Tag Archives: security

Oracle Linux 6.2 の Postfix 2.6.6 にSMTP認証を設定

Oracle Linux 6.2 にメール・サーバーを構築する第2章。Postfix は Cyrus SASL を使うことでSMTP認証を実現している。Cyrus SASL はいろいろな認証方法をサポートしているが、CRAM-MD5などの暗号化された方法はテレビなどの家電や Outlook Express などの古いメーラーが対応していないことが多いので、平文パスワードを使用するPLAIN (LOGIN) 認証をまずは設定する。ただし、平文パスワードをインターネットでそのまま使用するのは危険なので、経路を暗号化する SMTP over SSL/TLS を合わせて使用することにする。この記事では Oracle Linux 6.2 でSMTP認証を設定する方法を記載するが、Red Hat Enterprise Linux (RHEL) / CentOS / Scientific Linux でも同様だろう。SMTP over SSL/TLS の設定方法については別記事で扱う。

まずは Cyrus SASL をインストールしよう。PLAIN認証しか使用しないのであればcyrus-sasl-plainパッケージだけで良い。

Continue reading Oracle Linux 6.2 の Postfix 2.6.6 にSMTP認証を設定

Scientific Linux 6 でのSELinux管理コマンドまとめ

CentOS 5 から Scientific Linux 6 で環境再構築するタイミングでSELinuxを有効にして運用しているので、SELinux運用において必要なコマンドをまとめておく。SELinux管理について体系的に学びたい場合は 日経Linux: 第一人者がやさしく教える新SELinux入門 が良いだろう。

セキュリティ・コンテキストの読み方

<ユーザー名>:<ロール>:<ドメイン or タイプ>:<MLS>

識別子 意味
ユーザー名 プロセスまたはファイルを作成したSELinuxユーザー名。あまり気にしなくてよい
ロール Strictポリシーで使用する。Targetedポリシーでは使わないので無視してよい
ドメイン or タイプ プロセスの場合はドメインと呼び、ファイルなどのリソースの場合はタイプと呼ぶ。重要な識別子
MLS MLSポリシーで使用するレベルやカテゴリー。Targetedポリシーでは使わないので無視してよい

SELinuxは「○○ドメインは△△タイプを□□できる」(例: smbd_tドメインはsamba_share_tタイプをreadできる)といった定義がされたポリシー・ファイルによってアクセス制御を行う。つまり(Targetedポリシーの)SELinux管理とは、このドメインとタイプを管理することが中心となる。

Continue reading Scientific Linux 6 でのSELinux管理コマンドまとめ

Scientific Linux 6 をインストールして最初に行なう18の設定

ボクが Scientific Linux 6 を使う始めるときに、必ず設定やインストールしている項目をここでまとめておく。これらの設定は Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様に使用できるだろう。

rootユーザーのメールアドレスの設定

Scientific Linux から管理者であるroot宛に様々なメールが届くが、そのままではrootで当該マシンにログインしないと読めないので、いつも使っているメールアドレスに届くように変更する。ボクの場合、rewse.jpのメールアドレスをメインに使っているけど、そのメール・サーバーに障害が起きたときにそれを通知するメールが受け取れないので、Gmailのアドレスを設定している。

/etc/aliasesを編集しただけでは設定は有効にならないので、忘れずにnewaliasesを実行する。

ボクの自宅サーバーで使っている固定IPアドレスは逆引き設定できず、逆引きすると契約ISPのドメインが戻ってしまうため、Gmailに直接メール送信すると The IP you’re using to send mail is not authorized to 550-5.7.1 send email directly to our servers. で受信拒否されてしまう。対策方法は Gmail: The IP you’re using to send email is not authorized… に載っているとおりなので、契約ISPのSMTPサーバーに中継するように設定変更する。

Continue reading Scientific Linux 6 をインストールして最初に行なう18の設定

Scientific Linux 6.1 に avast! Linux Home Edition 1.3.0 をインストール

Scientific Linux 5 では Avira AntiVir Personal (UNIX) 3.1.3.5-0 を使用していたが、同様に家庭内非商用であれば無償で使える avast! Linux Home Edition 1.3.0 もどんなものなのか試してみたくなり、こちらもインストールしてみることにした。

以下は Scientifc Linux (SL) 6.1 にインストールする方法だが、Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様だろう。Avira AntiVir Personal (UNIX) のインストール方法は 複眼中心: Avira AntiVir Personal (UNIX) 3.1.3.5-0 インストール を参照してほしい。

まずは avast! Linux Home Edition: Download から avast! Linux Edition (RPM package) をダウンロードする。ダウンロードしたRPMはrpmコマンドではなく yum localinstall コマンドでインストールすることで、簡単に依存性も解決される。

avast! Linux Home Edition はユーザー登録しないと使えないので、Register for your free avast! 1 year license から登録する。初回起動時にキーを要求されるので、登録したメールアドレスい届いたキーを入力する。

動作が確認できたら、ウイルス定義ファイルを最新ものに更新する。

これですべての設定は完了はしたので、正しく動くかどうか確認してみよう。EICARに無害な疑似テスト・ファイルがあるので、それを使用する。

avast! Linux Home Edition にはマニュアルがないので、--helpを参照しよう。Home Edition では--continue=2(おそらく検疫)できないのが注意点かな。

Cronで自動実行するために、以下のようなスクリプトを作成する。これによって毎週深夜にオンデマンド・スキャンを行ない、万が一ウイルスが見つかった場合は管理者にメールが行く。なお、除外ファイル設定ができないので、除外パス以外のリストをスクリプト内で作って、それを順次スキャンしている。以下のソースコードはBSDライセンスを元としたこちらのライセンスに従って再頒布および使用ができる。このスクリプトの最新版は GitHub: rewse: avast.cron にある。

ログをローテーションするように設定しておくことを忘れずに。

avast! Linux Home Edition と Avira AntiVir Personal (UNIX) を比較した印象としては、avast!のほうがシンプル(必要最低限)で、Avira AntiVir のほうがしっかり作ってあるという感じかな。それぞれのオンデマンド・スキャンにかかった時間は以下のとおり。

avast! Linux Home Edition 6m 27.833s
Avira AntiVir Personal (UNIX) 5m 53.017s

Avira AntiVir のほうが少しだけ速い。AV-Comparatives.org: Summary Reports を見ても Avira AntiVir のほうが高評価なので、ボクは Avira AntiVir を使うことにした。

Scientific Linux 6.1 に chkrootkit 0.49 をインストール

ルートキットとは不正な第三者がコンピューターに侵入したあとに、その進入路を維持したり発見されないようにするために仕込んでおく不正なプログラムである。Linuxにはchkrootkitという既知のルートキットを発見してくれる手軽なツールがあるが、chkrootkit自体がルートキットによって書き換えられないように対策する必要がある。CD-Rや物理的に書込み禁止できるUSBメモリーを使用してもよいが、今回は使用するマシンが仮想マシンなので、ディスク・イメージを使用している。以下は Scientifc Linux (SL) 6.1 にインストールする方法だが、Red Hat Enterprise Linux (RHEL) / CentOS / Oracle Linux でも同様だろう。

まずはchkrootkit本体と、ディスク・イメージ作成に必要なgenisoimageをインストールする。CD-Rに書き込む場合は、合わせてwodimもインストールしておこう。epelリポジトリを追加する方法は 複眼中心: 国内 Scientific Linux 6 サーバーのためのyum設定 を参考にしてほしい。

Continue reading Scientific Linux 6.1 に chkrootkit 0.49 をインストール