CentOS 5 から Scientific Linux 6 で環境再構築するタイミングでSELinuxを有効にして運用しているので、SELinux運用において必要なコマンドをまとめておく。SELinux管理について体系的に学びたい場合は 日経Linux: 第一人者がやさしく教える新SELinux入門 が良いだろう。
<ユーザー名>:<ロール>:<ドメイン or タイプ>:<MLS>
| 識別子 | 意味 |
|---|---|
| ユーザー名 | プロセスまたはファイルを作成したSELinuxユーザー名。あまり気にしなくてよい |
| ロール | Strictポリシーで使用する。Targetedポリシーでは使わないので無視してよい |
| ドメイン or タイプ | プロセスの場合はドメインと呼び、ファイルなどのリソースの場合はタイプと呼ぶ。重要な識別子 |
| MLS | MLSポリシーで使用するレベルやカテゴリー。Targetedポリシーでは使わないので無視してよい |
ボクが Scientific Linux 6 を使う始めるときに、必ず設定やインストールしている項目をここでまとめておく。これらの設定は Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様に使用できるだろう。
Scientific Linux から管理者であるroot宛に様々なメールが届くが、そのままではrootで当該マシンにログインしないと読めないので、いつも使っているメールアドレスに届くように変更する。ボクの場合、rewse.jpのメールアドレスをメインに使っているけど、そのメール・サーバーに障害が起きたときにそれを通知するメールが受け取れないので、Gmailのアドレスを設定している。
# Person who should get root's mail #root: marc root: example@gmail.com続きを読む
Scietific Linux 5 では Avira AntiVir Personal (UNIX) 3.1.3.5-0 を使用していたが、同様に家庭内非商用であれば無償で使える avast! Linux Home Edition 1.3.0 もどんなものなのか試してみたくなり、こちらもインストールしてみることにした。
以下は Scientifc Linux (SL) 6.1 にインストールする方法だが、Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様だろう。Avira AntiVir Personal (UNIX) のインストール方法は 複眼中心: Avira AntiVir Personal (UNIX) 3.1.3.5-0 インストール を参照してほしい。
まずは avast! Linux Home Edition: Download から avast! Linux Edition (RPM package) をダウンロードする。ダウンロードしたRPMをインストールしようとすると、いろいろなパッケージの依存性エラーが表示された。
[root@oscar tmp]# rpm -ihv avast4workstation-1.3.0-1.i586.rpm エラー: 依存性の欠如: ld-linux.so.2 は avast4workstation-1.3.0-1.i586 に必要とされています libICE.so.6 は avast4workstation-1.3.0-1.i586 に必要とされています libSM.so.6 は avast4workstation-1.3.0-1.i586 に必要とされています libXinerama.so.1 は avast4workstation-1.3.0-1.i586 に必要とされています libXrandr.so.2 は avast4workstation-1.3.0-1.i586 に必要とされています libXrender.so.1 は avast4workstation-1.3.0-1.i586 に必要とされています libc.so.6 は avast4workstation-1.3.0-1.i586 に必要とされています libcairo.so.2 は avast4workstation-1.3.0-1.i586 に必要とされています libdl.so.2 は avast4workstation-1.3.0-1.i586 に必要とされています libexpat.so.0 は avast4workstation-1.3.0-1.i586 に必要とされています libexpat.so.1 は avast4workstation-1.3.0-1.i586 に必要とされています libfontconfig.so.1 は avast4workstation-1.3.0-1.i586 に必要とされています libfreetype.so.6 は avast4workstation-1.3.0-1.i586 に必要とされています libm.so.6 は avast4workstation-1.3.0-1.i586 に必要とされています libpangocairo-1.0.so.0 は avast4workstation-1.3.0-1.i586 に必要とされています libpangoft2-1.0.so.0 は avast4workstation-1.3.0-1.i586 に必要とされています libpng12.so.0 は avast4workstation-1.3.0-1.i586 に必要とされています libpthread.so.0 は avast4workstation-1.3.0-1.i586 に必要とされています librt.so.1 は avast4workstation-1.3.0-1.i586 に必要とされています libc.so.6(GLIBC_2.0) は avast4workstation-1.3.0-1.i586 に必要とされています libc.so.6(GLIBC_2.1) は avast4workstation-1.3.0-1.i586 に必要とされています libc.so.6(GLIBC_2.1.3) は avast4workstation-1.3.0-1.i586 に必要とされています libdl.so.2(GLIBC_2.0) は avast4workstation-1.3.0-1.i586 に必要とされています libdl.so.2(GLIBC_2.1) は avast4workstation-1.3.0-1.i586 に必要とされています libpthread.so.0(GLIBC_2.0) は avast4workstation-1.3.0-1.i586 に必要とされています libpthread.so.0(GLIBC_2.1) は avast4workstation-1.3.0-1.i586 に必要とされています続きを読む
ルートキットとは不正な第三者がコンピューターに侵入したあとに、その進入路を維持したり発見されないようにするために仕込んでおく不正なプログラムである。Linuxにはchkrootkitという既知のルートキットを発見してくれる手軽なツールがあるが、chkrootkit自体がルートキットによって書き換えられないように対策する必要がある。CD-Rや物理的に書込み禁止できるUSBメモリーを使用してもよいが、今回は使用するマシンが仮想マシンなので、ディスク・イメージを使用している。以下は Scientifc Linux (SL) 6.1 にインストールする方法だが、Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様だろう。
まずはchkrootkit本体と、ディスク・イメージ作成に必要なgenisoimageをインストールする。CD-Rに書き込む場合は、合わせてwodimもインストールしておこう。epelリポジトリを追加する方法は 複眼中心: 国内 Scientific Linux 6 サーバーのためのyum設定 を参考にしてほしい。
[root@oscar ~]# yum install chkrootlit genisoimage ...... ================================================================================ Package Arch Version Repository Size ================================================================================ Installing: chkrootkit x86_64 0.49-2.el6 epel 303 k genisoimage x86_64 1.1.9-11.el6 sl 347 k Installing for dependencies: usermode x86_64 1.102-3.el6 sl 186 k ......続きを読む
ボクが Scientific Linux 5 を使う始めるときに、必ず設定やインストールしている項目をここでまとめておく。これらの設定は Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様に使用できるだろう。
Scientific Linux から管理者であるroot宛に様々なメールが届くが、そのままではrootで当該マシンにログインしないと読めないので、いつも使っているメールアドレスに届くように変更する。ボクの場合、rewse.jpのメールアドレスをメインに使っているけど、そのメール・サーバーに障害が起きたときにそれを通知するメールが受け取れないので、Gmailのアドレスを設定している。
# Person who should get root's mail #root: marc root: example@gmail.com続きを読む
大きなネットワークだと、その構成上、あるマシンからあるマシンにSSHログインするときに中継しないといけない踏み台マシンが必要な場合があるが、いちいち2回SSHログインするのは面倒だ。これを一度でログインする方法を紹介しよう。以下では手元のマシンをbase、踏み台マシンをgateway、最終的にログインしたいリモート・マシンをleafとした時の例である。
踏み台がLinuxで、クライアントにはOpenSSHを使う場合はncを併用する。以下は Oracle Linux 6.1 での方法だが、Red Hat Enterprise Linux (RHEL) / CentOS / Scientifc Linux (SL) でも同様だろう。まずはgatewayにncをインストールする。
[root@gateway ~]# yum install nc ...... ================================================================================ Package Arch Version Repository Size ================================================================================ Installing: nc x86_64 1.84-22.el6 ol6_latest 56 k ......
以下のようなファイルをbaseに用意する。baseとgatewayのユーザー名が異なる場合は ssh foo@gateway と設定しよう。
CONNECTメソッドが有効なHTTPプロキシ・サーバーがある場合、SSHが直接外部に出られない環境でもHTTPプロキシ・サーバー経由で外部に出ることができる。
LinuxからOpenSSHクライアントを使う場合はconnectを併用する。以下は Scientifc Linux (SL) 5.5 での方法だが、Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様だろう。dagリポジトリを追加する方法は 複眼中心: 国内 Scientific Linux 5 サーバーのためのyum設定 を参考にしてほしい。
[root@charlie ~]# yum install connect ...... ================================================================================ Package Arch Version Repository Size ================================================================================ Installing: connect x86_64 1.95-1.2.el5.rf dag 34 k ......
example.netドメインのサーバーに接続するときにHTTPプロキシ・サーバーを使いたい場合、以下のようなファイルを用意する。
Host *.example.net ProxyCommand connect -H proxy.example.com:8080 %h %p続きを読む
Taken by Helga Weber自宅サーバーで使用しているiptablesの設定をここで公開する。なお、ボクの環境ではサーバーの前に2台のルーターが入っているためインターネット直結よりは安全な環境であり、ボクのネットワーク知識程度では全ての攻撃に対策できているわけではないので、これらの設定は参考にとどめ、むしろ詳しい方からのアドバイスを受けられればと思う。以下は Scientifc Linux (SL) 5.5 での設定だが、Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様だろう。
設定ファイルさえ用意すればiptablesの設定を一括して行えるiptables-setallというスクリプトを今回は作成した。/etc/iptables-setall.confのLOCALNETSには対象のマシンが所属するネットワーク・アドレスを記述する。NICが2枚あるなどでネットワーク・アドレスが複数ある場合はスペース区切りでリストする。
ルートキットとは不正な第三者がコンピューターに侵入したあとに、その進入路を維持したり発見されないようにするために仕込んでおく不正なプログラムである。Linuxにはchkrootkitという既知のルートキットを発見してくれる手軽なツールがあるが、chkrootkit自体がルートキットによって書き換えられないように対策する必要がある。物理的に書込み禁止できるUSBメモリーやSDカードを使用してもよいが、今回はCD-Rを使用した。以下は Scientifc Linux (SL) 5.5 にインストールする方法だが、Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様だろう。
まずはchkrootkit本体と、CD-R書込みに必要なcdrecordとmkisofsをインストールする。dagリポジトリを追加する方法は 複眼中心: 国内 Scientific Linux 5 サーバーのためのyum設定 を参考にしてほしい。
[root@charlie ~]# yum install chkrootkit cdrecord mkisofs ...... ================================================================================ Package Arch Version Repository Size ================================================================================ Installing: cdrecord x86_64 9:2.01-10.7.el5 sl-base 600 k chkrootkit x86_64 0.49-1.el5.rf dag 296 k mkisofs x86_64 9:2.01-10.7.el5 sl-base 609 k ......続きを読む
Linux用のアンチウイルス・ソフトにはWindows同様にAvira / AVAST / AVGなどが無償版をリリースしているが、AV-Comparatives.org: Summary Reports を見るとAviraが他2製品より安定して高評価であり、最新の AV-Comparatives.org: On-demand Detection of Malicious Software: February 2011 でもADVANCED+なので、Linuxには Avira AntiVir Personal を使用することにした。Avira AntiVir Personal は非商用家庭利用に限り無償で使用することができる。以下は Scientifc Linux (SL) 5.5 にインストールする方法だが、Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様だろう。
まずはWebブラウザーで Avira AntiVir Personal ダウンロード のページを表示し、Avira Free Unix/Linux のURLを確認する。そしてそのURLからダウンロードして、GZファイルを展開する。
[root@charlie ~]# curl -O http://dlpe.antivir.com/package/wks_avira/unix/en/pers/antivir_workstation-pers.tar.gz
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 54.4M 100 54.4M 0 0 3386k 0 0:00:16 0:00:16 --:--:-- 5155k
[root@charlie ~]# tar zxf antivir_workstation-pers.tar.gz
続きを読む 
