CentOS勉強中のオイラ
opensslでCA証明書作成にチャレンジ中!
途中の工程で
CA -newca
と入力してフォルダなどが作られるが、スクリプトの実行中に「Ctrl+C」で止めてしまった。。。
Locality Name (eg, city) [Newbury]:
[1]+ Stopped CA -newca
再度実行すると、
mkdir: ディレクトリ `./CA’ を作成できません: ファイルが存在します
mkdir: ディレクトリ `./CA/certs’ を作成できません: ファイルが存在します
mkdir: ディレクトリ `./CA/crl’ を作成できません: ファイルが存在します
mkdir: ディレクトリ `./CA/newcerts’ を作成できません: ファイルが存在します
mkdir: ディレクトリ `./CA/private’ を作成できません: ファイルが存在します
おっ、怒られたっす。
とりあえず、作成されたCAディレクトリを削除してもう一度実行したところ、ちゃんとできました。
CentOSに少し慣れつつある?今日この頃ですが、ふとwww「あり」と「なし」の挙動について確認してみた。
私の管理しているこのドメイン「good-life-space.com」
「http://good-life-space.com」にアクセスすると403エラーが出てました。
特にwwwサイトありませんが、「http://good-life-space.com」を「http://www.good-life-space.com」に転送することにしてみました。
参考にしたのは、こちらのサイト
■「www あり」「www なし」を 301 リダイレクトで統一する設定方法まとめ (Apache, pound) – Nire.Com
バーチャルホストのファイル“/etc/httpd/conf.d/virtualhost-good-life-space.com.conf”に追記しました。
<VirtualHost *:80>
ServerName good-life-space.com
Redirect permanent / http://www.good-life-space.com/
</VirtualHost>
追記の後に、httpd再起動で完了です。
今のところ、こんなページが表示されます。
いつものごとく、以下のサイトを参照
★DNSサーバー構築(BIND) – CentOSで自宅サーバー構築
先ずはBINDをインストール
yum -y install bind bind-chroot caching-nam
実行結果はこんな感じ。
Loaded plugins: fastestmirror, priorities
Loading mirror speeds from cached hostfile
* rpmforge: fr2.rpmfind.net
* base: www.ftp.ne.jp
* updates: www.ftp.ne.jp
* addons: www.ftp.ne.jp
* extras: www.ftp.ne.jp
rpmforge | 1.1 kB 00:00
base | 1.1 kB 00:00
updates | 951 B 00:00
addons | 951 B 00:00
extras | 1.1 kB 00:00
401 packages excluded due to repository priority protections
Setting up Install Process
Parsing package install arguments
Package 30:bind-9.3.4-10.P1.el5_3.3.i386 already installed and latest version
Package 30:bind-chroot-9.3.4-10.P1.el5_3.3.i386 already installed and latest version
Resolving Dependencies
–> Running transaction check
—> Package caching-nameserver.i386 30:9.3.4-10.P1.el5_3.3 set to be updated
–> Finished Dependency ResolutionDependencies Resolved
=============================================================================================================================================================
Package Arch Version Repository Size
=============================================================================================================================================================
Installing:
caching-nameserver i386 30:9.3.4-10.P1.el5_3.3 updates 59 kTransaction Summary
=============================================================================================================================================================
Install 1 Package(s)
Update 0 Package(s)
Remove 0 Package(s)Total download size: 59 k
Downloading Packages:
caching-nameserver-9.3.4-10.P1.el5_3.3.i386.rpm | 59 kB 00:00
Running rpm_check_debug
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : caching-nameserver [1/1]Installed: caching-nameserver.i386 30:9.3.4-10.P1.el5_3.3
Complete!
設定ファイルコピー
cp /var/named/chroot/etc/named.caching-nameserver.conf /var/named/chroot/etc/named.conf
設定ファイル編集
vi /var/named/chroot/etc/named.conf
こんな感じになったっす。
//
// named.caching-nameserver.conf
//
// Provided by Red Hat caching-nameserver package to configure the
// ISC BIND named(8) DNS server as a caching only nameserver
// (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// DO NOT EDIT THIS FILE – use system-config-bind or an editor
// to create named.conf – edits to this file will be lost on
// caching-nameserver package upgrade.
//options {
#listen-on port 53 { 127.0.0.1; };
#listen-on-v6 port 53 { ::1; };
version “unknown”;
directory “/var/named”;
dump-file “/var/named/data/cache_dump.db”;
statistics-file “/var/named/data/named_stats.txt”;
memstatistics-file “/var/named/data/named_mem_stats.txt”;// Those options should be used carefully because they disable port
// randomization
query-source port 53;
query-source-v6 port 53;
allow-query { localhost; localnets; };
//allow-recursion{ localnets; };
//allow-transfer{ localnets; };
forwarders{
192.168.1.1;
};
};
logging {
channel default_debug {
file “data/named.run”;
severity dynamic;
};
};
view localhost_resolver {
match-clients { localhost; };
match-destinations { localhost; };
recursion yes;
include “/etc/named.rfc1912.zones”;
include “/etc/named.good-life-space.com.zone”;
};
view “internal” {
match-clients { localnets; };
match-destinations { localnets; };
recursion yes;
include “/etc/named.rfc1912.zones”;
include “/etc/named.good-life-space.com.zone”;
};
次にゾーンファイル作成
vi /var/named/chroot/etc/named.good-life-space.com.zone
これまたこんな感じになってます。
zone “good-life-space.com” {
type master;
file “good-life-space.com.db”;
};
zone “1.168.192.in-addr.arpa” {
type master;
file “1.168.192.in-addr.arpa.db”;
};
ルートゾーン最新化とルートゾーン自動更新スクリプトの作成もページを参考に実施。
で、内部向け正引きゾーンデータベース作成
vi /var/named/chroot/var/named/good-life-space.com.db
大体こんな感じ
$TTL 86400
@ IN SOA good-life-space.com. root.good-life-space.com.(
2009081601 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS good-life-space.com.
IN MX 10 good-life-space.com.
@ IN A 192.168.1.XX
* IN A 192.168.1.XX
で、内部向け逆引きゾーンデータベース作成
vi /var/named/chroot/var/named/12.168.192.in-addr.arpa.db
こんな感じ
$TTL 86400
@ IN SOA good-life-space.com. root.good-life-space.com.(
2009081601 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS good-life-space.com.
XX IN PTR good-life-space.com.
でBIND起動!
/etc/rc.d/init.d/named start
named を起動中: [失敗]
ありゃ?失敗。。。
none:0: open: /etc/named.conf: permission denied
権限かな。
-rw-r—– 1 root root 1562 8月 16 02:50 named.conf
権限変更。
chown root:named /var/named/chroot/etc/named.conf
で再度実行
/etc/rc.d/init.d/named start
named を起動中: [ OK ]
おっ、起動した。
自動起動の設定も実施。
chkconfig named on
chkconfig –list named
named 0:off 1:off 2:on 3:on 4:on 5:on 6:
YahooでDNSテストして見た。
dig www.yahoo.co.jp
; <<>> DiG 9.3.4-P1 <<>> www.yahoo.co.jp
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11560
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 2, ADDITIONAL: 2;; QUESTION SECTION:
;www.yahoo.co.jp. IN A;; ANSWER SECTION:
www.yahoo.co.jp. 107 IN A 124.83.139.191
www.yahoo.co.jp. 107 IN A 124.83.139.192
www.yahoo.co.jp. 107 IN A 124.83.147.202
www.yahoo.co.jp. 107 IN A 124.83.147.203
www.yahoo.co.jp. 107 IN A 124.83.147.204
www.yahoo.co.jp. 107 IN A 124.83.147.205
www.yahoo.co.jp. 107 IN A 124.83.167.212
www.yahoo.co.jp. 107 IN A 203.216.227.176
www.yahoo.co.jp. 107 IN A 203.216.235.154
www.yahoo.co.jp. 107 IN A 203.216.235.201
www.yahoo.co.jp. 107 IN A 203.216.243.218
www.yahoo.co.jp. 107 IN A 203.216.247.225
www.yahoo.co.jp. 107 IN A 203.216.247.249;; AUTHORITY SECTION:
yahoo.co.jp. 407 IN NS ns04.ops.ogk.yahoo.co.jp.
yahoo.co.jp. 407 IN NS dnsg01.yahoo.co.jp.;; ADDITIONAL SECTION:
ns04.ops.ogk.yahoo.co.jp. 21995 IN A 124.83.218.185
dnsg01.yahoo.co.jp. 48646 IN A 211.14.12.10;; Query time: 20 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Aug 16 03:05:14 2009
;; MSG SIZE rcvd: 321
完了です。
セキュリティが怖い?昨今、なんとなくrootkit検知ツールを導入してみました。
参考にしたのはいつもの、
rootkit検知ツール導入(chkrootkit) – CentOSで自宅サーバー構築
先ずは“RPMforgeリポジトリ”とやらをインストールするらしい。
RPMforgeリポジトリ導入(RPMforge) – CentOSで自宅サーバー構築
yum -y install yum-priorities
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: www.ftp.ne.jp
* updates: www.ftp.ne.jp
* addons: www.ftp.ne.jp
* extras: www.ftp.ne.jp
base | 1.1 kB 00:00
updates | 951 B 00:00
addons | 951 B 00:00
extras | 1.1 kB 00:00
Setting up Install Process
Parsing package install arguments
Resolving Dependencies
–> Running transaction check
—> Package yum-priorities.noarch 0:1.1.16-13.el5.centos set to be updated
–> Finished Dependency ResolutionDependencies Resolved
=========================================================================================================================
Package Arch Version Repository Size
=========================================================================================================================
Installing:
yum-priorities noarch 1.1.16-13.el5.centos base 14 kTransaction Summary
=========================================================================================================================
Install 1 Package(s)
Update 0 Package(s)
Remove 0 Package(s)Total download size: 14 k
Downloading Packages:
yum-priorities-1.1.16-13.el5.centos.noarch.rpm | 14 kB 00:00
Running rpm_check_debug
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : yum-priorities [1/1]Installed: yum-priorities.noarch 0:1.1.16-13.el5.centos
Complete!
でもって、
vi /etc/yum.repos.d/CentOS-Base.repo
参照サイトを参考にファイルを修正
priority=1
を
[base]
[updates]
[addons]
[extras]
の
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5
下に挿入
rpm –import http://dag.wieers.com/rpm/packages/RPM-GPG-KEY.dag.txt
と
rpm -ivh http://apt.sw.be/redhat/el5/en/i386/RPMS.dag/rpmforge-release-0.3.6-1.el5.rf.i386.rpm
http://apt.sw.be/redhat/el5/en/i386/RPMS.dag/rpmforge-release-0.3.6-1.el5.rf.i386.rpm を取得中
準備中… ########################################### [100%]
1:rpmforge-release ########################################### [100%]
を実行。
元のページに戻って
chkrootkit | grep INFECTED
を実行。
おっ、何も出ないってことは大丈夫そう。
そのまま“chkrootkit定期自動実行設定”と“chkrootkitで使用する安全なコマンドの確保”もやってみた。
ん~、ちょっと理解できてない部分に突入です。。。
NTPサーバの設定をしてみました。
サーバの参照先は
インターネットマルチフィード時刻情報サービス for Public
を利用。
vi /etc/ntp.conf
を修正。
server 0.centos.pool.ntp.org
server 1.centos.pool.ntp.org
server 2.centos.pool.ntp.org
を
#server 0.centos.pool.ntp.org
#server 1.centos.pool.ntp.org
#server 2.centos.pool.ntp.org
server ntp1.jst.mfeed.ad.jp
server ntp2.jst.mfeed.ad.jp
server ntp3.jst.mfeed.ad.jp
に変更してみました。
先ずは、手動で同期。
ntpdate ntp1.jst.mfeed.ad.jp
サービス起動。
/etc/rc.d/init.d/ntpd start
ntpd を起動中: [ OK ]
自動起動の設定。
# chkconfig ntpd on
# chkconfig –list ntpd
ntpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
しばらく経ってから確認。
ntpq -p
同期すると※印がつきます。
remote refid st t when poll reach delay offset jitter
==============================================================================
+ntp1.jst.mfeed. 210.173.160.86 2 u 22 128 377 14.693 -2.838 5.525
*ntp2.jst.mfeed. 133.243.236.19 2 u 62 128 377 14.141 -6.675 2.114
+ntp3.jst.mfeed. 210.173.160.56 2 u 73 128 377 15.052 -5.698 3.151
LOCAL(0) .LOCL. 10 l 8 64 377 0.000 0.000 0.001