サーバー管理
Apache+OpenSSLをご利用時に、Apache起動時のSSLのパスワードを取る方法
日本ベリサインで取得していただいた、秘密鍵をインストール後、アパッチの再起動を行うと、SSL起動時に毎回パスワードが聞かれます。
セキュリティはこちらの方が高いのですが、何かのタイミングで自動再起動した場合等に、wwwサーバーが起動しなくなりますので、注意が必要です。
そこで、以下の方法でパスワードなしで起動することが可能です。。
キーファイル名 2011key.pem からパスをとる方法をご紹介します。
2011key.pem はお客様の環境に応じて、変更してください。
# cd /etc/ssl/key ←カレントディレクトリをSSL鍵の位置へ移動
# /usr/bin/openssl rsa -in ./2011key.pem -out ./2011key_nopass.pem ←パスフレーズなしの鍵を生成:2011key_nopass.pemが生成されることになります。
#Enter pass phrase for ./2011key.pem: ←2011key.pemのパスワードを入力
writing RSA key
上記のコマンドで、2011key_nopass.pemが生成されますので、アパッチのhttpd.conf で指定されているkey.pemのファイル名を変更し、アパッチを再起動します。
この時、パスワード無しで、SSLが起動できているはずです。
ビットマスク
ビットマスク
サブネットマスク
IP数
(実用は-2個、
ルータを除くと-3個)
クラスA
/8
255.0.0.0
16,777,216
/9
255.128.0.0
8,388,608
/10
255.192.0.0
4,194,304
/11
255.224.0.0
2,097,152
/12
255.240.0.0
1,048,576
/13
255.248.0.0
524,288
/14
255.252.0.0
262,144
/15
255.254.0.0
131,072
クラスB
/16
255.255.0.0
65,536
/17
255.255.128.0
32,768
/18
255.255.192.0
16,384
/19
255.255.224.0
8,192
/20
255.255.240.0
4,096
/21
255.255.248.0
2,048
/22
255.255.252.0
1,024
/23
255.255.254.0
512
クラスC
/24
255.255.255.0
256
/25
255.255.255.128
128
/26
255.255.255.192
64
/27
255.255.255.224
32
/28
255.255.255.240
16
/29
255.255.255.248
8
/30
255.255.255.252
4
/31
255.255.255.254
2
/32
255.255.255.255
1
ネットワークを示す、先頭のIPアドレス、通知に利用する最後のブロードキャストアドレス、ゲートウェイアドレスを除くと、上記のIPから-3個したものが実質に使える数。ただし、/32や/31は、そのまま使える数だが何故かはよく知りません。
MySQLの設定ファイル
/var/lib/mysql
等にそれぞれのユーザー名でフォルダが出来ており、その中に、データが保存されています。
保存時に暗号化などがされていない場合は、このデータをそのまま取り出し、例えば、別サーバーの同ディレクトリに保存して、ユーザー設定やテーブル名、権限等を一緒にすれば移行が可能です。
ディレクトリのパスは、mysql_config に記載されています。
【設定ファイルの例】
ldata=’/var/db/mysql’
execdir=’/usr/local/libexec’
bindir=’/usr/local/bin’
pkglibdir=’/usr/local/lib/mysql’
fix_path pkglibdir lib/mysql lib
pkgincludedir=’/usr/local/include/mysql’
fix_path pkgincludedir include/mysql include
version=’4.1.11′
socket=’/tmp/mysql.sock’
port=’3306′
ldflags=’ -rpath=/usr/lib:/usr/local/lib’
SQL インジェクション(Injection)攻撃への対応
SQL Injection攻撃とは、プログラムで想定外のSQL文を読み込ませることによって、ユーザーIDやPASS等を読み取り、それを手かがりにして、サイトのデータを読み取ったり書き換えたりする手法です。攻撃手法自体は昔からある物ですが、データベースを使ったサイトが増えるに従って、プログラマーのレベル?が下がり、その対策があまいサイトが増えているようです。また、クラッカー側も、アングラサイトに出回っている攻撃ツール(JavaScriptが最近は多くなっています)を利用して手軽?に攻撃が仕掛けられるようになってしまいました。
3月~4月にかけても日本のサイトが集中的に狙われました。
https://www.jpcert.or.jp/at/2008/at080005.txt
入力値チェックやサニタイジングしてあれば問題はないはずですが、自社のサイトがその対策についてちゃんとされているかどうか曖昧とお思いならば、当社でもセキュリティ検証やご相談をお受けいたします。
またWebアプリケーションファイアウォール(WAF)の導入のお手伝いもいたしますので、お問い合わせ下さい。
クーロン(crontab)のコマンドについて
専用サーバーでroot権限をお持ちのお客様はクーロンを設定することで、定期的なjobの実行が可能です。
まずはsshでログイン後、root権限にsuし
crontab -e
でクーロンタブの編集画面を開きます。
例えば、http://www.nantoka.jp/cronjob.php を毎時0分に実行したい場合、下記のように書きます。
0 * * * * wget -q -0 /dev/null http://www.nantoka.jp/cronjob.php
wgetの前の5文字ですがそれそれ
分 時 日 月 曜日 となります。
3月10日15時20分であれば
20 15 10 3 *
と書きます。以下、主な事例を挙げます。
1.毎◎分ごとに実行したい。例1 30分おきに実行
*/30 * * * *
2.毎◎分に×時間ごとに実行したい 例2 毎10分に2時間おきで実行
10 */2 * * *
3.毎月◎日×時××分に実行したい 例3 毎月1日2時3分に実行する。
3 2 1 * *
4.毎週◎曜日の×時××分に実行 例4 毎週月曜日の1時2分に実行する
2 1 * * 1
曜日は日曜日から0で始まります。
日 0
月 1
火 2
水 3
木 4
金 5
土 6
です。
5.◎時と×時と××時に実行したい 例5 1時と2時と3時の各0分に実行する。
0 1,2,3 * * *
6.◎曜日~×曜日まで××時に実行したい 例6 月曜日から金曜日まで17時に実行する
0 17 * * 1-5
Postfixの送信メールサイズを変更したい
Postfixは、デフォルトで1通のメール送信可能サイズが10MB(10240000バイト)に制限がかかっています。この設定は、main.cfなどの設定ファイルに特に明記されているわけではないようです。
このサイズを変更するには、
/etc/postfix/main.cf
に以下の行を付け加えます。
■送信可能メールサイズを20MB、メールボックスを100MBにする場合
message_size_limit = 20480000
mailbox_size_limit = 102400000
書き加えた後、postfixを再起動すればOKです。
主な接続プロバイダーのDNS一覧
サーバーの移転などDNS変更の際に、お使い以外の接続プロバイダーのDNS変更の状態をnslookup → lserver で調べるときに利用します。
ホームページで公開されている主なプロバイダーのDNSです。
OCN
202.234.232.6
221.113.139.250
auone
210.196.3.183
210.141.112.163
BIGLOBE
202.225.94.247
210.147.240.193
@nifty
202.248.37.74
202.248.20.133
So-net
202.238.95.24
202.238.95.26
odn
143.90.130.165
143.90.130.39
▼コマンドの例
>nslookup
Default Server: 自分で指定しているDNSサーバー
Address: 000.000.000.000(上記のIPアドレス)
>www.6web.co.jp (変更したサーバーのURL)
Server: 自分で指定しているDNSサーバー
Address: 000.000.000.000(上記のIPアドレス)
Non-authoritative answer:
Name: www.6web.co.jp
Address: 202.69.234.62(dnsで引けたIPアドレス。新しいサーバーかどうか判断)
lserver 202.234.232.6 (OCNのDNSに変更)
Default Server: nv-td501.ocn.ad.jp
Address: 202.234.232.6
> www.6web.co.jp
Server: nv-td501.ocn.ad
Address: 202.234.232.6
Non-authoritative answer
Name: www.6web.co.jp
Address: 202.69.234.62(OCNで変更になっているかどうか確認)
Apacheの再起動(ターボリナックス)
/etc/rc.d/init.d/httpd restart
DNSサーバーの設定変更がしたい
【DNSサーバーを変更するためのステップは下記の4つです】
【step1】
DNSサーバーのデスクトップから「named.conf」というファイルを探します。 ここでは、
C:\WINNT\system32\dns\etc\named.conf にあることとします。
【step2】
named.confをテキストエディタで開き、
******************************************
zone “users.co.jp” IN {
type master;
file “users.co.jp.zone”;
};
******************************************
といったzoneの記述を探します。3行目の file” “; の” ”の間は書き方が自由ですので、
file “この部分は書き方が違うかも知れません”;
【step3】
先ほどstep2.で見つけたusers.co.jp.zone(名前が違うかも知れません)というファイルをテキストエディタで開きます。
場所は named.confと同じディレクトリで C:\WINNT\system32\dns\etc\ です。
開くと大体ですが、下記のような記述になっています。(外部からですので実際にファイルを見えるわけではないので、細かい部分は想定です。)
******************************************
$TTL 86400
@ IN SOA users.co.jp. admin.users.co.jp. (
2008011501 ; シリアル
10800 ; リフレッシュ間隔
3600 ; 再試行時間
604800 ; 最大有効時間
86400 ) ; 生存期間
IN NS ns1.users.co.jp.
IN NS ns1.betsu-users.co.jp.
IN MX 10 mail.users.co.jp.
ns1 IN A 61.122.225.227
www IN CNAME ns1
mail IN CNAME ns1
*******************************************************************
これを2カ所変更します。
■変更点1
シリアルナンバーをプラス1 した数字に。これは変更するたびに1つ以上あげます。
(前)
シリアル = 2008011501
(後)
シリアル = 2008011502
■変更点2
新しいwwwサーバーの登録
(前)
www IN CNAME ns1
(後)
www IN A 202.229.28.206
※www と IN と A と数字など、単語間のスペースは半角下記以上ならなんでもOK
【step4】
ネームサーバーの再起動を行います。
コントロールパネル→サービス→ISC BIND を選択し、「停止」後「再開」を押します。
もしくはコントロールパネル→サービス→ISC BIND を選択し、左上側の「サービスの再起動」を押します。
突然、メールの受信は出来るが、送信が出来なくなった。
お客様がお使いのアクセスプロバイダー(ocn、@nifty、BIGLOBE、au one netなど)で、送信メールに対するセキュリティ対策をされているためです。これは、SPAMメール対策としてOP25B(任意のホストのTCP25番ポートへの接続をブロックする仕組み)を実施している為です。
この対策として以下の2点を確認してください。
1.クライアントのメールソフトの設定変更
お客様がお使いのパソコンのメールソフト(アウトルックエクスプレスなど)に設定変更が必要です。
変更方法は、アクセスプロバイダーごとに異なります。詳しくは、各プロバイダーの会員サポートページに掲載されていますので、そちらで確認してください。
2.専用サーバー側でのサブミッションポート設定変更
OSがターボリナックスでメールサーバーソフトが、sendmailをお使いの場合、管理画面からのメールサーバーの設定変更(ボタンを押すだけ)で、すぐにサブミッションポートが使えるようになります。
Postfixをお使いの場合は、/etc/postfix/master.cf の設定変更が必要です。
変更はmaster.cf の最終行に以下の3行を付け加えて、Postfixを再起動します。
submission inet n – n – – smtpd
-o smtpd_etrn_restrictions=reject
-o smtpd_sasl_auth_enable=yes
