2022-05

1.Debian11の概要今回はユーザーフレンドリーなLinuxディストリビューションのUBUNTUの基になっているDebianでサーバー構築する方法を説明します。最新のリリースは Debian 11.3(コードネーム「bullseye」) です。2021年 8 月 14 日 にリリースされ 2022 年 3 月 26 日 に更新 (ポイントリリース) が行われました。2.DebianインストールイメージのダウンロードDebian11のダウンロードサイト  https://www.debian.org/上記公式サイトにアクセスし、インターネットに接続されている環境でのセットアップに都合の良い 「 debian-11.3.0-amd64-netinst.iso.」をダウンロードしてください。（CD1枚に納まります）NETINSTではインターネットから必要なパッケージをダウンロードしてインストールする形になりますので、フルインストーラーと比較して容量が小さいインストーラー(v11.3.0の場合約378MB)が利用できます。次の画面の順にクリックしていきます。

1. vimエディターのインストールと設定Debianではデフォルトのエディターとして「nano」が設定されています。nanoはやや使いにくいことや、利用されている環境が少ないためエディタを「vim」に変更する手順を紹介します。2. ネットワークの設定2.1 ホスト名の設定Debian のインストール時にホスト名を設定していますが、何らかの理由でホスト名を変更する場合について説明します。ホスト名の設定には"hostnamectl set-hostname"コマンドを利用します。以下のように実行します。ここではホスト名として「debian-user」を設定します。3. サーバーの時刻同期を設定ここではサーバーの時刻を自動的に合わせるサービスである「timesyncd」を設定していきます。4.  suできるユーザーを制限するDebianではデフォルト設定の場合"su"コマンドでどのユーザーでもrootユーザーに移行することができます。複数のユーザーがサーバーに作成されている場合、どれか一つでもユーザーのログイン情報が分かってしまうと不正アクセス後にsuコマンドでrootユーザー権限を奪取されてしまうため、できる限りsuコマンドを実行できるユーザーを制限します。wheelグループに属するユーザーのみにsuを実行できる権限を与えることができるようにします。5. Debian リポジトリ ミラー設定編集リポジトリ ミラー 設定ファイルは/etc/apt/sources.listです、コピーをとってから編集します。6. locateコマンドを利用できるようにするLinuxシステム全体を対象として、特定のファイルを検索するにはfindコマンドを利用しますが、findはオプションの指定がやや分かりにくいところがあります。7. ロケールの設定Linuxシステムの言語設定です。Debianのインストール時にロケールとして日本語を選択している場合には、元々が日本語環境になっていますので、変更する必要はありません。もしご利用の環境で「英語ロケール」で、尚且つ、日本語ロケールの方が良いという場合には実施してください。8. タイムゾーンの設定Debian 11のタイムゾーンはインストール時に設定されている場合がほとんどですが、もし日本のタイムゾーンである「JST」が指定されていない場合には"timedatectl"コマンドで変更できます。9. システムパッケージのアップデートメディアからインストールされたDebianシステムは含まれているパッケージが古いことがあります。基本的な設定が完了した時点でシステムに含まれている パッケージを全て、新しいものに更新します。Debianでは全てのパッケージを更新するためにも"apt"を利用します。

1. SSHサービスのセキュリティ設定SSHサービスはデフォルトでrootユーザーのログインを許可しています。rootユーザーはユーザー名が既に判明しているためパスワードが判明すると、管理者権限でサーバーへログイン出来るため、これを拒否する設定を行います1.1 一般ユーザーの作成Debianのインストール時に一般ユーザーを作成している場合は、本手順は不要です。サー バーに作成されているユーザーがrootのみの場合、SSHによるリモートログインが出来なくなりますので、OSのインストール時にユーザーを作成していない場合、事前にユーザーを作成する必要があります。OSのインストール時にユーザーを作成している場合は、本手順は不要です。ユーザーの作成は"useradd"コマンドで行います。"-m"オプションでホームディレクトリの作成、"-p"オプションでパスワードを指定します。2. ファイヤーウォールの設定Debianでは「ufw」というソフトウェアを使ってファイアウォールを設定することが多いので、ufwを利用したファイアウォール設定を行います。ufwはOSの導入時にはインストールされていませんので、設定を行う前にufwパッケージのインストールを行います。インストール後に最低限のフィルタ設定を行う手順を紹介します。ufwで設定するフィルタルール• サーバーに転送されるパケットは全て拒否• サーバーから外部へ送信されるパケットは全て許可• 最初に許可するポートはSSH用のポート• サーバーに入ってくるパケットを制限

RSA 公開鍵暗号方式を用いた認証によるSSH接続 公開鍵、秘密鍵ペアの作成OpenSSH 使って Linux サーバに接続するユーザの公開鍵と秘密鍵のペアを作成します。鍵ペアの作成は ssh-keygen をを使います。今回はSSH プロトコル Version 2 で利用する RSA 暗号を利用した鍵セットを作成します。公開鍵と秘密鍵のペアの作成はリモートログインするユーザ権限(huong)で実行します。作成先・ファイル名を指定しなければ、 /home/huong/.ssh/ に id_rsa, id_rsa.pub が作成される。 途中、鍵用のパスワードも入力する。

WEBサーバーApache2導入インストールの前にUFWでhttp:80番ポートおよびhttps:443ポートをallowしておく# ufw allow http# ufw allow https# ufw reload2.Apache2 の基本設定3. Apache2; Perlスクリプトを利用するCGI を有効にして Perl スクリプトが利用できるように設定します①Perl をインストール4 Apache2 : PHPスクリプトを利用する①PHP をインストール# apt -y install php php-cgi libapache2-mod-php php-common php-pear5. バーチャルホストの設定デフォルトの設定ファイルをコピーし(ファイル名は任意、今回は例としてvhost-yourdomain.conf)、バーチャルホストの設定をします

1. ウイルス対策ソフトClamav導入ウィルス対策としてLinux 用のフリーのアンチウィルスソフトであるClam AntiVirus を導入します。このアンチウィルスソフトを導入することで、サーバー全体のウィルススキャンはもちろん、メールサーバーを構築し、設定を行えば、送受信するメールのウィルススキャンも行うことができます。2. メールソフト導入Postfix は、sendmail に代わるMTA (Mail Transport Agent)として開発されたソフトウェアで、sendmail との互換性が高く、安全、メンテナンスが容易、速い、などの特徴を兼ね備えたメールサーバーです。また、Postfix はメールを送信するSMTP サーバーとしての機能しか無いため、後半でメール受信のPOP サーバーDovecotのインストールを別途行います。3 メールサーバーPostfixに ClamAV適用Postfix と Clamav を連携させて 送受信メールをリアルタイムスキャンできるように設定しますサーバーがホスト名として完全修飾ドメイン名（FQDN）を使用していない場合、Amavisの起動に失敗する可能性があります。また、OSのホスト名が変更される可能性があるため、有効なホスト名をAmavis構成ファイルに直接設定します4. Postfixに spamassassinをインストールしてスパム対策

1. 証明書を取得する (Let's Encrypt)1.1 事前準備①mod_sslを有効にする# a2enmod ssl②Let's Encrypt証明書を取得するためのクライアントツールをインストール# apt -y install certbot2. Apache2にSSL/TLS(Let's Encrypt) の設定①Apache2のSSL関連設定ファイルの編集# cd /etc/apache2/sites-available/# cp default-ssl.conf hoge.com-ssl.conf　←　hoge.com-sslは任意の名称でよい# vi hoge.com-ssl.conf3. Mail サーバーににSSL/TLS(Let's Encrypt) の設定3.1 メールサーバー用証明書の取得メールサーバー用の証明書を取得するが上記と同様の方法では取得できないので「--standalone」オプションをつけて下記のようにしても失敗する。# certbot certonly --standalone -d mail.

1. MySQL 8インストール1. 1インストールMySQLチームは、Debian Linux用の公式MySQL PPAを提供しています。 パッケージをDebianシステムにダウンロードしてインストールすると、PPAファイルがシステムに追加されます。 PPAを有効にするには、以下のコマンドを実行します。# wget https://dev.mysql.com/get/mysql-apt-config_0.8.22-1_all.deb# dpkg -i mysql-apt-config_0.8.22-1_all.deb# apt update# apt upgrade2.WordPressインストール2.1 データベース作成Word Press 用のデータベースを作成します(例として今回はデータベース名を 「wp_db」、ユーザー名を「wp_user」、パスワードを「?Y123456y」)アカウント作成時「Your password does not satisfy the current policy requirements」が表示される場合はパスワードを8文字以上、英数大文字小文字、記号等を含めてください

1.SNORTインストールSnortは、IPネットワーク上でリアルタイムのトラフィック分析とパケットロギングを実行できるオープンソースのネットワーク侵入検知システムです。「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、「バッファオーバーフロー」「ステルスポートスキャン」「CGI攻撃」「SMBプローブ」「OSフィンガープリント試行」「セマンティックURL攻撃」「サーバメッセージブロック探査」など、さまざまな攻撃検出に使用できます。2.TripwireインストールクラッカーによるLinuxサーバーのファイルの改竄を検知するシステムを導入する。今回は、ファイル改竄検知システムにホスト型IDS(IDS=Intrusion Detection System)のTripwireを導入する。Tripwireは、導入時のファイル状態をデータベース化し、そのデータベースとファイルの現状を比較することにより、ファイルの追加／変更／削除を検知する。