Debian11.3でサーバー構築

1.Debian11の概要今回はユーザーフレンドリーなLinuxディストリビューションのUBUNTUの基になっているDebianでサーバー構築する方法を説明します。最新のリリースは Debian 11.3(コードネーム「bullseye」) です。2021年 8 月 14 日 にリリースされ 2022 年 3 月 26 日 に更新 (ポイントリリース) が行われました。2.DebianインストールイメージのダウンロードDebian11のダウンロードサイト  https://www.debian.org/上記公式サイトにアクセスし、インターネットに接続されている環境でのセットアップに都合の良い 「 debian-11.3.0-amd64-netinst.iso.」をダウンロードしてください。（CD1枚に納まります）NETINSTではインターネットから必要なパッケージをダウンロードしてインストールする形になりますので、フルインストーラーと比較して容量が小さいインストーラー(v11.3.0の場合約378MB)が利用できます。次の画面の順にクリックしていきます。

1. DiCEのインストールネットが切断されたり、ルーターが切断再起動したときにおこるグローバルIPの変更の度に、ダイナミックDNSにアクセスしグローバルIPが変更されたことを知らせなくてはいけません。その作業を自動的にやってくれるのがDiCEです

オープンソースの統合監視ソフトウェア「Zabbix」Zabbix とは、サーバー、ネットワーク、アプリケーションを集中監視するためのオープンソースの統合監視ソフトウェアです。統合監視に必要な監視、障害検知、通知機能を備えています。多数のプラットフォームに対応した Zabbix エージェントと SNMP に対応しているため、システム全体を Zabbix ひとつで監視することが可能です。Zabbixを実行するにはPHPプログラミング言語、データベースサーバーとしてはMySQL、ApacheやNginxなどのWebサーバーが必要です。今回はこれらすべてが構成済みという前提で進めます。

WEBサーバーApache2導入インストールの前にUFWでhttp:80番ポートおよびhttps:443ポートをallowしておく# ufw allow http# ufw allow https# ufw reload2.Apache2 の基本設定3. Apache2; Perlスクリプトを利用するCGI を有効にして Perl スクリプトが利用できるように設定します①Perl をインストール4 Apache2 : PHPスクリプトを利用する①PHP をインストール# apt -y install php php-cgi libapache2-mod-php php-common php-pear5. バーチャルホストの設定デフォルトの設定ファイルをコピーし(ファイル名は任意、今回は例としてvhost-yourdomain.conf)、バーチャルホストの設定をします

RSA 公開鍵暗号方式を用いた認証によるSSH接続 公開鍵、秘密鍵ペアの作成OpenSSH 使って Linux サーバに接続するユーザの公開鍵と秘密鍵のペアを作成します。鍵ペアの作成は ssh-keygen をを使います。今回はSSH プロトコル Version 2 で利用する RSA 暗号を利用した鍵セットを作成します。公開鍵と秘密鍵のペアの作成はリモートログインするユーザ権限(huong)で実行します。作成先・ファイル名を指定しなければ、 /home/huong/.ssh/ に id_rsa, id_rsa.pub が作成される。 途中、鍵用のパスワードも入力する。

1. 証明書を取得する (Let's Encrypt)1.1 事前準備①mod_sslを有効にする# a2enmod ssl②Let's Encrypt証明書を取得するためのクライアントツールをインストール# apt -y install certbot2. Apache2にSSL/TLS(Let's Encrypt) の設定①Apache2のSSL関連設定ファイルの編集# cd /etc/apache2/sites-available/# cp default-ssl.conf hoge.com-ssl.conf　←　hoge.com-sslは任意の名称でよい# vi hoge.com-ssl.conf3. Mail サーバーににSSL/TLS(Let's Encrypt) の設定3.1 メールサーバー用証明書の取得メールサーバー用の証明書を取得するが上記と同様の方法では取得できないので「--standalone」オプションをつけて下記のようにしても失敗する。# certbot certonly --standalone -d mail.

1. MySQL 8インストール1. 1インストールMySQLチームは、Debian Linux用の公式MySQL PPAを提供しています。 パッケージをDebianシステムにダウンロードしてインストールすると、PPAファイルがシステムに追加されます。 PPAを有効にするには、以下のコマンドを実行します。# wget https://dev.mysql.com/get/mysql-apt-config_0.8.22-1_all.deb# dpkg -i mysql-apt-config_0.8.22-1_all.deb# apt update# apt upgrade2.WordPressインストール2.1 データベース作成Word Press 用のデータベースを作成します(例として今回はデータベース名を 「wp_db」、ユーザー名を「wp_user」、パスワードを「?Y123456y」)アカウント作成時「Your password does not satisfy the current policy requirements」が表示される場合はパスワードを8文字以上、英数大文字小文字、記号等を含めてください

1.SNORTインストールSnortは、IPネットワーク上でリアルタイムのトラフィック分析とパケットロギングを実行できるオープンソースのネットワーク侵入検知システムです。「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、「バッファオーバーフロー」「ステルスポートスキャン」「CGI攻撃」「SMBプローブ」「OSフィンガープリント試行」「セマンティックURL攻撃」「サーバメッセージブロック探査」など、さまざまな攻撃検出に使用できます。2.TripwireインストールクラッカーによるLinuxサーバーのファイルの改竄を検知するシステムを導入する。今回は、ファイル改竄検知システムにホスト型IDS(IDS=Intrusion Detection System)のTripwireを導入する。Tripwireは、導入時のファイル状態をデータベース化し、そのデータベースとファイルの現状を比較することにより、ファイルの追加／変更／削除を検知する。

1. システムのバックアップ1.1 /var/www/html　配下のバックアップ①　/opt配下にbackup_all.shスクリプト作成# vi /opt/backup_all.shbackup_all.shスクリプト内容10日間のデータ保存1.2 Mysqlのデータベースバックアップ①/opt配下にdb_backup.shスクリプト作成# vi /opt/db_backup.shdb_backup.shスクリプト内容10日間データ保存

1. SSHサービスのセキュリティ設定SSHサービスはデフォルトでrootユーザーのログインを許可しています。rootユーザーはユーザー名が既に判明しているためパスワードが判明すると、管理者権限でサーバーへログイン出来るため、これを拒否する設定を行います1.1 一般ユーザーの作成Debianのインストール時に一般ユーザーを作成している場合は、本手順は不要です。サー バーに作成されているユーザーがrootのみの場合、SSHによるリモートログインが出来なくなりますので、OSのインストール時にユーザーを作成していない場合、事前にユーザーを作成する必要があります。OSのインストール時にユーザーを作成している場合は、本手順は不要です。ユーザーの作成は"useradd"コマンドで行います。"-m"オプションでホームディレクトリの作成、"-p"オプションでパスワードを指定します。2. ファイヤーウォールの設定Debianでは「ufw」というソフトウェアを使ってファイアウォールを設定することが多いので、ufwを利用したファイアウォール設定を行います。ufwはOSの導入時にはインストールされていませんので、設定を行う前にufwパッケージのインストールを行います。インストール後に最低限のフィルタ設定を行う手順を紹介します。ufwで設定するフィルタルール• サーバーに転送されるパケットは全て拒否• サーバーから外部へ送信されるパケットは全て許可• 最初に許可するポートはSSH用のポート• サーバーに入ってくるパケットを制限

1. vimエディターのインストールと設定Debianではデフォルトのエディターとして「nano」が設定されています。nanoはやや使いにくいことや、利用されている環境が少ないためエディタを「vim」に変更する手順を紹介します。2. ネットワークの設定2.1 ホスト名の設定Debian のインストール時にホスト名を設定していますが、何らかの理由でホスト名を変更する場合について説明します。ホスト名の設定には"hostnamectl set-hostname"コマンドを利用します。以下のように実行します。ここではホスト名として「debian-user」を設定します。3. サーバーの時刻同期を設定ここではサーバーの時刻を自動的に合わせるサービスである「timesyncd」を設定していきます。4.  suできるユーザーを制限するDebianではデフォルト設定の場合"su"コマンドでどのユーザーでもrootユーザーに移行することができます。複数のユーザーがサーバーに作成されている場合、どれか一つでもユーザーのログイン情報が分かってしまうと不正アクセス後にsuコマンドでrootユーザー権限を奪取されてしまうため、できる限りsuコマンドを実行できるユーザーを制限します。wheelグループに属するユーザーのみにsuを実行できる権限を与えることができるようにします。5. Debian リポジトリ ミラー設定編集リポジトリ ミラー 設定ファイルは/etc/apt/sources.listです、コピーをとってから編集します。6. locateコマンドを利用できるようにするLinuxシステム全体を対象として、特定のファイルを検索するにはfindコマンドを利用しますが、findはオプションの指定がやや分かりにくいところがあります。7. ロケールの設定Linuxシステムの言語設定です。Debianのインストール時にロケールとして日本語を選択している場合には、元々が日本語環境になっていますので、変更する必要はありません。もしご利用の環境で「英語ロケール」で、尚且つ、日本語ロケールの方が良いという場合には実施してください。8. タイムゾーンの設定Debian 11のタイムゾーンはインストール時に設定されている場合がほとんどですが、もし日本のタイムゾーンである「JST」が指定されていない場合には"timedatectl"コマンドで変更できます。9. システムパッケージのアップデートメディアからインストールされたDebianシステムは含まれているパッケージが古いことがあります。基本的な設定が完了した時点でシステムに含まれている パッケージを全て、新しいものに更新します。Debianでは全てのパッケージを更新するためにも"apt"を利用します。

1. ウイルス対策ソフトClamav導入ウィルス対策としてLinux 用のフリーのアンチウィルスソフトであるClam AntiVirus を導入します。このアンチウィルスソフトを導入することで、サーバー全体のウィルススキャンはもちろん、メールサーバーを構築し、設定を行えば、送受信するメールのウィルススキャンも行うことができます。2. メールソフト導入Postfix は、sendmail に代わるMTA (Mail Transport Agent)として開発されたソフトウェアで、sendmail との互換性が高く、安全、メンテナンスが容易、速い、などの特徴を兼ね備えたメールサーバーです。また、Postfix はメールを送信するSMTP サーバーとしての機能しか無いため、後半でメール受信のPOP サーバーDovecotのインストールを別途行います。3 メールサーバーPostfixに ClamAV適用Postfix と Clamav を連携させて 送受信メールをリアルタイムスキャンできるように設定しますサーバーがホスト名として完全修飾ドメイン名（FQDN）を使用していない場合、Amavisの起動に失敗する可能性があります。また、OSのホスト名が変更される可能性があるため、有効なホスト名をAmavis構成ファイルに直接設定します4. Postfixに spamassassinをインストールしてスパム対策

1. 時刻同期サービスを提供する NTP サーバーをインストール# apt -y install chrony# vi /etc/chrony/chrony.conf# 8行目：デフォルト設定はコメントにして自身のタイムゾーンの NTP サーバーを追記#pool 2.debian.pool.ntp.org iburst2. FTPサーバー導入2.1 vsftpdをインストール# apt install vsftpdFTP Port21許可# ufw allow ftp# ufw allow reload