Debian 10 (buster)上でPostfixとDovecotを用いてSMTP認証+TLS

はじめに

Debian 10 のインストールはDebian 10 (buster)を用いたサーバ設定メモ - 発声練習

SMTP認証の設定

SMTP認証は以下に従った。

TLSについては以下を参考にした。

必要なソフトウェアをインストールする。

% sudo apt install  postfix sasl2-bin libsasl2-modules

設定ファイルを用意する。

% cd /etc/postfix/sasl
% sudo touch smtpd.conf
% sudo vi smtpd.conf

smtpd.confの内容は以下のようにする。

pwcheck_method: saslauthd
mech_list: PLAIN LOGIN

saslauthd用の一時ファイル置き場を設定しなおす(Postfixはchrootで動くため)

% cd /etc/default
% sudo cp saslauthd saslauthd-postfix
% sudo vi saslauthd-postfix

編集した結果は以下のとおり。

diff saslauthd saslauthd-postfix 
7c7
< START=no
---
> START=yes
11c11
< DESC="SASL Authentication Daemon"
---
> DESC="SASL Auth. Daemon for Postfix"
15c15
< NAME="saslauthd"
---
> NAME="saslauthd-postf"
62c62,63
< OPTIONS="-c -m /var/run/saslauthd"
---
> #OPTIONS="-c -m /var/run/saslauthd"
> OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

さきほど設定したファイルの一時置き場を作成する。

% sudo su
# dpkg-statoverride --add root sasl 710 /var/spool/postfix/var/run/saslauthd
# rm -rf /run/saslauthd
# ln -s /var/spool/postfix/var/run/saslauthd   /run/saslauthd
# ls -l /run/saslauthd

postfixユーザをsaslグループに追加する。

# adduser postfix sasl

saslauthdを再起動する。

% sudo systemctl restart saslauthd
% sudo systemctl status saslauthd

/etc/postfix/main.cf を編集する。

% cd /etc/postfix
% sudo cp -p main.cf main.cf.org
% sudo vi main.cf

main.cfの編集部分は以下のとおり。

# diff main.cf.org main.cf
27,28c27,29
< smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
< smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
---
> smtpd_tls_cert_file=/etc/postfix/ssl/keys/THISSEVER.crt
> smtpd_tls_key_file=/etc/postfix/ssl/keys/THISSEVER.key
> smptd_tls_CAfile=/etc/postfix/ssl/keys/nii-odca3sha2ct.cer
43c44
< mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
---
> mynetworks = 127.0.0.0/8 192.168.0.0/16 
49c50,57
< inet_protocols = all
---
> inet_protocols = ipv4
> 
> ## For SMTP AUTH with SASL2
> smtpd_sasl_local_domain = $myhostname
> smtpd_sasl_auth_enable = yes
> broken_sasl_auth_client = yes
> smtpd_sasl_security_options = noanonymous
> smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

/etc/postfix/master.cf を編集する。

% cd /etc/postfix
% sudo cp -p master.cf master.cf.org
% sudo vi master.cf

master.cfの編集部分は以下のとおり。

% diff master.cf.org master.cf
29c29
< #smtps     inet  n       -       y       -       -       smtpd
---
> smtps     inet  n       -       y       -       -       smtpd
31,32c31,32
< #  -o smtpd_tls_wrappermode=yes
< #  -o smtpd_sasl_auth_enable=yes
---
>   -o smtpd_tls_wrappermode=yes
>   -o smtpd_sasl_auth_enable=yes
37,38c37,38
< #  -o smtpd_recipient_restrictions=
< #  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
---
>   -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
>   -o smtpd_relay_restrictions=permit_sasl_authenticated,reject

TLS用のサーバ証明書を設置する。サーバ証明書を THISSEVER.crt、証明書作成時の鍵をTHISSEVER.key、中間証明書を nii-odca3sha2ct.cerとする。(サーバ証明書は UPKI電子証明書発行サービスで作成しているので、中間証明書がこのファイルになっている)。

% sudo mkdir -p /etc/postfix/ssl/keys
% sudo cp /path-to-directory/THISSEVER.crt /etc/postfix/ssl/keys
% sudo cp /path-to-directory/THISSEVER.key /etc/postfix/ssl/keys
% sudo cp /path-to-directory/nii-odca3sha2ct.cer /etc/postfix/ssl/keys
% chown root:root /etc/postfix/ssl/keys/*

証明書のカギのパスフレーズを外す。

% cd /etc/postfix/ssl/keys
% sudo cp -p THISSEVER.key THISSEVER.key.with_passphrase
% sudo openssl rsa -in THISSEVER.key.with_passphrase -out THISSEVER.key

証明書と中間証明書を一つにまとめる。

% sudo cp -p THISSEVER.crt THISSEVER_full.crt
% sudo cat nii-odca3sha2ct.cer >> THISSEVER_full.crt

/etc/pam.dにファイルを追加する。

% cd /etc/pam.d
% sudo cp other smtp

Dovecot による POP3SとIMAPSの設定

Dovecotは以下を参考にした

Dovecotのインストール

% sudo apt install dovecot-core dovecot-pop3d dovecot-imapd

設定ファイルの編集

% cd /etc/dovecot
% sudo cp -p dovecot.conf dovecot.conf.org
% sudo vi dovecot.conf

dovecot.confの中見は以下のとおり。

30c30
< #listen = *, ::
---
> listen = *, ::

以下 /etc/dovecot/conf.d/以下の設定ファイルを編集していく。

古いメーラーへの対応。

% sudo cp -p 10-auth.conf 10-auth.conf.org
% sudo vi 10-auth.conf
% diff 10-auth.conf.org 10-auth.conf
10a11
> disable_plaintext_auth = no
100c101,102
< auth_mechanisms = plain
---
> #auth_mechanisms = plain
> auth_mechanisms = plain login

メールボックスの形式を指定する(全メール1ファイル形式mbox、1メール1ファイル形式MailDir)

% sudo cp -p 10-mail.conf 10-mail.conf.org
% sudo vi 10-mail.conf

POP3SとIMAPSについてコメントアウトする。

% sudo cp -p 10-master.conf 10-master.conf.org
% sudo vi 10-master.conf
% diff 10-master.conf.org 10-master.conf
22,23c22,23
<     #port = 993
<     #ssl = yes
---
>     port = 993
>     ssl = yes
43,44c43,44
<     #port = 995
<     #ssl = yes
---
>     port = 995
>     ssl = yes

サーバ証明書を指定する。Postfixと共有する。

% sudo cp -p 10-ssl.conf 10-ssl.conf.org
% sudo vi 10-ssl.conf
% diff 10-ssl.conf.org 10-ssl.conf
12,13c12,13
< ssl_cert = </etc/dovecot/private/dovecot.pem
< ssl_key = </etc/dovecot/private/dovecot.key
---
> ssl_cert = </etc/postfix/ssl/keys/THISSEVER_full.crt
> ssl_key = </etc/postfix/ssl/keys/THISSEVER.key

設定を確認する。

% sudo /usr/sbin/dovecot -n

dovecotを再起動する。

% sudo systemctl restart dovecot
% sudo systemctl status dovecot

nftablesによる アクセス制限

Debian 10 (buster)のnftablesでアクセス制御 - 発声練習に従い設定する。

/etc/nftables.confに以下を追加し、ポートへのアクセスを許す。

table ip filter {
	chain input {
		type filter hook input priority 0; policy accept;
                〜省略〜

		tcp dport smtp counter accept   # 25番:他のSMTPサーバからのアクセス
		tcp dport urd counter accept   # 465番:SMTP認証+TLS
		tcp dport pop3s counter accept # 995番:POP3S
		tcp dport imaps counter accept # 993番:IMAPS

    〜省略〜

設定を反映させる。

% sudo nft -f /etc/nftables.conf
% sudo nft list ruleset

ポートの待受状態を確認する。たとえば私が設定したサーバの場合は以下のようになる。

% sudo lsof -i
COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
dhclient  492     root    7u  IPv4  10027      0t0  UDP *:bootpc 
mysqld    687    mysql   21u  IPv4  16795      0t0  TCP localhost:mysql (LISTEN)
sshd      688     root    3u  IPv4  10128      0t0  TCP *:ssh (LISTEN)
sshd      688     root    4u  IPv6  10130      0t0  TCP *:ssh (LISTEN)
apache2   714     root    4u  IPv6  14298      0t0  TCP *:http (LISTEN)
apache2   715 www-data    4u  IPv6  14298      0t0  TCP *:http (LISTEN)
apache2   716 www-data    4u  IPv6  14298      0t0  TCP *:http (LISTEN)
master   5013     root   13u  IPv4  30976      0t0  TCP *:smtp (LISTEN)
master   5013     root   17u  IPv4  30979      0t0  TCP *:submissions (LISTEN)
sshd     5566     root    3u  IPv4  32942      0t0  TCP 192.168.12.4:ssh->192.168.12.3:57887 (ESTABLISHED)
sshd     5578    gotoh    3u  IPv4  32942      0t0  TCP 192.168.12.4:ssh->192.168.12.3:57887 (ESTABLISHED)
dovecot  5600     root   21u  IPv4  38020      0t0  TCP *:pop3 (LISTEN)
dovecot  5600     root   22u  IPv6  38021      0t0  TCP *:pop3 (LISTEN)
dovecot  5600     root   23u  IPv4  38022      0t0  TCP *:pop3s (LISTEN)
dovecot  5600     root   24u  IPv6  38023      0t0  TCP *:pop3s (LISTEN)
dovecot  5600     root   38u  IPv4  38064      0t0  TCP *:imap2 (LISTEN)
dovecot  5600     root   39u  IPv6  38065      0t0  TCP *:imap2 (LISTEN)
dovecot  5600     root   40u  IPv4  38066      0t0  TCP *:imaps (LISTEN)
dovecot  5600     root   41u  IPv6  38067      0t0  TCP *:imaps (LISTEN)

トラブルシューティング: DovecotのDiffie-Hellman鍵エラー

以下のようなエラーがでている。

pop3-login: Error: Diffie-Hellman key exchange requested, but no DH parameters provided. Set ssh_dh=

これはDovecot 2.3より仕様が変わったとのこと。

以前のバージョンではDiffie Hellman parametersが初回起動時に自動生成され週ごとに再生成されていたが、セキュリティ上のメリットがさほどないため廃止された。バージョン2.3からはssl_dhの指定が強制されるため、以下を必ず設定して、設定した場所にDiffie Hellman parametersファイルを配置しなければならない。

linux:postfix_dovecot [RCPS] より)

鍵を生成する。

% cd /etc/postfix/ssl/keys/
% sudo openssl dhparam 4096 -out THISSEVER.dh.pem

/etc/dovecot/10-ssl.confに以下を加える。

# For Diffie Hellman Parameters
ssl_dh = </etc/postfix/ssl/keys/THISSEVER.dh.pem

dovecotを再起動する。

% sudo systemctl restart dovecot

Debian 10 (buster)のApache 2.4でSuexec

はじめに

Debian 10 のインストールはDebian 10 (buster)を用いたサーバ設定メモ - 発声練習
Debian 8での場合はDebian/GNU Linux WheezyでSuexec - 発声練習

方針

  • パッケージを使って構築する
  • 研究室共用ページはドキュメントルートに
  • 個々人のページは/home/USER/public_html以下に
  • CGIをSuExecで許す
  • SSIも許す

Apache2のインストール

apache2-suexecだとドキュメントルートとユーザディレクトリを変更できない。そこで、apache2-suexec-customを利用する

% sudo aptitude install apache2-suexec-custom

/etc/apache2/suexec/www-data を編集し、ドキュメントルートとユーザディレクトリを変更する。

% cd /etc/apache2/suexec/
% sudo cp -p www-data www-data.org
% sudo vi www-data

編集結果は以下のとおり

% diff www-data.org www-data
2c2
< public_html/cgi-bin
---
>public_html

ユーザディレクトリの部分を変更。

SuExecを有効にする。

% sudo a2enmod suexec
% sudo systemctl restart apache2

DebianやUbuntuのApacheの設定

/etc/apache2で設定する。各種設定ファイルが sites-avaiable か mods-avaiable にあり、これを a2ensite, a2enmod, a2dissite, a2dismodのコマンドでこれらの設定ファイルを sites-enabledかmodts-enabled にシンボリックリンクする。これにより、選択された設定がApacheへ反映される。

設定ファイルを変更したり、siteやmodを付け加えた場合はApacheを再起動する。

% sudo /etc/init.d/apache2 restart

DocumentRootの設定

/etc/apache2/sites-available/default を編集する。

% cd /etc/apache2/sites-available/
% sudo cp -p default default.org
% sudo vi default

編集結果は以下のとおり

% diff default.org default
< 		Options Indexes FollowSymLinks MultiViews
< 		AllowOverride None
---
> 		Options ExecCGI MultiViews SymLinksIfOwnerMatch IncludesNoExec
> 		AllowOverride All
16,22c16,22
< 	ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
< 	<Directory "/usr/lib/cgi-bin">
< 		AllowOverride None
< 		Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
< 		Order allow,deny
< 		Allow from all
< 	</Directory>
---
> 	#ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
> 	#<Directory "/usr/lib/cgi-bin">
> 	#	AllowOverride None
> 	#	Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
> 	#	Order allow,deny
> 	#	Allow from all
> 	#</Directory>

方針

  • DocumentRootは管理者しかいじらないので、.htaccessでの設定はすべて許可に(AllowOverride All)
  • CGIやSSIもDocumentRootで使うのでcgi-binの設定はコメントアウト
  • DocumentRootのOptionsは以下のとおり(参考:Apache2.2ドキュメントOptions
    • Indexesは外す(ディレクトリの中身が見えるのは良くない)
    • CGI許可:ExecCGI
    • MultiViews
    • シンボリックリンクはオーナーが一緒の場合だけ許す:SymLinksIfOwnerMatch
    • SSIを#exec コマンド と #exec CGI を除き許可: IncludesNoExec
% sudo a2enmod includes
% sudo a2enmod cgid
% sudo systemctl restart apache2

ユーザディレクトリ

/etc/apache2/mods-available/userdir.confを編集

% cd /etc/apache2/mods-available/
% sudo cp -p userdir.conf userdir.conf.org
% sudo vi userdir.conf

編集結果は以下のとおり。

% diff userdir.conf.org userdir.conf
7,15c7
<                 Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
<                 <Limit GET POST OPTIONS>
<                         Order allow,deny
<                         Allow from all
<                 </Limit>
<                 <LimitExcept GET POST OPTIONS>
<                         Order deny,allow
<                         Deny from all
<                 </LimitExcept>
---
>                 Options ExecCGI MultiViews SymLinksIfOwnerMatch IncludesNoExec
  • AllowOverrideはデフォルトのまま(「FileInfo AuthConfig Limit Indexes」の上書きOK。Optionsの上書きは許さない)
  • Limitは別にしなくて良いと思ったので削除(各自でやればよい)
  • OptionsはIndexesを外し、ExecCGIを追加
% sudo a2enmod userdir
% sudo systemctl restart apache2

.cgiの拡張子でCGIスクリプトが動くようにする

/etc/apache2/mods-available/mime.conf を編集する。

% cd /etc/apache2/mods-available/
% sudo cp -p mime.conf mime.conf.org
% sudo vi userdir.conf

編集結果は以下のとおり。

# diff mime.conf.org mime.conf
218c218
< #AddHandler cgi-script .cgi
---
> AddHandler cgi-script .cgi
244c244
< AddOutputFilter INCLUDES .shtml
---
> AddOutputFilter INCLUDES .shtml .html
  • 拡張子が.cgiならばCGIスクリプトとして処理する
  • SSIを有効にする拡張子として、.shtml と .htmlを指定する

Digest認証を有効にする

Digest認証を利用するためには、auth_digestモジュールを有効化する必要がある。

% sudo a2enmod auth_digest
% sudo systemctl restart apache2

関連:Apache 2.4のアクセス制御記述例メモ - 発声練習

Debian 8上でバックアップしたWordPressをDebian 10上でリストアするメモ

はじめに

Debian 8 (jessie)で運用していたWebサーバが故障した。幸いハードディスクのデータは無事だった。新しいWebサーバを Debian 10 (buster)上で復旧したい。

2019年11月13日の状況

うまくいきませんでした。

Debian 8 上の構成

  • WordPress 5.2.4
  • MariaDB 10系

バックアップの状況

  • Apacheの設定ファイルはまるごと残っている(/etc 以下がまるまるある)
  • WordPressの方は設置したディレクトリごとデータがある。
  • MariaDBの方はデータディレクトリはある(/var/lib/mysql)。ただし、ダンプしたSQLファイルがない。

Debian 10のインストール

以下のとおり。インストール時に「Webサーバ」「SSHサーバ」を選んでいるのでApacheはインストール済み。

MariaDBのインストール

% sudo apt install mariadb-server mariadb-client

データファイルからのデータベースの復元(frm, idbファイルからの復元)

2019年11月13日現在、うまくいっていないけれども。とりあえず調べた範囲をメモ。

MySQL InnoDB lost tables but files exist - Super Userの回答によると、MySQL/MariaDBではデータファイルをコピーするだけではデータベースの復元ができない。

バックアップをとったデータベースのデータファイルが ~/my_dbにあるとする。 あるテーブルmy_tableのデータファイルはmy_table.frm, my_table.idbとしてバックアップされているとする。

~/my_db
   |---- my_table.frm
   |---- my_table.idb

多くのページでMySQL Utilitiesに含まれる mysqlfrm を用いて、frmファイルからテーブル作成のSQL文(CREATE TABLE)を取得する手順が紹介されていたが、Debian 10のPython 2.7.16では、mysqlfrmがうまく動かなかった(バックアップをとっていたfrmファイルが悪いのか、メンテナンスが終わっているので現在のpythonのバージョンが合わないのかわからない)。

Debian 10では mariadbをインストールするとデータファイルは /var/lib/mysql 以下にある。

まず、mysql上でmy_dbデータベースを作成する。mysqlの初期パスワードは”mysql”

% mysql -u root -p
> CREATE DATABASE my_db;
> SHOW DATABASES;
> quit

すると、/var/lib/mysql/my_db というディレクトリが作成される。

つづいて、復元したいテーブルを作成する。なお、私の場合は単にテーブルを作成しただけだと、MariaDB: InnoDB File-Per-Table Tablespaces #Differing ROW_FORMAT Valuesを原因として、「ALTER TABLE tablename IMPORT TABLESPACE;」を実行すると「ERROR 1808 (HY000): Schema mismatch (Expected FSP_SPACE_FLAGS=0x21, .ibd file contains 0x0.)」というエラーがでてインポートできなかった。このため、テーブルを作成するときにROW_FORMATを指定して上げる必要があった。

参考

For anyone else that comes's across the ROW_TYPE_DYNAMIC issue like I just did. You'll have to start the process over from beginning and on your create table statements add ROW_FORMAT=COMPACT after ENGINE=InnoDB so it looks like ) ENGINE=InnoDB ROW_FORMAT=COMPACT DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci for example. Then repeat the steps like normal and it should work. – Jeff Wilbert Aug 23 at 7:49

以下のようにする。なお、テーブルの内容は適当に指定した。

% mysql -u root -p my_db
> SHOW TABLES; (何も表示されない)
> CREATE TABLE my_table (id int) ENGINE=InnoDB ROW_FORMAT=COMPACT;
> SHOW TABLES;

この時点で/var/lib/mysql/my_db以下にmy_table.frm, my_table.idbが生成される。次に作成された空のmy_table.idbを削除する。

> ALTER TABLE my_table DISCARD TABLESPACE;
> quit

バックアップをとっていたmy_table.idbを/var/lib/mysql/my_db以下にコピーする。

% sudo cp -p ~/my_db/my_table.idb /var/lib/mysql/my_db
% sudo chown mysql:mysql /var/lib/mysql/my_db/my_table.idb

インポートする。

% mysql -u root -p my_db
> ALTER TABLE my_table IMPORT TABLESPACE;
> SELECT * FROM my_table LIMIT 10;

2019年11月13日現在、テーブル1つについてはちゃんとインポートできたのだが、その後、別のテーブルをCREATE TABLEで作成しようとするとすでに存在するという主旨のエラーがでて、うまく進まなくなった。

参考エントリー

手を動かす重要性がわかる事例:二郎判別botからくずし字判定へ

以下のニュースを読んでいるときに「あれ、この人って?」となった。
www3.nhk.or.jp

コンペでは海外のチームが上位を占める中、1人で開発にあたった福岡県の土井賢治さんが3位に入賞しました。

土井さんはIT企業のエンジニアで、ネットオークションに出品された商品が本物か偽物かを投稿された画像から判断するシステムの構築に携わっています。

また、趣味でもSNSに投稿されたラーメンの画像がどこの店舗で出されたものかを数万枚の画像データをもとに予測するシステムを運営していて、日々の仕事や趣味で培った手法を応用してくずし字の特徴を見極める精度を上げていったということです。

機械学習でラーメン?

www.slideshare.net

www.itmedia.co.jp

 「画像を見ても違いが分からなかった」――と、開発者・NTTコムウェアの土井賢治さん。土井さんの同僚が、ラーメン二郎4店舗の画像を自動識別する技術を作ったことがきっかけで、全店舗に対応した判別器を作ろうと思い立ったという。

 土井さんは、普段の業務ではディープラーニングなどの機械学習を使い、道路の不具合検出システムを開発している。今回の判別器は、その経験を生かし、趣味で開発したという。

Yahoo!ジャパンに転職したとのこと
techplay.jp

withnews.jp

面白い。

Debian 10 (buster)を用いたサーバ設定メモ

Debian 10 (buster)を使ってサーバを構築した際のメモ。

バージョンの確認方法

$ more /etc/debian_version 
10.1

$ uname -a
Linux ホスト名 4.19.0-6-amd64 #1 SMP Debian 4.19.67-2+deb10u1 (2019-09-20) x86_64 GNU/Linux

/etc/apt/sources.list を編集する

contoribとnon-freeを追加する。また、私はaptitudeが好きなのでインストールする。

% su
# apt-get update
# apt-get upgrade

sudoのインストール

標準で入れておいて欲しいくらい。

% su
# apt install sudo
# visudo
# /usr/sbin/visudo

visudoでsudoを使えるユーザを設定する。

/etc/apt/source.listの修正

Debian Wiki: SourcesListを参考にして編集する。具体的には mainに加えて、contribとnon-freeを追加する。

% sudo cp -p /etc/apt/source.list /etc/apt/source.list.org
% sudo vi /etc/apt/source.list

ネットワークの設定

Debian 10 Buster : 初期設定 : ネットワークの設定 : Server Worldに基づいて固定IPアドレスの設定に変える。

% sudo cp -p /etc/network/interfaces /etc/network/interfaces.org
% sudo vi /etc/network/interfaces

以前のサーバからのユーザ情報の移行

以前のサーバの以下のファイルからユーザアカウント(一般的に1000番以降)をコピーする。

  • /etc/passwd
  • /etc/shadow
  • /etc/group
  • /etc/gshadow

以前のサーバのファイルを〜.oldとしてサーバ上にコピーしておく。

% sudo vipw (/etc/passwdを編集するためのviコマンド呼び出し)
% sudo vipw -s (/etc/shadowを編集するためのviコマンド呼び出し)
%  sudo vigr (/etc/groupを編集するためのviコマンド呼び出し)
%  sudo vigr -s (/etc/gshadowを編集するためのviコマンド呼び出し)

vi(vim)で他のファイルを挿入する場合は「: r ファイル名」とする。(参考:vi で編集中に別のファイルの内容を読み込む – DACELO SPACE
ユーザ上のの以降に関する参考サイト

セキュリティ関係の設定

そこそこセキュアなlinuxサーバーを作る - Qiitaを参考に以下を実行する。

  • sshでrootにlogin出来なくする
  • sshdのプロトコルを2に限定する
  • sshguardかfail2banを導入する
  • 使わないポートを閉じる
  • passpromptを変える
  • logwatchを入れる

passpromptを変える

sudoを実行した際のパスプロンプトをそこそこセキュアなlinuxサーバーを作る - Qiitaの設定を参考に変更する。

% su
# visudo

以下を加える。

Defaults passprompt = "%u@%h -> Password!!! -> "

sshdの設定の変更

/etc/ssh/sshd_configの設定をそこそこセキュアなlinuxサーバーを作る - Qiitaの設定を参考に変更する。

sshguardかfail2banを導入する

% sudo aptitude sshguard

使わないポートを閉じる

Debian 10 (buster)のnftablesでアクセス制御 - 発声練習

logwatchを入れる

% sudo apt install logwatch

Debian 8 (Jessie) - ログ解析ツール logwatch インストール! - mk-mode BLOGに従い、設定ファイルを設置する。

% cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/

logwatch.conf の「MailTo =」でログを送信したい宛先メールアドレスを設定する。

自動時刻合わせ

ntpdateをインストールする。

% sudo apt install ntpdate

crontabで時間合わせする。/etc/cron.weekly にスクリプトを置く。

% sudo touch /etc/cron.weekly/ntpdate.sh
% sudo chmod 755 /etc/cron.weekly/ntpdate.sh

組織内のNTPサーバがhogehoge.jpとしたとき、ntpdate.shの内容は以下の通り。

#!/bin/sh
/usr/sbin/ntpdate hogehoge.jp > /dev/null 2>&1

GCC関連のインストール

% sudo aptitude install gcc g++ make autoconf m4 bison flex

その他インストール

% sudo apt install -y zsh