素晴らしい事例。記載ミスは残念だったけど修正を素早くしたのは素晴らしいと思う。
修正したのは世帯年収別の児童手当の使い道に関する調査。たとえばこれまで世帯年収1000万円以上の受給者は児童手当の32%を「大人のおこづかいや遊興費」に充てているとしていたが、正しくは0.9%だった。32%は「子どもの将来のための貯蓄・保険料」の誤りだった。取り違えが起きた原因は調査中としている。
これに伴い財務省も15日、財政制度等審議会(財務相の諮問機関)の資料を修正。世帯年収が高いほど児童手当が大人のお小遣いなどに使われているとの文言を「使う必要がなく残っている等の回答が多い」とした。児童手当の廃止を含む見直しを求める方針は変更なしとした。
(児童手当の使い道、厚労省が調査結果修正 :日本経済新聞より)
Debian 10 のインストールはDebian 10 (buster)を用いたサーバ設定メモ - 発声練習。
Debian 10からアクセス制御をiptablesからnftablesで行うようになった。
% sudo iptables-save > iptables.conf
% sudo apt install nftables % sudo systemctl enable nftables.service
現在の設定を表示する。
% sudo nft list ruleset
% sudo /usr/sbin/iptables-restore-translate -f iptables.conf > /tmp/nftables-temp.conf
/tmp/nftables-temp.conf を適宜編集する。/etc/nftables.conf の先頭2行は必ず追加しないといけない。編集したら/etc/nftables.confとして保存する。
% cd /etc % sudo cp -p nftables.conf nftables.conf.org % sudo cp /tmp/nftables-temp.conf nftables.conf % sudo nft -f /etc/nftables.conf % sudo nft list ruleset
元のiptablesの設定は そこそこセキュアなlinuxサーバーを作る - Qiitaを参考にしている。
#!/usr/sbin/nft -f
# 既存の設定をリセット
flush ruleset
table inet filter {
chain input {
type filter hook input priority 0;
}
chain forward {
type filter hook forward priority 0;
}
chain output {
type filter hook output priority 0;
}
}
# 以下、iptables-restore-translateで変換したときに
# INPUT, FORWARD, OUTPUTが大文字だったので小文字にした。
#
# また、 counter の後ろに ”packets 数字 bytes 数字" という記述があるがこれは削っても良いので削った。
# 以下は IPv4に対する設定。
table ip filter {
chain input {
type filter hook input priority 0; policy accept;
# ICMPを許可
ip protocol icmp counter accept
# 接続確立済みのTCPパケットを許可
ct state established,related counter accept
# ローカルホスト(127.0.0.1)からのアクセス許可
iifname "lo" counter accept
# ipspoofing対策
ip saddr 10.0.0.0/8 counter drop
ip saddr 172.16.0.0/12 counter drop
#ip saddr 192.168.0.0/16 counter drop
counter
ip saddr 127.0.0.0/8 counter drop
ip saddr 169.254.0.0/16 counter drop
ip saddr 192.0.2.0/24 counter drop
ip saddr 224.0.0.0/4 counter drop
ip daddr 255.255.255.255 counter drop
# SSH(22番ポート)へのアクセスは許可
tcp dport ssh counter accept
# HTTP(80番ポート)、HTTPS(443番ポート)へのアクセスは許可
tcp dport http counter accept
tcp dport https counter accept
# SMTP(25番)へのアクセスは許可
tcp dport smtp counter accept
# SMTP AUTH on TLS(465)とPOP3S(995)へのアクセスは許可
tcp dport urd counter accept
tcp dport pop3s counter accept
# muninへのアクセスはXX.XX.XX.XX/24の中からのみ許可
ip saddr XX.XX.XX.XX/24 tcp dport munin counter accept
# ポートスキャン対策
meter portscan size 65535 { ip saddr limit rate 10/second burst 10 packets} counter jump portscanner
# 上記に当てはまらないTCP, UDPのパケットは不可
ip protocol tcp counter reject with tcp reset
ip protocol udp counter reject
counter reject with icmp type prot-unreachable
}
chain forward {
type filter hook forward priority 0; policy accept;
counter reject
}
chain output {
type filter hook output priority 0; policy accept;
counter accept
}
chain portscanner {
counter drop
}
}
設定したサーバ上で開いているポートを調べる。
% lsof -i
別のマシンからサーバで開いているポートを調べる(注意:これは攻撃の第一段階のポートスキャンにあたるので自分で管理しているサーバにだけおこなうこと)。なお、当該サーバのIPアドレスをYY.YY.YY.YY とする
% sudo nmap YY.YY.YY.YY (TCPのポートをチェック) % sudo nmap -sU YY.YY.YY.YY (UDPのポートをチェック)
Debian 10 のインストールはDebian 10 (buster)を用いたサーバ設定メモ - 発声練習。
SMTP認証は以下に従った。
TLSについては以下を参考にした。
必要なソフトウェアをインストールする。
% sudo apt install postfix sasl2-bin libsasl2-modules
設定ファイルを用意する。
% cd /etc/postfix/sasl % sudo touch smtpd.conf % sudo vi smtpd.conf
smtpd.confの内容は以下のようにする。
pwcheck_method: saslauthd mech_list: PLAIN LOGIN
saslauthd用の一時ファイル置き場を設定しなおす(Postfixはchrootで動くため)
% cd /etc/default % sudo cp saslauthd saslauthd-postfix % sudo vi saslauthd-postfix
編集した結果は以下のとおり。
diff saslauthd saslauthd-postfix 7c7 < START=no --- > START=yes 11c11 < DESC="SASL Authentication Daemon" --- > DESC="SASL Auth. Daemon for Postfix" 15c15 < NAME="saslauthd" --- > NAME="saslauthd-postf" 62c62,63 < OPTIONS="-c -m /var/run/saslauthd" --- > #OPTIONS="-c -m /var/run/saslauthd" > OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"
さきほど設定したファイルの一時置き場を作成する。
% sudo su # dpkg-statoverride --add root sasl 710 /var/spool/postfix/var/run/saslauthd # rm -rf /run/saslauthd # ln -s /var/spool/postfix/var/run/saslauthd /run/saslauthd # ls -l /run/saslauthd
postfixユーザをsaslグループに追加する。
# adduser postfix sasl
saslauthdを再起動する。
% sudo systemctl restart saslauthd % sudo systemctl status saslauthd
/etc/postfix/main.cf を編集する。
% cd /etc/postfix % sudo cp -p main.cf main.cf.org % sudo vi main.cf
main.cfの編集部分は以下のとおり。
# diff main.cf.org main.cf 27,28c27,29 < smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem < smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key --- > smtpd_tls_cert_file=/etc/postfix/ssl/keys/THISSEVER.crt > smtpd_tls_key_file=/etc/postfix/ssl/keys/THISSEVER.key > smptd_tls_CAfile=/etc/postfix/ssl/keys/nii-odca3sha2ct.cer 43c44 < mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 --- > mynetworks = 127.0.0.0/8 192.168.0.0/16 49c50,57 < inet_protocols = all --- > inet_protocols = ipv4 > > ## For SMTP AUTH with SASL2 > smtpd_sasl_local_domain = $myhostname > smtpd_sasl_auth_enable = yes > broken_sasl_auth_client = yes > smtpd_sasl_security_options = noanonymous > smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
/etc/postfix/master.cf を編集する。
% cd /etc/postfix % sudo cp -p master.cf master.cf.org % sudo vi master.cf
master.cfの編集部分は以下のとおり。
% diff master.cf.org master.cf 29c29 < #smtps inet n - y - - smtpd --- > smtps inet n - y - - smtpd 31,32c31,32 < # -o smtpd_tls_wrappermode=yes < # -o smtpd_sasl_auth_enable=yes --- > -o smtpd_tls_wrappermode=yes > -o smtpd_sasl_auth_enable=yes 37,38c37,38 < # -o smtpd_recipient_restrictions= < # -o smtpd_relay_restrictions=permit_sasl_authenticated,reject --- > -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject > -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
TLS用のサーバ証明書を設置する。サーバ証明書を THISSEVER.crt、証明書作成時の鍵をTHISSEVER.key、中間証明書を nii-odca3sha2ct.cerとする。(サーバ証明書は UPKI電子証明書発行サービスで作成しているので、中間証明書がこのファイルになっている)。
% sudo mkdir -p /etc/postfix/ssl/keys % sudo cp /path-to-directory/THISSEVER.crt /etc/postfix/ssl/keys % sudo cp /path-to-directory/THISSEVER.key /etc/postfix/ssl/keys % sudo cp /path-to-directory/nii-odca3sha2ct.cer /etc/postfix/ssl/keys % chown root:root /etc/postfix/ssl/keys/*
証明書のカギのパスフレーズを外す。
% cd /etc/postfix/ssl/keys % sudo cp -p THISSEVER.key THISSEVER.key.with_passphrase % sudo openssl rsa -in THISSEVER.key.with_passphrase -out THISSEVER.key
証明書と中間証明書を一つにまとめる。
% sudo cp -p THISSEVER.crt THISSEVER_full.crt % sudo cat nii-odca3sha2ct.cer >> THISSEVER_full.crt
/etc/pam.dにファイルを追加する。
% cd /etc/pam.d % sudo cp other smtp
Dovecotは以下を参考にした
Dovecotのインストール
% sudo apt install dovecot-core dovecot-pop3d dovecot-imapd
設定ファイルの編集
% cd /etc/dovecot % sudo cp -p dovecot.conf dovecot.conf.org % sudo vi dovecot.conf
dovecot.confの中見は以下のとおり。
30c30 < #listen = *, :: --- > listen = *, ::
以下 /etc/dovecot/conf.d/以下の設定ファイルを編集していく。
古いメーラーへの対応。
% sudo cp -p 10-auth.conf 10-auth.conf.org % sudo vi 10-auth.conf % diff 10-auth.conf.org 10-auth.conf 10a11 > disable_plaintext_auth = no 100c101,102 < auth_mechanisms = plain --- > #auth_mechanisms = plain > auth_mechanisms = plain login
メールボックスの形式を指定する(全メール1ファイル形式mbox、1メール1ファイル形式MailDir)
% sudo cp -p 10-mail.conf 10-mail.conf.org % sudo vi 10-mail.conf
POP3SとIMAPSについてコメントアウトする。
% sudo cp -p 10-master.conf 10-master.conf.org % sudo vi 10-master.conf % diff 10-master.conf.org 10-master.conf 22,23c22,23 < #port = 993 < #ssl = yes --- > port = 993 > ssl = yes 43,44c43,44 < #port = 995 < #ssl = yes --- > port = 995 > ssl = yes
サーバ証明書を指定する。Postfixと共有する。
% sudo cp -p 10-ssl.conf 10-ssl.conf.org % sudo vi 10-ssl.conf % diff 10-ssl.conf.org 10-ssl.conf 12,13c12,13 < ssl_cert = </etc/dovecot/private/dovecot.pem < ssl_key = </etc/dovecot/private/dovecot.key --- > ssl_cert = </etc/postfix/ssl/keys/THISSEVER_full.crt > ssl_key = </etc/postfix/ssl/keys/THISSEVER.key
設定を確認する。
% sudo /usr/sbin/dovecot -n
dovecotを再起動する。
% sudo systemctl restart dovecot % sudo systemctl status dovecot
Debian 10 (buster)のnftablesでアクセス制御 - 発声練習に従い設定する。
/etc/nftables.confに以下を追加し、ポートへのアクセスを許す。
table ip filter {
chain input {
type filter hook input priority 0; policy accept;
〜省略〜
tcp dport smtp counter accept # 25番:他のSMTPサーバからのアクセス
tcp dport urd counter accept # 465番:SMTP認証+TLS
tcp dport pop3s counter accept # 995番:POP3S
tcp dport imaps counter accept # 993番:IMAPS
〜省略〜設定を反映させる。
% sudo nft -f /etc/nftables.conf % sudo nft list ruleset
ポートの待受状態を確認する。たとえば私が設定したサーバの場合は以下のようになる。
% sudo lsof -i COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME dhclient 492 root 7u IPv4 10027 0t0 UDP *:bootpc mysqld 687 mysql 21u IPv4 16795 0t0 TCP localhost:mysql (LISTEN) sshd 688 root 3u IPv4 10128 0t0 TCP *:ssh (LISTEN) sshd 688 root 4u IPv6 10130 0t0 TCP *:ssh (LISTEN) apache2 714 root 4u IPv6 14298 0t0 TCP *:http (LISTEN) apache2 715 www-data 4u IPv6 14298 0t0 TCP *:http (LISTEN) apache2 716 www-data 4u IPv6 14298 0t0 TCP *:http (LISTEN) master 5013 root 13u IPv4 30976 0t0 TCP *:smtp (LISTEN) master 5013 root 17u IPv4 30979 0t0 TCP *:submissions (LISTEN) sshd 5566 root 3u IPv4 32942 0t0 TCP 192.168.12.4:ssh->192.168.12.3:57887 (ESTABLISHED) sshd 5578 gotoh 3u IPv4 32942 0t0 TCP 192.168.12.4:ssh->192.168.12.3:57887 (ESTABLISHED) dovecot 5600 root 21u IPv4 38020 0t0 TCP *:pop3 (LISTEN) dovecot 5600 root 22u IPv6 38021 0t0 TCP *:pop3 (LISTEN) dovecot 5600 root 23u IPv4 38022 0t0 TCP *:pop3s (LISTEN) dovecot 5600 root 24u IPv6 38023 0t0 TCP *:pop3s (LISTEN) dovecot 5600 root 38u IPv4 38064 0t0 TCP *:imap2 (LISTEN) dovecot 5600 root 39u IPv6 38065 0t0 TCP *:imap2 (LISTEN) dovecot 5600 root 40u IPv4 38066 0t0 TCP *:imaps (LISTEN) dovecot 5600 root 41u IPv6 38067 0t0 TCP *:imaps (LISTEN)
以下のようなエラーがでている。
pop3-login: Error: Diffie-Hellman key exchange requested, but no DH parameters provided. Set ssh_dh=
これはDovecot 2.3より仕様が変わったとのこと。
以前のバージョンではDiffie Hellman parametersが初回起動時に自動生成され週ごとに再生成されていたが、セキュリティ上のメリットがさほどないため廃止された。バージョン2.3からはssl_dhの指定が強制されるため、以下を必ず設定して、設定した場所にDiffie Hellman parametersファイルを配置しなければならない。
鍵を生成する。
% cd /etc/postfix/ssl/keys/ % sudo openssl dhparam 4096 -out THISSEVER.dh.pem
/etc/dovecot/10-ssl.confに以下を加える。
# For Diffie Hellman Parameters ssl_dh = </etc/postfix/ssl/keys/THISSEVER.dh.pem
dovecotを再起動する。
% sudo systemctl restart dovecot
Debian 10 のインストールはDebian 10 (buster)を用いたサーバ設定メモ - 発声練習。
Debian 8での場合はDebian/GNU Linux WheezyでSuexec - 発声練習
apache2-suexecだとドキュメントルートとユーザディレクトリを変更できない。そこで、apache2-suexec-customを利用する
% sudo aptitude install apache2-suexec-custom
/etc/apache2/suexec/www-data を編集し、ドキュメントルートとユーザディレクトリを変更する。
% cd /etc/apache2/suexec/ % sudo cp -p www-data www-data.org % sudo vi www-data
編集結果は以下のとおり
% diff www-data.org www-data 2c2 < public_html/cgi-bin --- >public_html
ユーザディレクトリの部分を変更。
SuExecを有効にする。
% sudo a2enmod suexec % sudo systemctl restart apache2
/etc/apache2で設定する。各種設定ファイルが sites-avaiable か mods-avaiable にあり、これを a2ensite, a2enmod, a2dissite, a2dismodのコマンドでこれらの設定ファイルを sites-enabledかmodts-enabled にシンボリックリンクする。これにより、選択された設定がApacheへ反映される。
設定ファイルを変更したり、siteやmodを付け加えた場合はApacheを再起動する。
% sudo /etc/init.d/apache2 restart
/etc/apache2/sites-available/default を編集する。
% cd /etc/apache2/sites-available/ % sudo cp -p default default.org % sudo vi default
編集結果は以下のとおり
% diff default.org default < Options Indexes FollowSymLinks MultiViews < AllowOverride None --- > Options ExecCGI MultiViews SymLinksIfOwnerMatch IncludesNoExec > AllowOverride All 16,22c16,22 < ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ < <Directory "/usr/lib/cgi-bin"> < AllowOverride None < Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch < Order allow,deny < Allow from all < </Directory> --- > #ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ > #<Directory "/usr/lib/cgi-bin"> > # AllowOverride None > # Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch > # Order allow,deny > # Allow from all > #</Directory>
方針
% sudo a2enmod includes % sudo a2enmod cgid % sudo systemctl restart apache2
/etc/apache2/mods-available/userdir.confを編集
% cd /etc/apache2/mods-available/ % sudo cp -p userdir.conf userdir.conf.org % sudo vi userdir.conf
編集結果は以下のとおり。
% diff userdir.conf.org userdir.conf 7,15c7 < Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec < <Limit GET POST OPTIONS> < Order allow,deny < Allow from all < </Limit> < <LimitExcept GET POST OPTIONS> < Order deny,allow < Deny from all < </LimitExcept> --- > Options ExecCGI MultiViews SymLinksIfOwnerMatch IncludesNoExec
% sudo a2enmod userdir % sudo systemctl restart apache2
/etc/apache2/mods-available/mime.conf を編集する。
% cd /etc/apache2/mods-available/ % sudo cp -p mime.conf mime.conf.org % sudo vi userdir.conf
編集結果は以下のとおり。
# diff mime.conf.org mime.conf 218c218 < #AddHandler cgi-script .cgi --- > AddHandler cgi-script .cgi 244c244 < AddOutputFilter INCLUDES .shtml --- > AddOutputFilter INCLUDES .shtml .html
Digest認証を利用するためには、auth_digestモジュールを有効化する必要がある。
% sudo a2enmod auth_digest % sudo systemctl restart apache2
Debian 8 (jessie)で運用していたWebサーバが故障した。幸いハードディスクのデータは無事だった。新しいWebサーバを Debian 10 (buster)上で復旧したい。
うまくいきませんでした。
以下のとおり。インストール時に「Webサーバ」「SSHサーバ」を選んでいるのでApacheはインストール済み。
% sudo apt install mariadb-server mariadb-client
2019年11月13日現在、うまくいっていないけれども。とりあえず調べた範囲をメモ。
MySQL InnoDB lost tables but files exist - Super Userの回答によると、MySQL/MariaDBではデータファイルをコピーするだけではデータベースの復元ができない。
バックアップをとったデータベースのデータファイルが ~/my_dbにあるとする。 あるテーブルmy_tableのデータファイルはmy_table.frm, my_table.idbとしてバックアップされているとする。
~/my_db |---- my_table.frm |---- my_table.idb
多くのページでMySQL Utilitiesに含まれる mysqlfrm を用いて、frmファイルからテーブル作成のSQL文(CREATE TABLE)を取得する手順が紹介されていたが、Debian 10のPython 2.7.16では、mysqlfrmがうまく動かなかった(バックアップをとっていたfrmファイルが悪いのか、メンテナンスが終わっているので現在のpythonのバージョンが合わないのかわからない)。
Debian 10では mariadbをインストールするとデータファイルは /var/lib/mysql 以下にある。
まず、mysql上でmy_dbデータベースを作成する。mysqlの初期パスワードは”mysql”
% mysql -u root -p > CREATE DATABASE my_db; > SHOW DATABASES; > quit
すると、/var/lib/mysql/my_db というディレクトリが作成される。
つづいて、復元したいテーブルを作成する。なお、私の場合は単にテーブルを作成しただけだと、MariaDB: InnoDB File-Per-Table Tablespaces #Differing ROW_FORMAT Valuesを原因として、「ALTER TABLE tablename IMPORT TABLESPACE;」を実行すると「ERROR 1808 (HY000): Schema mismatch (Expected FSP_SPACE_FLAGS=0x21, .ibd file contains 0x0.)」というエラーがでてインポートできなかった。このため、テーブルを作成するときにROW_FORMATを指定して上げる必要があった。
参考
For anyone else that comes's across the ROW_TYPE_DYNAMIC issue like I just did. You'll have to start the process over from beginning and on your create table statements add ROW_FORMAT=COMPACT after ENGINE=InnoDB so it looks like ) ENGINE=InnoDB ROW_FORMAT=COMPACT DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci for example. Then repeat the steps like normal and it should work. – Jeff Wilbert Aug 23 at 7:49
以下のようにする。なお、テーブルの内容は適当に指定した。
% mysql -u root -p my_db > SHOW TABLES; (何も表示されない) > CREATE TABLE my_table (id int) ENGINE=InnoDB ROW_FORMAT=COMPACT; > SHOW TABLES;
この時点で/var/lib/mysql/my_db以下にmy_table.frm, my_table.idbが生成される。次に作成された空のmy_table.idbを削除する。
> ALTER TABLE my_table DISCARD TABLESPACE; > quit
バックアップをとっていたmy_table.idbを/var/lib/mysql/my_db以下にコピーする。
% sudo cp -p ~/my_db/my_table.idb /var/lib/mysql/my_db % sudo chown mysql:mysql /var/lib/mysql/my_db/my_table.idb
インポートする。
% mysql -u root -p my_db > ALTER TABLE my_table IMPORT TABLESPACE; > SELECT * FROM my_table LIMIT 10;
2019年11月13日現在、テーブル1つについてはちゃんとインポートできたのだが、その後、別のテーブルをCREATE TABLEで作成しようとするとすでに存在するという主旨のエラーがでて、うまく進まなくなった。
