2020-01

本ページでは、Let’s Encryptで証明書取得とapacheへの適用、メールサーバーへの適用、FTPサーバーへ適用し、SSL化する方法を説明。 1. 証明書を取得する (Let's Encrypt) 1.1 事前準備 ①mod_sslを有効にする # a2enmod ssl ②Let's Encrypt証明書を取得するためのクライアントツールをインストール # apt -y install certbot ③Let's Encrypt証明書の取得 Apache httpd や Nginx などの Webサーバーが稼働していることが前提となります。 作業を実施するサーバーで Webサーバーが稼働していない場合は ④の手順を実行。 また、インターネット側から、作業を実施するサーバー (証明書を取得したい FQDN のサーバー) の 80 ポート宛てにアクセス可能であることも前提です。 # certbot certonly --webroot -w /var/www/html/hoge.com -d hoge.com

1.MySQLインストール 1.1 MySQLパッケージのダウンロード、インストール MySQLチームは、Debian Linux用の公式MySQL PPAを提供しています。 パッケージをDebianシステムにダウンロードしてインストールすると、PPAファイルがシステムに追加されます。 PPAを有効にするには、以下のコマンドを実行します。 # wget https://dev.mysql.com/get/mysql-apt-config_0.8.14-1_all.deb # dpkg -i mysql-apt-config_0.8.14-1_all.deb 今回は、MySQL 5.7を選択してDebianシステムにインストールします。 特定のバージョンを選択し、構成を変更する必要がある場合は、次のコマンドを使用します。

1.  SNORTインストール クラッカーによる不正アクセスを検知するIDS(Intrusion Detection System)を導入します。 オープンソースのネットワーク型IDS の代表とも言えるSnort を導入します。 2.Tripwireインストール tripwireはLinux 環境用のホストベースの侵入検知システム (IDS) です。tripwire IDSの主な機能は、Linuxシステム上の不正な変更(ファイルおよびディレクトリ)を検出して報告することです。tripwireのインストール後、ベースラインデータベースが最初に作成され、新しいファイルの追加/作成、ファイルの変更、それを変更したユーザーなどの変更を監視し、検出します。変更が正当な場合は、tripwire データベースを更新する変更を受け入れることができます。

1.Debian10の概要 今回はユーザーフレンドリーなLinuxディストリビューションのUBUNTUの基になっているDebianでサーバー構築する方法を説明します。 「Debian」は2019年7月にメジャーバージョンアップしました。（2020年1月時点で10.2が最新バージョン）これまでは9系がstable（安定版）最新バージョンでしたが、今後はDebian 10（コードネーム buster）がstableの最新バージョンになります。 Debian 10はstableになりますので、2019年から5年間のLTS（Long Term Support 2024年7月まで）が提供されるバージョンです。 今回はデスクトップ環境を入れずにインストールします。 [追記]　2021.8.14に「Debian 11" bullseye"」がリリースされDebian10.xxはDebianの公式サイトからダウンロードが難しくなっていますので、次のミラーサイトからダウンロードしてください。

さて、Debian10 busterのインストールも終わり、いよいよサーバーの本格的な構築を行いますか゛、本サイトではSSHによるWindowsからのリモート接続、ウイルス対策、SSl証明書による情報の暗号化、データベースの導入等多数の設定が必要になります。 今回は基本としてパッケージマネージャのaptを使いインストールしていきます。 サーバー構築設定の前準備として本ページでは次のことを行います。 ・vimエディタのインストールと設定 ・ネットワークの設定を行いホスト名の変更と固定ローカールIPアドレスを設定 ・サーバの時刻同期設定 1. vimエディターのインストールと設定 Debianではデフォルトのエディターとして「nano」が設定されています。nanoはやや使いにくいことや、利用されている環境が少ないためエディタを「vim」に変更する手順を紹介します。

Debian10インストール後の初期設定その２として次のことを設定します。 ・SSHサービスのセキュリティ設定 ・ファイアウォールとしてUFWの設定 1. SSHサービスのセキュリティ設定 SSHサービスはデフォルトでrootユーザーのログインを許可しています。rootユーザーはユーザー名が既に判明しているためパスワードが判明すると、管理者権限でサーバーへログイン出来るため、これを拒否する設定を行います 1.1 一般ユーザーの作成 Debianのインストール時に一般ユーザーを作成している場合は、本手順は不要です。 サー バーに作成されているユーザーがrootのみの場合、SSHによるリモートログインが出来なくなりますので、OSのインストール時にユーザーを作成していない場合、事前にユーザーを作成する必要があります。OSのインストール時にユーザーを作成している場合は、本手順は不要です。 ユーザーの作成は"useradd"コマンドで行います。"-m"オプションでホームディレクトリの作成、"-p"オプションでパスワードを指定します。

Debianインストール後すべき初期設定のうち、今回は次の項目を設定する。 ・suできるユーザーを制限する ・Debian リポジトリ ミラー設定編集 ・ locateコマンドを利用できるようにする ・ロケールの設定 ・タイムゾーンの設定 ・システムパッケージのアップデート 1.  suできるユーザーを制限する Debianではデフォルト設定の場合"su"コマンドでどのユーザーでもrootユーザーに移行することができます。 複数のユーザーがサーバーに作成されている場合、どれか一つでもユーザーのログイン情報が分かってしまうと不正アクセス後にsuコマンドでrootユーザー権限を奪取されてしまうため、できる限りsuコマンドを実行できるユーザーを制限します。 wheelグループに属するユーザーのみにsuを実行できる権限を与えることができるようにします。

1. FTPサーバー導入 1.1 vsftpdをインストール インストール # apt install vsftpd FTP Port21許可 # ufw allow ftp vsftpd設定ファイル編集 # vi /etc/vsftpd.conf # 匿名ユーザのログインを許可しない anonymous_enable=NO # ローカル ユーザ アカウントによる ログインを許可する local_enable=YES # ファイルに変更を加える FTP コマンドの使用を許可する write_enable=YES # 新規ファイルに適用するパーミッション値を設定する # 各桁はowner, group, otherを示しており、ビットはrwxを示す

Postfix は、sendmail に代わるMTA (Mail Transport Agent)として開発されたソフトウェアで、sendmail との互換性が高く、安全、メンテナンスが容易、速い、などの特徴を兼ね備えたメールサーバーです。 また、Postfix はメールを送信するSMTP サーバーとしての機能しか無いため、後半でメール受信のPOP サーバーDovecotのインストールを別途行います。 またウィルス対策としてLinux 用のフリーのアンチウィルスソフトであるClam AntiVirus を導入します。 このアンチウィルスソフトを導入することで、サーバー全体のウィルススキャンはもちろん、メールサーバーを構築し、設定を行えば、送受信するメールのウィルススキャンも行うことができます。