このページでは玄箱をDebian化した後に必要であろう設定を書いていきます。

あと、玄箱サーバを運用するにあたって、こまごまとした設定や便利な機能も紹介します。

 

パスワードを変更する sshによる暗号化通信
定期的なアップデート 時刻の修正
権限のないユーザーを作成する  

 

 

 

 

rootのパスワードを変更します。ユーザのパスワードを変更したい場合も#passwdコマンドで出来ます。

# passwd root
新しいパスワードを聞かれるので2回入力します

 

 

telnet接続は暗号化をしない通信なのでセキュリティ上はあまりよくありません。 出来ればSSHを導入したほうが安心でしょうが、必要でなければ別に 導入する必要はありません。

この設定をした後はtelnetではなくSSHでの通信になりますので専用のSSHクライアントソフトが必要になります。
私は「Poderosa」を使用しています。

 

まずはSSHのインストールです

# apt-get install ssh

SSHの設定

# vi /etc/ssh/sshd_config
PasswordAuthentication yes  ←yesに変更
PermitRootLogin no  ←この項目をNoにするとSSH接続でいきなりrootでのログインはできなくなります

上記項目でSSHでいきなりログインできない設定にしたのは、ログインステップを増やしてパスワード入力ステップを増やすことによるセキュリティ向上のためです。

 

ログインイメージ

変更前:

 ログインしたい → rootにログインする(パスワード)

 

変更後:

 ログインしたい → 通常ユーザーでログイン(パスワード) → rootにログインする(パスワード)

 

sshを再起動して設定を反映させます

# /etc/init.d/ssh restart

 

 

注意:上記の場合、必ずroot以外のユーザを登録しておく必要があります。初期段階ではtmp-kunユーザがあります。

そんな面倒くさい事をする必要がない人はPermitRootLoginをYESにしておけば、段階ステップ無しでrootでのSSHログインができます。

 

ssh接続のための新規ユーザの登録(段階ステップ無しでrootログインをする設定をした人は以下の項目は必要ありません)

# useradd new_user  ←例:nes_userという名前のユーザを新規登録します

 

# passwd new_user
新規new_userのパスワードを作成しますので2回入力します

きちんとログインできるどかどうか一度、rootとtmp-kunのユーザからログアウトしてみます。

# exit

$ exit


Poderosa等のSSHクライアントソフトからSSHで接続します。先ほど作成した新規ユーザ名とパスワードでログインした後、rootに変わります

$ su root
rootのパスワードを聞かれるので入力すればrootになります


新規にユーザーを登録し、問題なくSSHでログインできてrootにも変われるのを確認したらtelnetプログラムとtmp-kunユーザは必要ないので削除します。

(残しておいても別にいいですが、それだとsshを入れた意味があまりありませんので)

# apt-get remove --purge telnet  ← telnetプログラムを設定ファイルごと削除
# userdel tmp-kun  ← tmp-kunユーザを削除

 

 

 

セットアップが終了した段階では玄箱のIPアドレスは「192.168.0.100」になっていますが変更の必要がある場合は下記の設定ファイルを編集しましょう。このファイル全てを変更しないとネットワークにつながらなかったりします。

/etc/network/interfaces

/etc/hosts

/etc/hosts.allow

/etc/resolv.conf


例:下記のように変更する方法を記します。

変更前192.168.0.100

変更後:192.168.1.200

 

コマンド:ファイル編集

# vi /etc/network/interfaces
iface eth0 inet static
address 192.168.1.200
network 192.168.1.0
netmask 255.255.255.0
broadcast 192.168.1.255
gateway 192.168.1.1

iface lo inet loopback
auto eth0 lo

 

必要ないと思いますが一応DHCPサーバからの自動IPアドレス割当てをする場合の設定も紹介します。上記の設定文を全て「#」でコメントアウトして下記の文を追加します。

# vi /etc/network/interfaces
iface eth0 inet dhcp
iface lo inet loopback
auto eth0 lo

 


 

# vi /etc/hosts
127.0.0.1 localhost
192.168.1.200 KURO-BOX
# vi /etc/hosts.allow
ALL : 192.168.1.0/255.255.1.0
ALL : 127.0.0.1
# vi /etc/resolv.conf
search
nameserver 192.168.1.1

コマンド:ネットワーク設定の反映

ここまでのネットワーク設定を反映させるためにネットワーク関連を再起動かけます。
# /etc/init.d/networking restart

これで玄箱のIPアドレスの変更が出来たはずです。TelnetかSSHでアクセスしている場合は新しいIPアドレスで再接続してください。

 

 

定期的なプログラムのアップデートをしておきましょう。

# apt-get update  ← アップデートファイルを更新
# apt-get upgrade  ← アップデートがあればインストールが始まります

 

 

やっぱりサーバーを管理する上では時間に厳しくないといけません(アクセスログとかの時間情報はとても大事だと思います)。 毎回、手動で誤差を修正していくのもいいのですが大変なので自動で時計を合わせてくれるように「ntpdate」をインストールして自動実行プログラムの「cron」に登録します。

ntpdateのインストール

# apt-get install ntp ntpdate
# ntpdate clock.nc.fukuoka-u.ac.jp ←このコマンドでntpサーバーに接続して時計を合わせます

時刻あわせをcronで自動化

# vi /etc/crontab

5 4 * * * root ntpdate clock.nc.fukuoka-u.ac.jp ←この行を追加
 この設定で毎日12時5分に「ntpdate clock.nc.fukuoka-u.ac.jp」のサーバーに問い合わせて時間を修正してくれます。 12時ちょうどではなくて「4時5分」としたのは、他のサーバー管理者とアクセス時間をずらすためです(あんまり意味がない?)。

 

 

 

 メール用ユーザーやFTP用ユーザを追加する場合、Linux上でのユーザーを追加しなければいけませんが、実際のユーザーはWindowsやMac でメールを受信するのでLinuxにログインする必要はありません。その場合、余計な権限を持ったLinuxユーザーを追加するのは セキュリティ上好ましくありませんのでログインの権限のないユーザーとして作成する必要があります。
/etc/shellsに下記の文字を追加します。これでユーザ登録の際に、シェルを/bin/falseと指定されたユーザは 一般シェルの操作はできずに余計な操作をされるのを防ぎます
#vi /etc/shells
/bin/false ←追加しておく

Login権限無しユーザを追加する。

# useradd -s /bin/false ユーザ名

他にも、すでに作成されているユーザーをログイン出来なくする方法。

# usermod -s /bin/false ユーザ名

 

 

Linux逆引き大全555の極意 コマンド編Linux逆引き大全555の極意 コマンド編
伊藤 幸夫

Linux逆引き大全600の極意 ネットワークサーバ構築編―CentOS5対応 (600 Tips to Use Linux Better!) Linux逆引き大全360の極意 サーバセキュリティ編 プロのための Linuxシステム構築・運用技術 (Software Design plus) Linuxエンジニア養成読本 [仕事で使うための必須知識&ノウハウ満載!] (Software Design plus) 【改訂新版】 Linuxコマンド ポケットリファレンス (Pocket Reference)

by G-Tools