup 1 --ulog-prefix 'INPUT' ← 追加
・・・
・・・

# cp /var/www/admin/iptablelog/conf/config.php.default /var/www/admin/iptablelog/conf/config.php
# vi /var/www/admin/iptablelog/conf/config.php

$db_password="changeme";
↓
$db_password="******";

$file_base="/path/to/iptablelog";
↓
$file_base="/var/www/admin/iptablelog";

# cp /var/www/admin/iptablelog/conf/iptables_resolve.default /etc/cron.hourly/iptables_resolve
# vi /etc/cron.hourly/iptables_resolve

$iptablelog_path = "/var/www/html/iptablelog";
↓
$iptablelog_path = "/var/www/admin/iptablelog";

db_connect("localhost","dbname","dbuser", "dbpass");
↓
db_connect("localhost","iptablelog","iptablelog_user", "******");

# aptitude install visitors nkf

# mkdir /var/www/admin/log

# chown hoge.hoge /var/www/admin/log

# vi visitors.sh

#!/bin/bash

# ユーザーネームを記載
username=hoge
# アクセス解析用ディレクトリを記載
addlog=/var/www/admin/log/
# このスクリプトのログファイル名を記載
logfile=/var/log/logsearch.log

function logsearch
{
date '+%Y/%m/%d(%a) %T'
for a in `find /var/log/apache2/* -mtime -4`
do
log=`basename $a`
  visitors -A -m 30000 $a -o html > $addlog$log
  nkf -w -m0 $addlog$log > $addlog$log.html
  rm -f $addlog$log
done
}
logsearch >> $logfile 2>&1
echo "" >> $logfile; echo "" >> $logfile;
chown -R $username:$username $addlog

# chmod +x visitors.sh
# mv visitors.sh /etc/cron.hourly

# vi /var/www/admin/log/.htaccess

Options Indexes Includes ExecCGI FollowSymLinks MultiViews

hogeは一般ユーザーへ

# chown hoge.hoge /var/www/admin/log/.htaccess

# aptitude install pflogsumm

# vi pflogsumm_report

#!/bin/bash

LANG=C

MAILLOG=`mktemp`
for log in `ls /var/log/mail.log*|sort -r`
do
    cat $log >> $MAILLOG
done
REPORT=`mktemp`
pflogsumm --problems_first --verbose_msg_detail --mailq -d yesterday $MAILLOG > $REPORT
cat $REPORT | mail -s "`head -1 $REPORT` in `uname -n`" postmaster
rm -f $MAILLOG $REPORT

# chmod 700 pflogsumm_report
# ./pflogsumm_report
# mv pflogsumm_report /etc/cron.daily/

# aptitude install logwatch

デフォルトでroot宛へメールが送られる。変えたければ以下を編集。(私はデフォルトのまま)

# vi /usr/share/logwatch/default.conf/logwatch.conf

MailTo = root
↓
MailTo = hogehoge@gmail.com

# aptitude install openvpn openssl

# mkdir /dev/net
# mknod /dev/net/tun c 10 200

# vi /etc/sysctl.conf

#net.ipv4.ip_forward=1
↓
net.ipv4.ip_forward=1

# sysctl -p /etc/sysctl.conf

1が表示されるかの確認

# cat /proc/sys/net/ipv4/ip_forward

1. CA証明書・秘密鍵作成

   # cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa
   # cd /etc/openvpn/easy-rsa/
   # chmod +x *
   # vi vars
   

   export KEY_COUNTRY="US"
   export KEY_PROVINCE="CA"
   export KEY_CITY="SanFrancisco"
   export KEY_ORG="Fort-Funston"
   export KEY_EMAIL="me@myhost.mydomain"
   ↓
   export KEY_COUNTRY="JP"
   export KEY_PROVINCE="Tokyo"
   export KEY_CITY="Edogawa"
   export KEY_ORG="saizensen.net"
   export KEY_EMAIL="root@saizensen.net"
   

   # source vars
   # ./clean-all
   # ./build-ca
   

   ↑を実行すると色々聞いてくるが全て空ENTERでおk。

   # cp keys/ca.crt /etc/openvpn/
   

2. サーバー証明書・秘密鍵作成

   # ./build-key-server server

   Generating a 1024 bit RSA private key
   ....................++++++
   ............................++++++
   writing new private key to 'server.key'
   -----
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Country Name (2 letter code) [JP]: ← 空ENTER
   State or Province Name (full name) [Tokyo]: ← 空ENTER
   Locality Name (eg, city) [Edogawa]: ← 空ENTER
   Organization Name (eg, company) [saizensen.net]: ← 空ENTER
   Organizational Unit Name (eg, section) []: ← 空ENTER
   Common Name (eg, your name or your server's hostname) [server]: ← 空ENTER
   Email Address [root@saizensen.net]: ← 空ENTER
   
   Please enter the following 'extra' attributes
   to be sent with your certificate request
   A challenge password []: ← 空ENTER
   An optional company name []: ← 空ENTER
   Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
   Check that the request matches the signature
   Signature ok
   The Subject's Distinguished Name is as follows
   countryName           : PRINTABLE:'JP'
   stateOrProvinceName   : PRINTABLE:'Tokyo'
   localityName          : PRINTABLE:'Edogawa'
   organizationName      : PRINTABLE:'saizensen.net'
   commonName            : PRINTABLE:'server'
   emailAddress          : IA5STRING:'root@saizensen.net'
   Certificate is to be certified until Aug 11 09:04:37 2019 GMT (3650 days)
   Sign the certificate? [y/n]:y ← yキー
   
   1 out of 1 certificate requests certified, commit? [y/n]y ← yキー
   Write out database with 1 new entries
   Data Base Updated
   

   # cp keys/server.crt /etc/openvpn/
   # cp keys/server.key /etc/openvpn/
   

3. DH(Diffie Hellman)パラメータ作成

   # ./build-dh
   # cp keys/dh1024.pem /etc/openvpn/
   

4. 証明書廃止リスト作成

   # ./build-key dmy

   enerating a 1024 bit RSA private key
   ..............................................................++++++
   ..++++++
   writing new private key to 'dmy.key'
   -----
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Country Name (2 letter code) [JP]: ← 空ENTER
   State or Province Name (full name) [Tokyo]: ← 空ENTER
   Locality Name (eg, city) [Edogawa]: ← 空ENTER
   Organization Name (eg, company) [saizensen.net]: ← 空ENTER
   Organizational Unit Name (eg, section) []: ← 空ENTER
   Common Name (eg, your name or your server's hostname) [dmy]: ← 空ENTER
   Email Address [root@saizensen.net]: ← 空ENTER
   
   Please enter the following 'extra' attributes
   to be sent with your certificate request
   A challenge password []: ← 空ENTER
   An optional company name []: ← 空ENTER
   Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
   Check that the request matches the signature
   Signature ok
   The Subject's Distinguished Name is as follows
   countryName           : PRINTABLE:'JP'
   stateOrProvinceName   : PRINTABLE:'Tokyo'
   localityName          : PRINTABLE:'Edogawa'
   organizationName      : PRINTABLE:'saizensen.net'
   commonName            : PRINTABLE:'dmy'
   emailAddress          : IA5STRING:'root@saizensen.net'
   Certificate is to be certified until Aug 11 09:09:41 2019 GMT (3650 days)
   Sign the certificate? [y/n]:y ← yキー
   
   1 out of 1 certificate requests certified, commit? [y/n]y ← yキー
   Write out database with 1 new entries
   Data Base Updated
   

5. openssl.cnfを編集

   # vi openssl.cnf

   [ pkcs11_section ]
   ↓
   #[ pkcs11_section ]
   
   engine_id = pkcs11
   ↓
   #engine_id = pkcs11
   
   dynamic_path = /usr/lib/engines/engine_pkcs11.so
   ↓
   #dynamic_path = /usr/lib/engines/engine_pkcs11.so
   
   MODULE_PATH = $ENV::PKCS11_MODULE_PATH
   ↓
   #MODULE_PATH = $ENV::PKCS11_MODULE_PATH
   
   PIN = $ENV::PKCS11_PIN
   ↓
   #PIN = $ENV::PKCS11_PIN
   
   init = 0
   ↓
   #init = 0
   

6. ./revoke-full dmyを実行すると↓みたいに表示されるけど無視して進む。

   Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
   Revoking Certificate 02.
   Data Base Updated
   Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
   dmy.crt: /C=JP/ST=Tokyo/L=Edogawa/O=saizensen.net/CN=dmy/emailAddress=root@saizensen.net
   error 23 at 0 depth lookup:certificate revoked
   

   # ./revoke-full dmy
   # cp keys/crl.pem /etc/openvpn/
   # cd
   

7. OpenVPN設定

   # openvpn --genkey --secret /etc/openvpn/ta.key
   # cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn
   # gunzip /etc/openvpn/server.conf.gz
   # vi /etc/openvpn/server.conf
   

   ;push "route 192.168.10.0 255.255.255.0"
   ;push "route 192.168.20.0 255.255.255.0"
   push "route 192.168.0.0 255.255.255.0" ← 追加(内部ネットワークアドレス)
   
   ;tls-auth ta.key 0 # This file is secret
   ↓
   tls-auth ta.key 0 # This file is secret
   
   ;user nobody
   ;group nogroup
   ↓
   user nobody
   group nogroup
   
   ;log-append  openvpn.log
   ↓
   log-append  /var/log/openvpn.log
   
   management localhost 7505 ← ファイル最終行へ追加
   crl-verify crl.pem ← ファイル最終行へ追加
   

8. iptables設定(/etc/openvpn/openvpn-startupを作成)

   # vi /etc/openvpn/openvpn-startup

   #!/bin/bash
   
   # VPNインタフェースiptablesルール削除スクリプト実行※必須
   /etc/openvpn/openvpn-shutdown
   
   # VPNサーバーからの送信を許可※必須
   iptables -I OUTPUT -o tun+ -j ACCEPT
   iptables -I FORWARD -o tun+ -j ACCEPT
   
   # VPNクライアントからVPNサーバーへのアクセスを許可する場合
   iptables -I INPUT -i tun+ -j ACCEPT
   
   # VPNクライアントからLANへのアクセスを許可する場合
   # (例としてVPNクライアントから192.168.0.0/24へのアクセスを許可する場合)
   iptables -I FORWARD -i tun+ -d 192.168.0.0/24 -j ACCEPT
   
   # VPNクライアントからLAN内特定マシンのみへのアクセスを許可する場合
   # (例としてVPNクライアントから192.168.0.3へのアクセスを許可する場合)
   #iptables -I FORWARD -i tun+ -d 192.168.0.3 -j ACCEPT
   

   # chmod +x /etc/openvpn/openvpn-startup

9. iptables設定(/etc/openvpn/openvpn-shutdownを作成)

   # vi /etc/openvpn/openvpn-shutdown

   #!/bin/bash
   
   # VPNインタフェース(tun+)用iptablesルール削除関数
   delete() {
       rule_number=`iptables -L $target --line-numbers -n -v|grep tun.|awk '{print $1}'|sort -r`
       for num in $rule_number
       do
           iptables -D $target $num
       done
   }
   
   # VPNインタフェース(tun+)用iptables受信ルール削除
   target='INPUT'
   delete
   
   # VPNインタフェース(tun+)用iptables転送ルール削除
   target='FORWARD'
   delete
   
   # VPNインタフェース(tun+)用iptables送信ルール削除
   target='OUTPUT'
   delete
   

   # chmod +x /etc/openvpn/openvpn-shutdown

10. openvpn起動 && iptablesスクリプト起動

    # /etc/init.d/openvpn start
    # ./iptables.sh
    

11. ルーター側で、宛先がVPN(例:10.8.0.0/24)のアクセスはVPNサーバー(例:192.168.0.2)を経由するようにルートを追加する。

1. クライアント証明書・秘密鍵作成

   # cd /etc/openvpn/easy-rsa/

2. 証明書／鍵作成用環境変数設定ファイル内容をシステムに反映

   # source vars

3. クライアント名saizensen_net-1※のクライアント証明書・秘密鍵作成
   ※クライアント名は一意であること＝既に作成済のクライアント名と重複しないこと

   # ./build-key-pass saizensen_net-1

   Generating a 1024 bit RSA private key
   .........................................++++++
   ..++++++
   writing new private key to 'saizensen_net-1.key'
   Enter PEM pass phrase: ← パスワードを設定する
   Verifying - Enter PEM pass phrase: ← パスワードを設定する(確認)
   -----
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Country Name (2 letter code) [JP]: ← 空ENTER
   State or Province Name (full name) [Tokyo]: ← 空ENTER
   Locality Name (eg, city) [Edogawa]: ← 空ENTER
   Organization Name (eg, company) [saizensen.net]: ← 空ENTER
   Organizational Unit Name (eg, section) []: ← 空ENTER
   Common Name (eg, your name or your server's hostname) [saizensen_net-1]: ← 空ENTER
   Email Address [root@saizensen.net]: ← 空ENTER
   
   Please enter the following 'extra' attributes
   to be sent with your certificate request
   A challenge password []: ← 空ENTER
   An optional company name []: ← 空ENTER
   Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
   Check that the request matches the signature
   Signature ok
   The Subject's Distinguished Name is as follows
   countryName           : PRINTABLE:'JP'
   stateOrProvinceName   : PRINTABLE:'Tokyo'
   localityName          : PRINTABLE:'Edogawa'
   organizationName      : PRINTABLE:'saizensen.net'
   commonName            : T61STRING:'seizensen_net-1'
   emailAddress          : IA5STRING:'root@saizensen.net'
   Certificate is to be certified until Aug 11 09:40:24 2019 GMT (3650 days)
   Sign the certificate? [y/n]:y ← yキー
   
   1 out of 1 certificate requests certified, commit? [y/n]y ← yキー
   Write out database with 1 new entries
   Data Base Updated
   

4. /etc/hosts.allowへVPN仮想IPを追加

   # echo "ALL: 10.8.0." >> /etc/hosts.allow

1. クライアント設定ファイルサンプル(C:\Program Files\OpenVPN\sample-config\client.ovpn)を設定ファイル格納フォルダ(C:\Program Files\OpenVPN\config)へコピーする。
2. クライアント設定ファイル(C:\Program Files\OpenVPN\config\client.ovpn)編集

   remote my-server-1 1194
   ↓
   remote saizensen.net 1194　←　VPNサーバー名を指定
   
   cert client.crt
   ↓
   cert saizensen_net-1.crt　←　クライアント証明書ファイル名を指定
   
   key client.key
   ↓
   key saizensen_net-1.key　←　クライアント秘密鍵ファイル名を指定
   
   ns-cert-type server　←　行頭の;を削除してコメント解除("Man-in-the-Middle"攻撃対策)
   
   tls-auth ta.key 1　←　行頭の;を削除してコメント解除(TLS認証有効化)
   

# cd /etc/openvpn/easy-rsa/
# source vars
# ./revoke-full saizensen_net-1
# /bin/cp keys/crl.pem /etc/openvpn/

# aptitude install swatch

# mkdir /var/log/swatch
# vi /etc/init.d/swatch

#!/bin/sh

PATH="/sbin:/bin:/usr/sbin:/usr/bin"
NAME="swatch"
DAEMON="/usr/bin/swatch"
DESC="simple watcher"
CONFFILE="/etc/swatch.conf"
#LOGFILE="/var/log/secure"
LOGFILE="/var/log/auth.log"
PIDFILE="/var/run/swatch.pid"
SCRIPTDIR="/var/log/swatch"
OPTS="--config-file $CONFFILE --tail-file $LOGFILE --pid-file=$PIDFILE \
	--script-dir=$SCRIPTDIR --awk-field-syntax --daemon"

test -x $DAEMON || exit 0

start() {
    if [ ! -f "$CONFFILE" ]; then
        echo "Error: $CONFFILE does not exist."
        exit 1
    fi
    if [ ! -f "$LOGFILE" ]; then
        echo "Error: $LOGFILE does not exist."
        exit 1
    fi
    if [ -f "$PIDFILE" ]
    then
        echo "Error: $NAME is already running."
    else
        $DAEMON $OPTS
    fi
}

stop() {
    if [ -f "$PIDFILE" ]
    then
        PID=`cat $PIDFILE`
        if ps h $PID > /dev/null
        then
            pkill -P $PID
        else
            echo "Error: $NAME is not running, but PID file exists. Deleting it."
        fi
        rm -f $PIDFILE
    else
        echo "Error: $NAME is not running."
    fi
}

case "$1" in
  start)
    echo "Starting $DESC: $NAME"
    start
    ;;
  stop)
    echo "Stopping $DESC: $NAME"
    stop
    ;;
  restart)
    echo "Restarting $DESC: $NAME"
    stop
    sleep 1
    start
    ;;
  *)
    echo "Usage: $0 start|stop|restart"
    exit 1
    ;;
esac

exit 0

# chmod a+x /etc/init.d/swatch
# update-rc.d swatch defaults 99

# vi /usr/local/bin/swatch_action.sh

#!/bin/bash

PATH=/bin:/sbin:/usr/bin
LANG=C

# 規制IPアドレス情報メール通知先設定
# ※メール通知しない場合は下記をコメントアウト
mail=root

# ログを標準入力から取得
read LOG

# ログからIPアドレスを抽出
IPADDR=`echo $LOG|cut -d " " -f $1`
echo "$IPADDR"|grep "^[0-9]*\." > /dev/null 2>&1
if [ $? -eq 0 ]; then
    # IPアドレスから始まる場合
    IPADDR=`echo "$IPADDR"|sed -e 's/\([0-9]*\.[0-9]*\.[0-9]*\.[0-9]*\).*/\1/p' -e d`
else
    # IPアドレス以外から始まる場合
    IPADDR=`echo "$IPADDR"|sed -e 's/.*[^0-9]\([0-9]*\.[0-9]*\.[0-9]*\.[0-9]*\).*/\1/p' -e d`
fi

# IPアドレスをピリオドで分割
addr1=`echo $IPADDR|cut -d . -f 1`
addr2=`echo $IPADDR|cut -d . -f 2`
addr3=`echo $IPADDR|cut -d . -f 3`
addr4=`echo $IPADDR|cut -d . -f 4`

# IPアドレスがプライベートIPアドレスの場合は終了
if [ "$IPADDR" = "127.0.0.1" ]; then
    exit
elif [ $addr1 -eq 10 ]; then
    exit
elif [ $addr1 -eq 172 ] && [ $addr2 -ge 16 ] && [ $addr2 -le 31 ]; then
    exit
elif [ $addr1 -eq 192 ] && [ $addr2 -eq 168 ]; then
    exit
fi

# 不正アクセスログメッセージをIPアドレス別ログファイルに記録
echo $LOG >> /var/log/swatch/$IPADDR

# IPアドレス別ログファイルから累積不正アクセス数取得
cnt=`cat /var/log/swatch/$IPADDR | wc -l`

# 該当IPアドレスからの累積不正アクセス数が3以上の場合または
# 引数でlockと指定された場合アクセス規制
if [ $cnt -ge 3 ] || [ $# -eq 2 -a  "$2" = "lock" ]; then
    # 該当IPアドレスからのアクセスを拒否するルールを挿入
    iptables -I INPUT -s $IPADDR -j DROP

    # 上記ルールを24時間後に削除するスケジュールを登録
    echo "iptables -D INPUT -s $IPADDR -j DROP > /dev/null 2>&1" | \
    at now+24hour > /dev/null 2>&1

    # アクセス規制IPアドレス情報をメール通知
    [ "$mail" != "" ] && (cat /var/log/swatch/$IPADDR ; \
                          echo ; whois $IPADDR) | \
                          mail -s "$IPADDR $cnt lock!" $mail

    echo "`date` $IPADDR $cnt lock!"
else
    echo "`date` $IPADDR $cnt"
fi

chmod 700 /usr/local/bin/swatch_action.sh

# vi /etc/cron.daily/logrotate

/etc/init.d/swatch restart > /dev/null ← ファイル最下部へ追加

# vi /etc/swatch.conf

# BINDのバージョン照会を検知したら該当ホストからのアクセスを24時間規制
# ※DNSサーバー(BIND)構築済であること
watchfor /query \'VERSION\.BIND\/TXT\/CH\' denied/
    pipe "/usr/local/bin/swatch_action.sh 7 lock"
    throttle=00:00:10

# アクセス無許可ホストからのDNS使用を検知したら該当ホストからのアクセスを24時間規制
# ※DNSサーバー(BIND)構築済であること
watchfor /named.*client.*query.*denied/
    pipe "/usr/local/bin/swatch_action.sh 7 lock"

# アクセス無許可ホストからのSSHログイン失敗を検知したら該当ホストからのアクセスを24時間規制
# ※/etc/hosts.deny、/etc/hosts.allowでアクセス許可ホストを制限していることが前提
watchfor /sshd.*refused/
    pipe "/usr/local/bin/swatch_action.sh 10 lock"
    throttle=00:00:10

# アクセス許可ホストからのSSHログイン失敗を3回以上検知したら該当ホストからのアクセスを24時間規制
watchfor /sshd.*Invalid user/
    pipe "/usr/local/bin/swatch_action.sh 10"
    throttle=00:00:10

# /etc/init.d/swatch start

# aptitude install snort snort-mysql
# aptitude install libio-zlib-perl libwww-perl libarchive-tar-perl

# vi /etc/snort/snort.conf

var HOME_NET any
↓
var HOME_NET DEBIAN_SNORT_HOME_NET

var EXTERNAL_NET any
↓
#var EXTERNAL_NET any

#var EXTERNAL_NET !$HOME_NET
↓
var EXTERNAL_NET !$HOME_NET

output database: log, mysql
↓
output database: log, mysql, user=snort password='snort-db' dbname=snort host=localhost

# dpkg-reconfigure snort-mysql

# mysql -u root -p
mysql> CREATE DATABASE snort;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('snort-db');
mysql> flush privileges;
mysql> show grants for 'snort'@'localhost';
mysql> exit
# cd /usr/share/doc/snort-mysql/
# zcat create_mysql.gz | mysql -u snort -D snort -p snort-db

# rm /etc/snort/db-pending-config

# /etc/init.d/snort start

# cd /usr/local/src

最新版をここから探す。http://sourceforge.net/project/showfiles.php?group_id=103348&package_id=128846

# wget http://jaist.dl.sourceforge.net/sourceforge/secureideas/base-1.4.3.1.tar.gz
# tar zxvf base-1.4.3.1.tar.gz
# mv base-1.4.3.1 /var/www/admin/base

最新版をここから探す。http://sourceforge.net/project/showfiles.php?group_id=42718&package_id=220409

# wget http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb509a.tgz
# tar zxvf adodb509a.tgz
# mv adodb5 /var/www/admin/base/adodb
# chown -R www-data:www-data /var/www/admin/base/
# cd

# cp /var/www/admin/base/base_conf.php.dist /var/www/admin/base/base_conf.php
# vi /var/www/admin/base/base_conf.php

$BASE_Language = 'english';
↓
$BASE_Language = 'japanese';

$BASE_urlpath = '';
↓
$BASE_urlpath = '/base';

$DBlib_path = '';
↓
$DBlib_path = '/var/www/admin/base/adodb';

$alert_dbname   = 'snort_log`';
↓
$alert_dbname   = 'snort';

$alert_password = 'mypassword';
↓
$alert_password = 'snort-db';

# pear channel-update pear.php.net
# pear install --alldeps Image_Graph-alpha
# pear install Mail Mail_Mime

# aptitude install samba

# useradd hoge
# passwd hoge

# smbpasswd -a hoge

# mkdir /etc/skel/samba

既存ユーザー対処

# vi mkhomedir.sh

#!/bin/bash

for user in `ls /home`
do
    id $user > /dev/null 2>&1
    [ $? -eq 0 ] && \
    [ ! -d /home/$user/samba ] && \
    mkdir /home/$user/samba && \
    chown $user:$user /home/$user/samba && \
    echo "/home/$user/samba create"
done

# sh mkhomedir.sh
# rm -f mkhomedir.sh

# mkdir /var/samba
# mkdir /var/samba/public
# mkdir /var/samba/share
# chown -R nobody:nogroup /var/samba

# vi /etc/samba/smb.conf

## [global]セクション編集
[global]
   unix charset = UTF-8 ← 追加
   dos charset = CP932 ← 追加
   display charset = UTF-8 ← 追加

   hosts allow = 192.168.0. 127. 10.8.0. ← 追加

## [homes]セクション編集
   path = %H/samba ← 追加

   read only = yes
   ↓
   read only = no

## ファイル最下部へ追加↓
[public]
   comment = Read only Directories
   path = /var/samba/public
   public = yes
   guest ok = yes

[share]
   comment = All User shared Directories
   path = /var/samba/share
   public = yes
   read only = no
   #writable = yes
   only guest = yes
   printable = no

# /etc/init.d/samba restart

# aptitude install php5-xcache

1. シンボリックリンクを作成

   # ln -s /usr/share/xcache /var/www/admin/

2. コマンドラインからxcache.admin.passの値を求めてメモしておく。(******は各自適当に)

   # echo -n '******' | md5sum

3. コマンドラインからxcache.countの値を求めてメモしておく。

   # cat /proc/cpuinfo |grep -c processor

4. /etc/php5/conf.d/xcache.iniを編集(hogeは適当な一般ユーザーへ)

   # vi /etc/php5/conf.d/xcache.ini

   [xcache.admin]
   xcache.admin.user = "md0"
   ↓
   xcache.admin.user = "hoge"
   
   xcache.admin.pass = ""
   ↓
   xcache.admin.pass = "メモした値"
   
   [xcache]
   xcache.size  =                16M
   ↓
   xcache.size  =                64M
   
   xcache.count =                 1
   ↓
   xcache.count =        メモした値
   
   xcache.var_size  =            0M
   ↓
   xcache.var_size  =            8M
   
   xcache.var_ttl   =             0
   ↓
   xcache.var_ttl   =           600
   
   xcache.var_maxttl   =          0
   ↓
   xcache.var_maxttl   =       3600
   
   xcache.mmap_path =    "/dev/zero"
   ↓
   xcache.mmap_path =    "/tmp/xcache"
   
   [xcache.coverager]
   xcache.coverager =          Off
   ↓
   xcache.coverager =          On
   
   xcache.coveragedump_directory = ""
   ↓
   xcache.coveragedump_directory = "/tmp/pcov"
   

5. /tmp/pcovを作成

   # mkdir /tmp/pcov
   # chown www-data.www-data /tmp/pcov
   

# /etc/init.d/apache2 restart

# aptitude install postgresql-8.3-postgis

# su - postgres
$ createdb templategis
$ createlang plpgsql templategis
$ psql -d templategis -f /usr/share/postgresql-8.3-postgis/lwpostgis.sql
$ psql -d templategis -f /usr/share/postgresql-8.3-postgis/spatial_ref_sys.sql

# aptitude install php5 php5-dev php5-cgi php5-cli php-pear php5-curl php5-gd php5-imagick php5-json php5-mcrypt php5-mysql php5-pgsql php5-sqlite php5-geoip phpmyadmin phppgadmin mysql-server mysql-client postgresql libapache2-mod-php5

# vi /etc/cron.d/php5

09,39 *     * * *     root   [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -n 200 -r -0 rm
↓
0 6     * * *     root   [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -n 20    0 -r -0 rm

1. /etc/mysql/my.cnfを編集

   # vi /etc/mysql/my.cnf
   

   ##[mysqld]の項目へ追加
   character-set-server = utf8
   collation-server = utf8_unicode_ci
   init-connect = 'SET NAMES utf8'
   skip-character-set-client-handshake
   
   ##[mysqldump]の項目へ追加
   default-character-set = utf8
   
   ##[mysql]の項目へ追加
   default-character-set = utf8
   

2. MySQL再起動

   # /etc/init.d/mysql restart
   

3. mysqlへ接続出来るか確認。(インストール時にパスワード設定するとパスワード無しでのログインは出来ない。)

   # mysql -u root -p
   

4. 登録済みユーザーとパスワードを確認。(パスワード無しユーザーが居ないか確認。)

   mysql> select user,host,password from mysql.user;
   

5. ※もしパスワード無しユーザーが居た場合は以下で設定。

   mysql> set password for ユーザー名@ホスト名=password('パスワード');
   mysql> exit
   

1. MySQLバックアップスクリプト作成

   # vi mysql-backup.sh
   

   #!/bin/bash
   
   PATH=/usr/local/sbin:/usr/bin:/bin
   
   # バックアップ先ディレクトリ
   BACKDIR=/backup/mysql
   
   # MySQLrootパスワード
   ROOTPASS=******
   
   # バックアップ先ディレクトリ再作成
   rm  -rf $BACKDIR
   mkdir -p $BACKDIR
   
   # データベース名取得
   DBLIST=`ls -p /var/lib/mysql | grep / | tr -d /`
   
   # データベースごとにバックアップ
   for dbname in $DBLIST
   do
       table_count=`mysql -u root -p$ROOTPASS -B -e "show tables" $dbname|wc -l`
       [ $table_count -ne 0 ] &&
       mysqlhotcopy $dbname -u root -p $ROOTPASS $BACKDIR | logger -t mysqlhotcopy
   done
   

2. バックアップ先作成

   # mkdir /backup
   # mkdir /backup/mysql
   

3. mysql-backup.shへ実行権を付与。

   # chmod 700 mysql-backup.sh
   

4. バックアップスクリプト実行

   # ./mysql-backup.sh
   

5. バックアップ確認。

   # ls -la /backup/mysql
   

6. cronへ登録

   # crontab -e
   

   0 5 * * * /root/mysql-backup.sh
   

1. シンボリックリンクを作成。

   # ln -s /usr/share/phpmyadmin /var/www/admin/
   

2. ブラウザで「http://admin.サーバー名/phpmyadmin」へアクセスする。

1. postgresユーザーのパスワードを設定。

   # passwd postgres
   # su postgres
   $ psql template1
   template1=# alter user postgres with password '******'; ← ******は適当なパスワードを設定。
   template1=# \q
   

2. 一般ユーザへのデータベース作成権限設定。(hogeは適当な一般ユーザーへ)

   $ createuser -AdPE hoge
   

3. /etc/postgresql/8.3/main/postgresql.confを編集

   $ vi /etc/postgresql/8.3/main/postgresql.conf
   

   listen_addresses = 'localhost'
   ↓
   listen_addresses = '*'
   

4. /etc/postgresql/8.3/main/pg_hba.confを編集。(↓こんな感じで。192.168.0.1は各自ネットワーク環境へ。)

   $ vi /etc/postgresql/8.3/main/pg_hba.conf
   

   # Database administrative login by UNIX sockets
   #local   all         postgres                          ident sameuser
   
   # TYPE  DATABASE    USER        CIDR-ADDRESS          METHOD
   
   # "local" is for Unix domain socket connections only
   #local   all         all                               ident sameuser
   # IPv4 local connections:
   host    all         all         127.0.0.1/32          md5
   # IPv6 local connections:
   host    all         all         ::1/128               md5
   local   all         all                               trust
   host    all         all  192.168.0.1 255.255.255.255 trust
   host    all         all  0.0.0.0     0.0.0.0          password crypt
   

5. PostgreSQL再起動

   $ exit
   # /etc/init.d/postgresql-8.3 restart
   

6. PostgreSQLのチューニングは[PostgreSQL]PostgreSQLチューニング方法まとめサイト[Ubuntu]を参照して各自で勝手にやってね。

# su - postgres
$ mkdir /var/lib/postgresql/8.3/main/backups/
$ pg_dumpall -c > /var/lib/postgresql/8.3/main/backups/pgsql-backup
$ crontab -e

30 3 * * * pg_dumpall -c > /var/lib/postgresql/8.3/main/backups/pgsql-backup

$ exit

1. シンボリックリンクを作成

   # ln -s /usr/share/phppgadmin /var/www/admin/
   

2. /etc/phppgadmin/config.inc.phpを編集

   # vi /etc/phppgadmin/config.inc.php
   

   $conf['extra_login_security'] = true;
   ↓
   $conf['extra_login_security'] = false;
   
   $conf['owned_only'] = false;
   ↓
   $conf['owned_only'] = true;
   

3. /etc/phppgadmin/apache.confを編集

   # vi /etc/phppgadmin/apache.conf
   

   allow from 127.0.0.0/255.0.0.0 ::1/128
   ↓
   #allow from 127.0.0.0/255.0.0.0 ::1/128
   
   #allow from all
   ↓
   allow from all
   

4. apache再起動

   # /etc/init.d/apache2 restart
   

5. ブラウザで「http://admin.サーバー名/phppgadmin」へアクセスする。

# vi /etc/postfix/main.cf

#配送を追加したいドメイン名を指定します。
virtual_alias_domains = virtualhost.net ← 追加

#バーチャルドメイン用のエイリアステーブルを指定します。
virtual_alias_maps = hash:/etc/postfix/virtual ← 追加

# vi /etc/postfix/virtual

# set saizensen.net
hoge@saizensen.net			hoge

# set virtualhost.net
virtualhost.net			anything
hogehoge@virtualhost.net		hogehoge
# こんな風にしてもいい。(hogehoge@virtualhost.netのメールはhogeへ配送)
hogehoge@virtualhost.net		hoge

#  postmap /etc/postfix/virtual
#  /etc/init.d/postfix restart

# aptitude remove exim4 exim4-base exim4-config

exim4を消したら、makeまで消されたので再度インストール。

# aptitude install make

postfix、saslをインストール。

# aptitude install postfix sasl2-bin libsasl2-modules
# aptitude clean

メール名を確認(ここで表示されたものがメールアドレスの@以降に使われます。思ったものと違うときは編集する。)

# vi /etc/mailname

saizensen.net

# vi /etc/postfix/main.cf

# See /usr/share/postfix/main.cf.dist for a commented, more complete version

# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

#smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_banner = $myhostname ESMTP unknown
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
#smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
#smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
#smtpd_use_tls=yes
#smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
#smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = mail.saizensen.net
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
#mydestination = saizensen.net, localhost.localdomain, localhost.localdomain, localhost
mydestination = $myorigin, $myhostname, localhost.$myorigin, localhost
relayhost =
#mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mynetworks = 192.168.0.0/24 127.0.0.0/8
#mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

home_mailbox = Maildir/
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions =
    permit_mynetworks
    permit_sasl_authenticated
    reject_unauth_destination
broken_sasl_auth_clients = yes
unknown_local_recipient_reject_code = 550
message_size_limit = 10485760

# MobileMail setting([-] start address)
allow_min_user = yes

# vi /etc/postfix/master.cf

smtp      inet  n       -       -       -       -       smtpd
↓
smtp      inet  n       -       n       -       -       smtpd

#submission inet n       -       -       -       -       smtpd
↓
submission inet n       -       n       -       -       smtpd

# vi /etc/default/saslauthd

START=no
↓
START=yes

#OPTIONS="-c -m /var/run/saslauthd"
↓
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

↓これをやる必要があるのか微妙。色々やりすぎて忘れた。

# dpkg-statoverride --add root sasl 710 /var/spool/postfix/var/run/saslauthd

# vi /etc/postfix/sasl/smtpd.conf

pwcheck_method: auxprop

# chgrp postfix /etc/sasldb2
# adduser postfix sasl
# /etc/init.d/saslauthd restart
# /etc/init.d/postfix restart

1. [CentOS]PostfixでSubmissionポート(587番)を使う。[Postfix]
2. [CentOS]いつの間にかCentOS4.7サーバーからGmailへメール送信出来なくなってた。[Postfix]

# aptitude install dovecot-imapd dovecot-pop3d
# vi /etc/dovecot/dovecot.conf

#disable_plaintext_auth = yes
↓
disable_plaintext_auth = no

#mail_location =
↓
mail_location = maildir:~/Maildir

# /etc/init.d/dovecot restart

# mkdir -p /etc/skel/Maildir/{new,cur,tmp}
# chmod -R 700 /etc/skel/Maildir/

それぞれの一般ユーザーで以下を行う。(作成済ユーザー全員分)

$ mkdir Maildir
$ mkdir Maildir/{new,cur,tmp}
$ chmod -R 700 Maildir

1. sshなどでログインしないユーザー追加の場合

   # useradd -s /sbin/nologin hoge
   # passwd hoge
   

   この場合、/home/以下にhoge用ディレクトリが作成されない為、手動で作成。

   # mkdir /home/hoge
   # mkdir /home/hoge/Maildir
   # mkdir /home/hoge/Maildir/new
   # mkdir /home/hoge/Maildir/cur
   # mkdir /home/hoge/Maildir/tmp
   # chown -R hoge.hoge /home/hoge
   # chmod -R 700 /home/hoge/Maildir
   

2. sshなどでログインするユーザー追加の場合

   # useradd hoge
   # passwd hoge
   

3. SMTP-Auth用ユーザ／パスワード登録(ホスト名は/etc/postfix/main.cfのsmtpd_sasl_local_domainでした物を指定すること。)

   # echo "******" | saslpasswd2 -p -u mail.saizensen.net -c hoge
   

4. SMTP-Auth用ユーザ名、パスワード確認

   # sasldblistusers2
   

5. ※SMTP-Auth用ユーザ名、パスワードを削除する場合

   # saslpasswd2 -d hoge -u mail.saizensen.net
   

# cd /etc/apache2/sites-available
# cp default virtualhost.net
# vi virtualhost.net

コピペするときは< ／directory>の ／は半角に修正してください。

<virtualhost *:80>
        ServerAdmin webmaster@virtualhost.net
        ServerName virtualhost.net:80
        ServerAlias www.virtualhost.net
 
        DocumentRoot /var/www/virtualhost.net
        <directory />
                Options FollowSymLinks
                AllowOverride None
        < ／directory>
        <directory /var/www/virtualhost.net>
                Options Includes ExecCGI FollowSymLinks
                AllowOverride All
                Order allow,deny
                allow from all
        </directory>
・・・
・・・
        ErrorLog /var/log/apache2/virtualhost_net-error.log
・・・
・・・
        CustomLog /var/log/apache2/virtualhost_net-access.log combined env=!no_log
・・・
</virtualhost>

# mkdir /var/www/virtualhost.net
# chown hoge.hoge /var/www/virtualhost.net
# a2ensite virtualhost.net
# /etc/init.d/apache2 restart

# aptitude install openssl
# aptitude clean openssl
# cd /etc/ssl/
# cp openssl.cnf openssl.cnf.default
# vi openssl.cnf

[usr_cert]
・・・
#nsCertType = server
↓
nsCertType = server
・・・
[v3_ca]
・・・
#nsCertType = sslCA, emailCA
↓
nsCertType = sslCA, emailCA

# cd /usr/lib/ssl/misc/
# ./CA.sh -newca

CA certificate filename (or enter to create) このままEnter

Making CA certificate ...
Generating a 1024 bit RSA private key
................++++++
..........++++++
writing new private key to './demoCA/private/./cakey.pem'
Enter PEM pass phrase: パスフレーズを入力
Verifying - Enter PEM pass phrase: もう一度パスフレーズを入力
-----
(省略)
-----
Country Name (2 letter code) [AU]: JPと入力
State or Province Name (full name) [Some-State]: Tokyoなど
Locality Name (eg, city) []: 地域名(Edogawaなど)
Organization Name (eg, company)
     [Internet Widgits Pty Ltd]: Enter
Organizational Unit Name (eg, section) []: Enter
Common Name (eg, YOUR name) []: WEBサーバー名
Email Address []: Enter

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: Enter
An optional company name []: Enter
Using configuration from /usr/lib/ssl/openssl.cnf
Enter pass phrase for
    ./demoCA/private/./cakey.pem: またパスフレーズ

# openssl rsa -in demoCA/private/cakey.pem -out demoCA/private/cakey.pem

# openssl x509 -in demoCA/cacert.pem -out demoCA/cacert.crt

# mkdir /etc/apache2/ssl
# cp /usr/lib/ssl/misc/demoCA/private/cakey.pem /etc/apache2/ssl
# cp /usr/lib/ssl/misc/demoCA/cacert.crt /etc/apache2/ssl

# vi /etc/apache2/sites-available/default-ssl

<ifmodule mod_ssl.c>
<virtualhost _default_:443>
        ServerAdmin webmaster@saizensen.net
        Servername saizensen.net:443
 
        DocumentRoot /var/www/html
        <directory />
                Options FollowSymLinks
                AllowOverride None
 
        <directory /var/www/html>
                Options Includes ExecCGI FollowSymLinks
                AllowOverride All
                Order allow,deny
                allow from all
        </directory>
・・・
・・・
        CustomLog /var/log/apache2/ssl_access.log combined env=!no_log
・・・
・・・
        SSLCertificateFile /etc/apache2/ssl/cacert.crt
        SSLCertificateKeyFile /etc/apache2/ssl/cakey.pem
・・・
・・・
        <ifmodule mod_rewrite.c>
                RewriteEngine On
                RewriteLog "/var/log/apache2/rewrite_log"
                RewriteLogLevel 0
                RewriteCond %{HTTP_HOST} !saizensen.net$
                RewriteRule ^/(.*)?$ http://%{HTTP_HOST}/$1 [L,R]
        </ifmodule>
</virtualhost>
</ifmodule>

# a2enmod ssl
# a2ensite default-ssl
# /etc/init.d/apache2 restart

無効化するときは、a2dismod, a2dissite を使う。

# a2dissite default-ssl
# a2dismod ssl
# /etc/init.d/apache2 restart

# aptitude install apache2
# aptitude clean

# vi /etc/apache2/conf.d/security

ServerTokens Full
↓
ServerTokens Prod

ServerSignature On
↓
ServerSignature Off

# vi /etc/apache2/mods-enabled/mime.conf

#AddHandler cgi-script .cgi
↓
AddHandler cgi-script .cgi .pl

# vi /etc/apache2/apache2.conf

LogFormat "%v:%p %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
↓
LogFormat "%v:%p %h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
↓
LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

# LogFormat設定群の下へ追記↓
#
# For a single logfile with access, agent, and referer information
# (Combined Logfile Format), use the following directive:
#
SetEnvIf Request_URI "default\.ida" no_log　←　追加(wormからのアクセスをログに記録しない)
SetEnvIf Request_URI "cmd\.exe" no_log　←　〃
SetEnvIf Request_URI "root\.exe" no_log　←　〃
SetEnvIf Request_URI "Admin\.dll" no_log　←　〃
SetEnvIf Request_URI "NULL\.IDA" no_log　←　〃
SetEnvIf Remote_Addr 192.168.0 no_log　←　追加(内部からのアクセスをログに記録しない)
SetEnvIf Remote_Addr 127.0.0.1 no_log　←　追加(自ホストからのアクセスをログに記録しない)
CustomLog /var/log/apache2/access.log combined env=!no_log

CustomLog /var/log/apache2/other_vhosts_access.log vhost_combined
↓
CustomLog /var/log/apache2/other_vhosts_access.log vhost_combined env=!no_log

(admin.saizensen.netも作っておく。)

# vi /etc/apache2/sites-available/default

コピペするときは< ／directory>の ／は半角に修正してください。

<virtualhost *:80>
        ServerAdmin webmaster@saizensen.net
        ServerName saizensen.net:80
        ServerAlias www.saizensen.net
 
        DocumentRoot /var/www/html
        <directory />
                Options FollowSymLinks
                AllowOverride None
        < ／directory>
        <directory /var/www/html>
                Options Includes ExecCGI FollowSymLinks
                AllowOverride All
                Order allow,deny
                allow from all
        </directory>
 
        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </directory>
 
        ErrorLog /var/log/apache2/error.log
 
        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn
 
        CustomLog /var/log/apache2/access.log combined env=!no_log
 
    Alias /doc/ "/usr/share/doc/"
    <directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </directory>
 
</virtualhost>
 
<virtualhost *:80>
        ServerAdmin webmaster@saizensen.net
        ServerName admin.saizensen.net:80
 
        DocumentRoot /var/www/admin
        <directory />
                Options FollowSymLinks
                AllowOverride None
        < ／directory>
        <directory /var/www/admin>
                Options Includes ExecCGI FollowSymLinks
                AllowOverride All
                Order allow,deny
                allow from all
        </directory>
 
        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </directory>
 
        ErrorLog /var/log/apache2/admin-error.log
 
        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn
 
        CustomLog /var/log/apache2/admin-access.log combined env=!no_log
 
    Alias /doc/ "/usr/share/doc/"
    <directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </directory>
 
</virtualhost>

# ln -s /usr/bin/perl /usr/local/bin/perl
# mkdir /var/www/html
# mkdir /var/www/admin
# chown -R hoge.hoge /var/www ← hogeは適当な一般ユーザーへ
# apache2ctl configtest
# /etc/init.d/apache2 restart

# a2enmod include
# /etc/init.d/apache2 restart

# a2enmod rewrite
# /etc/init.d/apache2 restart

# aptitude install libapache2-mod-php5
# aptitude clean
# vi /etc/php5/apache2/php.ini

post_max_size = 8M
↓
post_max_size = 64M

magic_quotes_gpc = On
↓
magic_quotes_gpc = Off

upload_max_filesize = 32M
↓
upload_max_filesize = 64M

# /etc/init.d/apache2 reload

1. .htpasswdファイルを新規作成する場合(hogeは適当な一般ユーザーへ)

   # htpasswd -b -c /etc/apache2/.htpasswd hoge ******
   

2. 既存の.htpasswdファイルへユーザーを追加する場合(hogehogeは適当な一般ユーザーへ)

   # htpasswd -b /etc/apache2/.htpasswd hogehoge ******
   

3. ユーザー登録確認

   # cat /etc/apache2/.htpasswd
   

4. .htaccess作成

   # vi /var/www/admin/.htaccess

   AuthUserFile /etc/apache2/.htpasswd
   AuthGroupFile /dev/null
   AuthName "secret page"
   AuthType Basic
   #require valid-user ←.htpasswdに登録してある全てのユーザー名で認証できるようにする場合
   require user hoge ←.htpasswdに登録してある特定のユーザー名でのみ認証できるようにする場合
   

5. apache再起動

   # /etc/init.d/apache2 reload
   

# vi /etc/apache2/mods-enabled/deflate.conf

<ifmodule mod_deflate.c>
	AddOutputFilterByType DEFLATE text/html text/plain text/xml
	# 送信先ブラウザがNetscape 4.xの場合はtext/htmlのみ圧縮
	BrowserMatch ^Mozilla/4 gzip-only-text/html
	# 送信先ブラウザがNetscape 4.06-4.08の場合は圧縮しない
	BrowserMatch ^Mozilla/4\.0[678] no-gzip
	# 送信先ブラウザがMSIEの場合は全て圧縮する
	BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html
</ifmodule>

# /etc/init.d/apache2 restart

# aptitude install bind9
# aptitude clean

# vi /etc/bind/named.conf.options

options {
        directory "/var/cache/bind";
        version "unknown";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        // forwarders {
        //      0.0.0.0;
        // };

        allow-query { localhost; localnets; };

        forward first;
        forwarders {
                192.168.0.1;
        };

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

# vi /etc/bind/named.conf

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";

// prime the server with knowledge of the root servers
//zone "." {
//      type hint;
//      file "/etc/bind/db.root";
//};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

//zone "localhost" {
//      type master;
//      file "/etc/bind/db.local";
//};

//zone "127.in-addr.arpa" {
//      type master;
//      file "/etc/bind/db.127";
//};

//zone "0.in-addr.arpa" {
//      type master;
//      file "/etc/bind/db.0";
//};

//zone "255.in-addr.arpa" {
//      type master;
//      file "/etc/bind/db.255";
//};

include "/etc/bind/named.conf.local";

# vi /etc/bind/named.conf.local

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

view "internal" {
        match-clients { localhost; localnets; };
        match-destinations { localnets; };
        recursion yes;
        zone "." {
                type hint;
                file "/etc/bind/db.root";
        };
        zone "localhost" {
                type master;
                file "/etc/bind/db.local";
        };
        zone "127.in-addr.arpa" {
                type master;
                file "/etc/bind/db.127";
        };
        zone "0.in-addr.arpa" {
                type master;
                file "/etc/bind/db.0";
        };
        zone "255.in-addr.arpa" {
                type master;
                file "/etc/bind/db.255";
        };
        include "/etc/bind/named.saizensen.net.zone";
};

view "external" {
        match-clients { any; };
        match-destinations { any; };
        recursion no;
        zone "." {
                type hint;
                file "/etc/bind/db.root";
        };
        include "/etc/bind/named.saizensen.net.zone.wan";
};

# vi /etc/bind/named.saizensen.net.zone

zone "saizensen.net" {
        type master;
        file "/etc/bind/saizensen.net.db";
        #allow-update { none; };
};
zone "0.168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/0.168.192.in-addr.arpa.db";
        #allow-update { none; };
};

# vi /etc/bind/named.saizensen.net.zone.wan

zone "saizensen.net" {
        type master;
        file "/etc/bind/saizensen.net.db.wan";
        allow-query { any; };
        #allow-transfer { 123.50.202.226; 38.110.146.192; }; ← セカンダリーネームサーバーとしてマイハマネットを使う場合はコメントアウトを外す。(マイハマネットへ登録後)
        #notify yes; ← セカンダリーネームサーバーとしてマイハマネットを使う場合はコメントアウトを外す。(マイハマネットへ登録後)
        #allow-update { none; };
};
zone "239.249.122.in-addr.arpa" {
        type master;
        file "/etc/bind/239.249.122.in-addr.arpa.db";
        #allow-update { none; };
};

# vi /etc/bind/saizensen.net.db

$TTL    86400
@       IN      SOA     saizensen.net.  root.saizensen.net.(
                        2009080401 ; Serial
                        3600       ; Refresh
                        900        ; Retry
                        604800     ; Expire
                        86400      ; Minimum
)
        IN      NS              saizensen.net.
        IN      MX      10      saizensen.net.
        IN      A               192.168.0.2
@       IN      A               192.168.0.2
mail    IN      A               192.168.0.2
ns      IN      A               192.168.0.2
www     IN      A               192.168.0.2
admin   IN      A               192.168.0.2
test    IN      A               192.168.0.2
*       IN      A               192.168.0.2

# vi /etc/bind/saizensen.net.db.wan

$TTL    86400
@       IN      SOA     ns.saizensen.net. root.saizensen.net.(
                        2009080401      ; serial
                        3600            ; refresh (1 hour)
                        900             ; retry (15 minutes)
                        604800          ; expire (1 week)
                        86400           ; negative (1 day)
)
        IN      NS              ns.saizensen.net.
;        IN      NS              ns1.maihama-net.com. ← セカンダリーネームサーバーとしてマイハマネットを使う場合はコメントアウトを外す。(マイハマネットへ登録後)
;        IN      NS              ns2.maihama-net.com. ← セカンダリーネームサーバーとしてマイハマネットを使う場合はコメントアウトを外す。(マイハマネットへ登録後)
        IN      MX      10      mail.saizensen.net.
ns      IN      A               122.249.239.71
@       IN      A               122.249.239.71
www     IN      A               122.249.239.71
mail    IN      A               122.249.239.71
admin   IN      A               122.249.239.71
test    IN      A               122.249.239.71
saizensen.net. IN TXT "v=spf1 a mx ~all"

# vi /etc/bind/0.168.192.in-addr.arpa.db

$TTL 86400      ; 1 day
@       IN      SOA     ns.saizensen.net. root.saizensen.net.(
                        2009080401 ; serial
                        3600       ; refresh (1 hour)
                        900        ; retry (15 minutes)
                        604800     ; expire (1 week)
                        86400      ; minimum (1 day)
)
        IN      NS      ns.saizensen.net.
2       IN      PTR     ns.saizensen.net.
2       IN      PTR     www.saizensen.net.
2       IN      PTR     mail.saizensen.net.
2       IN      PTR     admin.saizensen.net.
2       IN      PTR     test.saizensen.net.

# vi /etc/bind/239.249.122.in-addr.arpa.db

$TTL    86400
@       IN      SOA     ns.saizensen.net. root.saizensen.net.(
                        2009080401      ; serial
                        3600            ; refresh (1 hour)
                        900             ; retry (15 minutes)
                        604800          ; expire (1 week)
                        86400           ; negative (1 day)
)
        IN      NS              ns.saizensen.net.
71      IN      PTR             saizensen.net.

# /etc/init.d/bind9 restart

# dig saizensen.net
# dig -x 192.168.0.2
# dig www.google.co.jp
# dig -x ***.***.***.*** ← グローバルIP

# vi /etc/network/interfaces

dns-nameservers 192.168.0.1 ← この行を消す

# reboot

# vi /etc/bind/named.conf.local

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

view "internal" {
・・・
・・・
        include "/etc/bind/named.saizensen.net.zone";
        include "/etc/bind/named.virtualhost.net.zone"; ← 追記
};

view "external" {
・・・
・・・
        include "/etc/bind/named.saizensen.net.zone.wan";
        include "/etc/bind/named.virtualhost.net.zone.wan"; ← 追記
};

# vi /etc/bind/named.virtualhost.net.zone

zone "virtualhost.net" {
        type master;
        file "/etc/bind/virtualhost.net.db";
        #allow-update { none; };
};

# vi /etc/bind/named.virtualhost.net.zone.wan

zone "virtualhost.net" {
        type master;
        file "/etc/bind/virtualhost.net.db.wan";
        allow-query { any; };
        #allow-transfer { 123.50.202.226;  38.110.146.192; }; ← セカンダリーネームサーバーとしてマイハマネットを使う場合はコメントアウトを外す。(マイハマネットへ登録後)
        #notify yes; ← セカンダリーネームサーバーとしてマイハマネットを使う場合はコメントアウトを外す。(マイハマネットへ登録後)
        #allow-update { none; };
};

# vi /etc/bind/virtualhost.net.db

$TTL    86400
@       IN      SOA     virtualhost.net.  root.virtualhost.net.(
                        2009080401 ; Serial
                        3600       ; Refresh
                        900        ; Retry
                        604800     ; Expire
                        86400      ; Minimum
)
        IN      NS              virtualhost.net.
        IN      MX      10      virtualhost.net.
        IN      A               192.168.0.2
@       IN      A               192.168.0.2
mail    IN      A               192.168.0.2
ns      IN      A               192.168.0.2
www     IN      A               192.168.0.2
admin   IN      A               192.168.0.2
test    IN      A               192.168.0.2
*       IN      A               192.168.0.2

# vi /etc/bind/virtualhost.net.db.wan

$TTL    86400
@       IN      SOA     ns.virtualhost.net. root.virtualhost.net.(
                        2009080401      ; serial
                        3600            ; refresh (1 hour)
                        900             ; retry (15 minutes)
                        604800          ; expire (1 week)
                        86400           ; negative (1 day)
)
        IN      NS              ns.virtualhost.net.
;        IN      NS              ns1.maihama-net.com. ← セカンダリーネームサーバーとしてマイハマネットを使う場合はコメントアウトを外す。(マイハマネットへ登録後)
;        IN      NS              ns2.maihama-net.com. ← セカンダリーネームサーバーとしてマイハマネットを使う場合はコメントアウトを外す。(マイハマネットへ登録後)
        IN      MX      10      mail.virtualhost.net.
ns      IN      A               122.249.239.71
@       IN      A               122.249.239.71
www     IN      A               122.249.239.71
mail    IN      A               122.249.239.71
admin   IN      A               122.249.239.71
test    IN      A               122.249.239.71
virtualhost.net. IN TXT "v=spf1 a mx ~all"

# /etc/init.d/bind9 restart

# aptitude install clamav clamav-daemon clamav-testfiles clamassassin clamav-freshclam unrar lha

# freshclam

# freshclam -d -c 24

# vi clamscan

#!/bin/bash

LANG=C

PATH=/usr/bin:/bin

# excludeopt setup
excludelist=/root/clamscan.exclude
if [ -s $excludelist ]; then
    for i in `cat $excludelist`
    do
        if [ $(echo "$i"|grep \/$) ]; then
            i=`echo $i|sed -e 's/^\([^ ]*\)\/$/\1/p' -e d`
            excludeopt="${excludeopt} --exclude-dir=$i"
        else
            excludeopt="${excludeopt} --exclude=$i"
        fi
    done
fi

# signature update
freshclam > /dev/null

# virus scan
CLAMSCANTMP=`mktemp`
clamscan --recursive --remove ${excludeopt} / > $CLAMSCANTMP 2>&1
[ ! -z "$(grep FOUND$ $CLAMSCANTMP)" ] && \

# report mail send
grep FOUND$ $CLAMSCANTMP | mail -s "Virus Found in `hostname`" root
rm -f $CLAMSCANTMP

# chmod +x clamscan

# echo "/backup/" >> clamscan.exclude
# echo "/proc/" >> clamscan.exclude
# echo "/sys/" >> clamscan.exclude

# mv clamscan /etc/cron.daily/

# aptitude install tripwire
# aptitude clean

# vi /etc/tripwire/twcfg.txt

以下の様に編集。

LOOSEDIRECTORYCHECKING =true
REPORTLEVEL   =4

# twadmin -m F -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt

# rm -f /etc/tripwire/twcfg.txt

※Tripwire設定ファイルを復元する場合

# twadmin -m f -c /etc/tripwire/tw.cfg > /etc/tripwire/twcfg.txt

# vi /etc/tripwire/twpolmake.pl

#!/usr/bin/perl
# Tripwire Policy File customize tool
# ----------------------------------------------------------------
# Copyright (C) 2003 Hiroaki Izumi
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
# GNU General Public License for more details.
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111-1307, USA.
# ----------------------------------------------------------------
# Usage:
#    perl twpolmake.pl {Pol file}
# ----------------------------------------------------------------
#
$POLFILE=$ARGV[0];
 
open(POL,"$POLFILE") or die "open error: $POLFILE" ;
my($myhost,$thost) ;
my($sharp,$tpath,$cond) ;
my($INRULE) = 0 ;
 
while (<POL>) {
    chomp;
    if (($thost) = /^HOSTNAME\s*=\s*(.*)\s*;/) {
        $myhost = `hostname` ; chomp($myhost) ;
        if ($thost ne $myhost) {
            $_="HOSTNAME=\"$myhost\";" ;
        }
    }
    elsif ( /^{/ ) {
        $INRULE=1 ;
    }
    elsif ( /^}/ ) {
        $INRULE=0 ;
    }
    elsif ($INRULE == 1 and ($sharp,$tpath,$cond) = /^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+)$/) {
        $ret = ($sharp =~ s/\#//g) ;
        if ($tpath eq '/sbin/e2fsadm' ) {
            $cond =~ s/;\s+(tune2fs.*)$/; \#$1/ ;
        }
        if (! -s $tpath) {
            $_ = "$sharp#$tpath$cond" if ($ret == 0) ;
        }
        else {
            $_ = "$sharp$tpath$cond" ;
        }
    }
    print "$_\n" ;
}
close(POL) ;

# perl /etc/tripwire/twpolmake.pl /etc/tripwire/twpol.txt > /etc/tripwire/twpol.txt.new

# twadmin -m P -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key /etc/tripwire/twpol.txt.new

# rm -f /etc/tripwire/twpol.txt*

※ポリシーファイルを復元する場合

# twadmin -m p -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key > /etc/tripwire/twpol.txt

# tripwire -m i -s -c /etc/tripwire/tw.cfg

# tripwire -m c -s -c /etc/tripwire/tw.cfg

# vi tripwire.sh

#!/bin/bash

LANG=C

PATH=/usr/sbin:/usr/bin:/bin

# パスフレーズ設定
LOCALPASS=****** # ローカルパスフレーズ
SITEPASS=******  # サイトパスフレーズ  

cd /etc/tripwire

# Tripwireチェック実行
tripwire -m c -s -c tw.cfg|mail -s "Tripwire(R) Integrity Check Report in `hostname`" root

# ポリシーファイル最新化
twadmin -m p -c tw.cfg -p tw.pol -S site.key > twpol.txt
perl twpolmake.pl twpol.txt > twpol.txt.new
twadmin -m P -c tw.cfg -p tw.pol -S site.key -Q $SITEPASS twpol.txt.new > /dev/null
rm -f twpol.txt* *.bak

# データベース最新化
rm -f /var/lib/tripwire/*.twd*
tripwire -m i -s -c tw.cfg -P $LOCALPASS

# chmod 700 tripwire.sh

# crontab -e

0 3 * * * /root/tripwire.sh ← 追記(毎日午前3時に実行)

# chmod -x /etc/cron.daily/tripwire

# aptitude install chkrootkit
# aptitude clean

chkrootkit実行

# chkrootkit | grep INFECTED

実行結果として、”INFECTED”という行が表示されなければ問題なし

# vi chkrootkit

#!/bin/bash

LANG=C

PATH=/usr/bin:/bin:/usr/sbin

TMPLOG=`mktemp`

# chkrootkit実行
chkrootkit > $TMPLOG

# ログ出力
cat $TMPLOG | logger -t chkrootkit

# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
   [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
        sed -i '/465/d' $TMPLOG
fi

# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root

rm -f $TMPLOG

# chmod 700 chkrootkit
# mv chkrootkit /etc/cron.daily/

# mkdir chkrootkitcmd
# cp `which -a awk cut echo egrep find head id ls netstat ps strings sed uname` chkrootkitcmd/

退避したchkrootkit使用コマンドを使用してchkrootkit実行

# chkrootkit -p /root/chkrootkitcmd|grep INFECTED
# aptitude install zip sharutils
# zip -r chkrootkitcmd.zip chkrootkitcmd/
# rm -rf chkrootkitcmd
# uuencode chkrootkitcmd.zip chkrootkitcmd.zip|mail root
# rm -f chkrootkitcmd.zip

# vi /etc/network/if-post-down.d/iptables-down

#!/bin/sh

LANG=C

# iptablesコマンドのパス
IPTABLES='/sbin/iptables'

# 初期化
$IPTABLES -F
$IPTABLES -Z
$IPTABLES -X

# 基本ポリシー(全部通過)
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

# chmod 700 /etc/network/if-post-down.d/iptables-down

# vi /etc/network/if-pre-up.d/iptables-up

#!/bin/sh -e

CONFIG=/etc/iptables/filter.rule

. /lib/lsb/init-functions

[ -x /sbin/iptables ] || exit 0
[ -e ${CONFIG} ] || exit 0

iptables-restore $CONFIG

# chmod 700 /etc/network/if-pre-up.d/iptables-up

# vi /root/iptables.sh

#!/bin/bash

LANG=C

#---------------------------------------#
# 設定開始                              #
#---------------------------------------#

# インタフェース名定義
LAN=eth0

#---------------------------------------#
# 設定終了                              #
#---------------------------------------#

# 内部ネットワークのネットマスク取得
LOCALNET_MASK=`ifconfig $LAN|sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d`

# 内部ネットワークアドレス取得
LOCALNET_ADDR=`netstat -rn|grep $LAN|grep $LOCALNET_MASK|cut -f1 -d' '`
LOCALNET=$LOCALNET_ADDR/$LOCALNET_MASK

# 初期化
iptables -F
iptables -Z
iptables -X

# デフォルトルール(以降のルールにマッチしなかった場合に適用するルール)設定
iptables -P INPUT   DROP   # 受信はすべて破棄
iptables -P OUTPUT  ACCEPT # 送信はすべて許可
iptables -P FORWARD DROP   # 通過はすべて破棄

# 自ホストからのアクセスをすべて許可
iptables -A INPUT -i lo -j ACCEPT

# 内部からのアクセスをすべて許可
iptables -A INPUT -s $LOCALNET -j ACCEPT

# 内部から行ったアクセスに対する外部からの返答アクセスを許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# SYN Cookiesを有効にする
# ※TCP SYN Flood攻撃対策
sysctl -w net.ipv4.tcp_syncookies=1 > /dev/null
sed -i '/net.ipv4.tcp_syncookies/d' /etc/sysctl.conf
echo "net.ipv4.tcp_syncookies=1" >> /etc/sysctl.conf

# ブロードキャストアドレス宛pingには応答しない
# ※Smurf攻撃対策
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 > /dev/null
sed -i '/net.ipv4.icmp_echo_ignore_broadcasts/d' /etc/sysctl.conf
echo "net.ipv4.icmp_echo_ignore_broadcasts=1" >> /etc/sysctl.conf

# ICMP Redirectパケットは拒否
sed -i '/net.ipv4.conf.*.accept_redirects/d' /etc/sysctl.conf
for dev in `ls /proc/sys/net/ipv4/conf/`
do
    sysctl -w net.ipv4.conf.$dev.accept_redirects=0 > /dev/null
    echo "net.ipv4.conf.$dev.accept_redirects=0" >> /etc/sysctl.conf
done

# Source Routedパケットは拒否
sed -i '/net.ipv4.conf.*.accept_source_route/d' /etc/sysctl.conf
for dev in `ls /proc/sys/net/ipv4/conf/`
do
    sysctl -w net.ipv4.conf.$dev.accept_source_route=0 > /dev/null
    echo "net.ipv4.conf.$dev.accept_source_route=0" >> /etc/sysctl.conf
done

# フラグメント化されたパケットはログを記録して破棄
iptables -A INPUT -f -j LOG --log-prefix '[IPTABLES FRAGMENT] : '
iptables -A INPUT -f -j DROP

# 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
# ※不要ログ記録防止
iptables -A INPUT -s ! $LOCALNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
iptables -A INPUT -s ! $LOCALNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
iptables -A OUTPUT -d ! $LOCALNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
iptables -A OUTPUT -d ! $LOCALNET -p udp -m multiport --sports 135,137,138,139,445 -j DROP

# 1秒間に4回を超えるpingはログを記録して破棄
# ※Ping of Death攻撃対策
iptables -N LOG_PINGDEATH
iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A LOG_PINGDEATH -j LOG --log-prefix '[IPTABLES PINGDEATH] : '
iptables -A LOG_PINGDEATH -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH

# 全ホスト(ブロードキャストアドレス、マルチキャストアドレス)宛パケットはログを記録せずに破棄
# ※不要ログ記録防止
iptables -A INPUT -d 255.255.255.255 -j DROP
iptables -A INPUT -d 224.0.0.1 -j DROP

# 113番ポート(IDENT)へのアクセスには拒否応答
# ※メールサーバ等のレスポンス低下防止
iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset

# ACCEPT_COUNTRY_MAKE関数定義
# 指定された国のIPアドレスからのアクセスを許可するユーザ定義チェイン作成
ACCEPT_COUNTRY_MAKE(){
    for addr in `cat /tmp/cidr.txt|grep ^$1|awk '{print $2}'`
    do
        iptables -A ACCEPT_COUNTRY -s $addr -j ACCEPT
    done
}

# DROP_COUNTRY_MAKE関数定義
# 指定された国のIPアドレスからのアクセスを破棄するユーザ定義チェイン作成
DROP_COUNTRY_MAKE(){
    for addr in `cat /tmp/cidr.txt|grep ^$1|awk '{print $2}'`
    do
        iptables -A DROP_COUNTRY -s $addr -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES DENY_COUNTRY] : '
        iptables -A DROP_COUNTRY -s $addr -j DROP
    done
}

# IPアドレスリスト取得
. /root/iptables_functions
IPLISTGET

# 日本からのアクセスを許可するユーザ定義チェインACCEPT_COUNTRY作成
iptables -N ACCEPT_COUNTRY
ACCEPT_COUNTRY_MAKE JP
# 以降,日本からのみアクセスを許可したい場合はACCEPTのかわりにACCEPT_COUNTRYを指定する

# 中国・韓国・台湾※からのアクセスをログを記録して破棄
# ※全国警察施設への攻撃元上位３カ国(日本・アメリカを除く)
# http://www.cyberpolice.go.jp/detect/observation.htmlより
iptables -N DROP_COUNTRY
DROP_COUNTRY_MAKE CN
DROP_COUNTRY_MAKE KR
DROP_COUNTRY_MAKE TW
iptables -A INPUT -j DROP_COUNTRY

#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここから)               #
#----------------------------------------------------------#

# 外部からのTCP22番ポート(SSH)へのアクセスを日本からのみ許可
# ※SSHサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 22 -j ACCEPT_COUNTRY

# 外部からのTCP/UDP53番ポート(DNS)へのアクセスを許可
# ※外部向けDNSサーバーを運用する場合のみ
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

# 外部からのTCP80番ポート(HTTP)へのアクセスを許可
# ※Webサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 外部からのTCP443番ポート(HTTPS)へのアクセスを許可
# ※Webサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 外部からのTCP21番ポート(FTP)へのアクセスを日本からのみ許可
# ※FTPサーバーを公開する場合のみ
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT_COUNTRY

# 外部からのPASV用ポート(FTP-DATA)へのアクセスを日本からのみ許可
# ※FTPサーバーを公開する場合のみ
# ※PASV用ポート60000:60030は当サイトの設定例
#iptables -A INPUT -p tcp --dport 60000:60030 -j ACCEPT_COUNTRY

# 外部からのTCP25番ポート(SMTP)へのアクセスを許可
# ※SMTPサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 25 -j ACCEPT

# 外部からのTCP587番ポート(SMTP-SubmissionPort)へのアクセスを日本からのみ許可
# ※SMTPサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 587 -j ACCEPT_COUNTRY

# 外部からのTCP465番ポート(SMTPS)へのアクセスを日本からのみ許可
# ※SMTPSサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 465 -j ACCEPT_COUNTRY

# 外部からのTCP110番ポート(POP3)へのアクセスを日本からのみ許可
# ※POP3サーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 110 -j ACCEPT_COUNTRY

# 外部からのTCP995番ポート(POP3S)へのアクセスを日本からのみ許可
# ※POP3Sサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 995 -j ACCEPT_COUNTRY

# 外部からのTCP143番ポート(IMAP)へのアクセスを日本からのみ許可
# ※IMAPサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 143 -j ACCEPT_COUNTRY

# 外部からのTCP993番ポート(IMAPS)へのアクセスを日本からのみ許可
# ※IMAPSサーバーを公開する場合のみ
iptables -A INPUT -p tcp --dport 993 -j ACCEPT_COUNTRY

# 外部からのUDP1194番ポート(OpenVPN)へのアクセスを日本からのみ許可
# ※OpenVPNサーバーを公開する場合のみ
iptables -A INPUT -p udp --dport 1194 -j ACCEPT_COUNTRY

# VPNインタフェース用ファイアウォール設定
# ※OpenVPNサーバーを公開する場合のみ
[ -f /etc/openvpn/openvpn-startup ] && /etc/openvpn/openvpn-startup

#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここまで)               #
#----------------------------------------------------------#

# 拒否IPアドレスからのアクセスはログを記録せずに破棄
# ※拒否IPアドレスは/root/deny_ipに1行ごとに記述しておくこと
# (/root/deny_ipがなければなにもしない)
if [ -s /root/deny_ip ]; then
    for ip in `cat /root/deny_ip`
    do
        iptables -I INPUT -s $ip -j DROP
    done
fi

# 上記のルールにマッチしなかったアクセスはログを記録して破棄
iptables -A INPUT -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES INPUT] : '
iptables -A INPUT -j DROP
iptables -A FORWARD -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES FORWARD] : '
iptables -A FORWARD -j DROP

iptables-save > /etc/iptables/filter.rule

# chmod 700 /root/iptables.sh

# vi /root/iptables_functions

LANG=C

# IPアドレスリスト取得関数定義
IPLISTGET(){
    # http://nami.jp/ipv4bycc/から最新版IPアドレスリストを取得する
    wget -q http://nami.jp/ipv4bycc/cidr.txt.gz
    gunzip cidr.txt.gz
    # 最新版IPアドレスリストが取得できなかった場合
    if [ ! -f cidr.txt ]; then
        if [ -f /tmp/cidr.txt ]; then
            # バックアップがある場合はその旨をroot宛にメール通知して処理を打ち切る
            echo cidr.txt was read from the backup! | mail -s $0 root
            exit 1
        else
            # バックアップがない場合はその旨をroot宛にメール通知して処理を打ち切る
            echo cidr.txt not found!|mail -s $0 root
            exit 1
        fi
    fi
    # 最新版IPアドレスリストを /tmpへバックアップする
    /bin/mv cidr.txt /tmp/cidr.txt
}

# vi /etc/cron.daily/iplist_check.sh

#!/bin/bash

LANG=C

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# チェック国コード
COUNTRY_CODE='JP CN KR TW'

# iptables設定スクリプトパス
IPTABLES=/root/iptables.sh
# iptables設定スクリプト外部関数取り込み
. /root/iptables_functions

# IPアドレスリスト最新化
rm -f IPLIST.new
IPLISTGET
for country in $COUNTRY_CODE
do
    if [ -f /tmp/cidr.txt ]; then
        grep ^$country /tmp/cidr.txt >> IPLIST.new
    else
        grep ^$country /tmp/IPLIST >> IPLIST.new
    fi
done

# IPアドレスリスト更新チェック
diff -q /tmp/IPLIST IPLIST.new > /dev/null 2>&1
if [ $? -ne 0 ]; then
    /bin/mv IPLIST.new /tmp/IPLIST
    $IPTABLES > /dev/null
else
    rm -f IPLIST.new
fi

# chmod +x /etc/cron.daily/iplist_check.sh

# mkdir /etc/iptables

# /root/iptables.sh
# iptables -L

# vi /etc/init.d/iptables

#!/bin/sh -e

CONFIG=/etc/iptables/filter.rule

. /lib/lsb/init-functions

[ -x /sbin/iptables ] || exit 0
[ -e ${CONFIG} ] || exit 0

case "$1" in
start)
       log_daemon_msg "Configuration iptables"
       iptables-restore $CONFIG
       ;;

stop)
       log_daemon_msg "Deconfiguration iptables"
       iptables -F
       iptables -Z
       iptables -X
       iptables -P INPUT   ACCEPT
       iptables -P OUTPUT  ACCEPT
       iptables -P FORWARD ACCEPT
       ;;

*)
       echo "Usage: /etc/init.d/iptables {start|stop}"
       exit 1
       ;;
esac

exit 0

# chmod +x /etc/init.d/iptables

# aptitude install sudo
# aptitude clean

# visudo

hogeは適当な一般ユーザーへ

# User privilege specification
root    ALL=(ALL) ALL
hoge    ALL=(ALL) ALL

# aptitude install ntpdate
# aptitude clean

ntpサーバーを設定するなら/etc/default/ntpdateを編集。デフォルトのままでも使えるので私は未編集。

# vi /etc/default/ntpdate

cronへ登録。

# crontab -e

0 * * * * /etc/network/if-up.d/ntpdate > /dev/null

# vi /etc/apt/sources.list

deb http://ftp.jp.debian.org/debian lenny main contrib non-free
deb-src http://ftp.jp.debian.org/debian lenny main contrib non-free
deb http://security.debian.org lenny/updates main contrib non-free
deb-src http://security.debian.org lenny/updates main contrib non-free
deb http://ftp.jp.debian.org/debian-volatile lenny/volatile main contrib
deb-src http://ftp.jp.debian.org/debian-volatile lenny/volatile main contrib
deb http://www.jp.backports.org lenny-backports main contrib non-free
deb-src http://www.jp.backports.org lenny-backports main contrib non-free

# aptitude install debian-backports-keyring
# aptitude update
# aptitude upgrade

# aptitude install ssh
# aptitude clean

1. PuTTY付属の「puttygen.exe」を実行します。
2. 鍵の種類を選択します。SSH1よりSSH2が、DSAよりRSAが安全です。「Parameters」から[SSH-2 RSA]を選択し、「Generate」を押します。
3. 乱数を生成します。マウスカーソルをダイアログ上でぐりぐりと動かし続けます。
4. パスフレーズを入力します。パスフレーズはパスワードと違い文字制限が無く、スペースも有効です。
5. 鍵を保存します。秘密鍵は「Save private key」、公開鍵は「Save public key」を押し、保存します。ここでは秘密鍵を「ssh2_rsa.ppk」、公開鍵を「ssh2_rsa.pub」と保存しました。

1. ログインする一般ユーザーティレクトリ直下に「.ssh」ディレクトリが無ければ作成します。パーミッションは700にします。

   $ mkdir .ssh
   $ chmod 700 .ssh
   

2. 公開鍵「ssh2_rsa.pub」を、WinSCPなどで一般ユーザのホームディレクトリの「.ssh」へコピーします。
3. PuTTYで作成した公開鍵を、OpenSSH用に変換します。

   $ cd .ssh
   $ ssh-keygen -i -f ssh2_rsa.pub >> authorized_keys
   

4. authorized_keysのパーミッションを600にします。

   $ chmod 600 authorized_keys
   

5. 変換前のファイルを削除します。

   $ rm ssh2_rsa.pub
   

# vi /etc/ssh/sshd_config

PermitRootLogin yes
↓
PermitRootLogin no

#PasswordAuthentication yes
↓
PasswordAuthentication no

• まず、2台のHD両方とも同じ設定にする(パーティション設定)↓

  sda
  	1. 基本		128MB		B	K	raid	(起動フラグON)
  	2. 基本		残り容量		K	raid
  sdb
  	1. 基本		128MB		B	K	raid	(起動フラグON)
  	2. 基本		残り容量		K	raid
  

• パーティションを切ったら、「ソフトウェアRAIDの設定」を選択。
• 「MDデバイスの作成」を選択。
• 「RAID1」を選択。
• 「RAID1アレイのアクティブデバイスの数」に「2」を入力する。
• 「RAID1アレイのスペアデバイスの数」に「0」を入力する。
• 「RAID1マルチディスクデバイスのアクティブデバイス」に「/dev/sda1」と「/dev/sdb1」を選択する。
• 上の「MDデバイスの作成」から「RAID1マルチディスクデバイスのアクティブデバイス設定」と同じ事をもう一度行う。2度目は「/dev/sda2」と「/dev/sdb2」と設定する。
• RAID1デバイス0をマウントポイント「/boot」と設定。
• RAID1デバイス1を「LVM」と設定。
• 「論理ボリュームの設定」を選択。
• 「論理ボリュームの作成」を選択。ボリュームグループ名を「VolGroup00」として作成。
• 「論理ボリュームの作成」を選択。「VolGroup00」を選択し、論理ボリューム名「LogVol00」として2048MBの領域を作成。
• 「論理ボリュームの作成」を選択。「VolGroup00」を選択し、論理ボリューム名「LogVol01」として残り全容量で領域を作成。
• 2048MBの容量を「swap」としてマウント設定。残り全容量領域を「/」としてマウント。

• RAID状況を確認

  # df -h
  # cat /proc/mdstat
  # mdadm --detail /dev/md0
  # mdadm --detail /dev/md1 (Rebuild Statusが100%になって同期処理が完了するまで待った方がいいのかも？一応放置して待ってみた。)
  

• RAID異常時、メール送信先を設定する。

  # vi /etc/mdadm/mdadm.conf

  MAILADDR hogehoge@gmail.com

  hogehoge@gmail.comは適当なメールアドレスへ変えてね。

# aptitude install vim
# aptitude clean

vimを標準エディターへ設定。

# update-alternatives --config editor

There are 4 alternatives which provide `editor'.

  Selection    Alternative
-----------------------------------------------
          1    /bin/ed
*+        2    /bin/nano
          3    /usr/bin/vim.tiny
          4    /usr/bin/vim.basic

Press enter to keep the default[*], or type selection number: 3  ←選択します。
Using `/usr/bin/vim.tiny' to provide `editor'.

• 日本後表示しない設定にする場合。(英語表示のみ)

  # dpkg-reconfigure locales
  

  を実行し、どのロケールをシステム標準にするか (Default locale for the system environment) という質問で「なし (None)」を選択します。
  次に /etc/default/locale かつ /etc/environment に

  LANG=C
  

  を設定または LANG をコメントアウトします。

• 日本後表示する場合。

  # modprobe vga16fb
  # jfbterm -c UTF-8
  # export LANG=ja_JP.UTF-8
  # vi /etc/modules
  

  # at boot time, one per line. Lines beginning with "#" are ignored.
  
  loop
  vga16fb ←追加
  

# vi /etc/aliases

root: hoge
↓
root: hogehoge@gmail.com

# newaliases

# groupadd -g 11 wheel
# usermod -G wheel hoge
# vi /etc/pam.d/su

# auth       required   pam_wheel.so
↓
auth       required   pam_wheel.so

• [IPアドレス設定]

  # vi /etc/network/interfaces
  

  # This file describes the network interfaces available on your system
  # and how to activate them. For more information, see interfaces(5).
  
  # The loopback network interface
  auto lo
  iface lo inet loopback
  
  # The primary network interface
  allow-hotplug eth0
  iface eth0 inet static
  address 192.168.0.2
  network 192.168.0.0
  netmask 255.255.255.0
  broadcast 192.168.0.255
  gateway 192.168.0.1
  

  # /etc/init.d/networking restart
  

• [resolv.conf設定]

  # vi /etc/resolv.conf
  

  search saizensen.net
  nameserver 192.168.0.1
  

• [resolvconfインストール]

  # aptitude install resolvconf
  

  (/etc/resolv.confはシンボリックリンクに変わります。resolvconfに対する設定は/etc/network/interfacesで行います。)

  # vi /etc/network/interfaces　へ追記。
  

  dns-search saizensen.net
  dns-nameservers 192.168.0.1
  

  # /etc/init.d/networking restart
  

• [/etc/hosts設定]

  # vi /etc/hosts
  

  /etc/hostsの127.0.0.1の行を以下の様に編集。

  127.0.0.1		localhost.localdomain	localhost	debian.saizensen.net
  

  # reboot
  

$ ls -li

$ find . -inum 99999 -ok mv '{}' hoge.txt \;

変更してよければ”y”で続行。
99999はi-node番号。
文字化けしたファイルをhoge.txtへ変更する。

$ rm hoge.txt