Contents
1. ウイルス対策
ウィルス対策としてLinux 用のフリーのアンチウィルスソフトであるClam AntiVirus を導入します。
このアンチウィルスソフトを導入することで、サーバー全体のウィルススキャンはもちろん、メールサーバーを構築し、設定を行えば、送受信するメールのウィルススキャンも行うことができます。
1.1 ウイル対策ソフトClamav導入
①インストール
|
1 |
# apt install clamav clamav-daemon |
尚、clamav関連の設定ファイルは、/etc/clamav/フォルダにインストールされる
②ウイルス定義の更新
|
1 |
# freshclam |
上記コマンドで、ウイルス定義が更新できるが、下記のようなエラーが出る場合はlog設定を変更して、再度実行。
ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).
上記エラーが出た場合次のように一度ログファイルを削除し、ログロテートの設定を変更しておく。
|
1 2 3 |
# rm /var/log/clamav/freshclam.log # touch /var/log/clamav/freshclam.log # chown clamav:clamav /var/log/clamav/freshclam.log |
③設定ファイルを編集
|
1 2 3 4 |
# vi /etc/logrotate.d/clamav-freshclam create 640 clamav adm ↓ create 640 clamav clamav |
④ウイルス定義の自動更新確認
ウイルス定義の自動更新が行われるサービスが登録されていることを確認する。
|
1 |
# service clamav-freshclam status |
次のように表示される
| ● clamav-freshclam.service - ClamAV virus database updater Loaded: loaded (/lib/systemd/system/clamav-freshclam.service; enabled; vendor preset: e Active: active (running) since Fri 2019-08-16 02:00:32 JST; 2 days ago Docs: man:freshclam(1) man:freshclam.conf(5) https://www.clamav.net/documents Main PID: 888 (freshclam) Tasks: 1 (limit: 4915) CGroup: /system.slice/clamav-freshclam.service └─888 /usr/bin/freshclam -d --foreground=true 8月 18 07:25:02 server freshclam[888]: Sun Aug 18 07:25:02 2019 -> daily.cld is up to d 8月 18 07:25:02 server freshclam[888]: Sun Aug 18 07:25:02 2019 -> bytecode.cld is up t 8月 18 08:25:02 server freshclam[888]: Sun Aug 18 08:25:02 2019 -> Received signal: wak 8月 18 08:25:02 server freshclam[888]: Sun Aug 18 08:25:02 2019 -> ClamAV update proces |
尚、/var/log/clamav/freshclam.logファイルにログが記録される。
⑤ウイルスチェックの実行
|
1 |
# clamscan --infected --remove --recursive /home |
無害ウィルスをダウンロードして検出するかテストしてみる。(一般ユーザーにログインする)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
# su - <user> $ cd ~ ← /home/<user> ディレクトリに移動 $ wget http://www.eicar.org/download/eicar.com $ clamscan --infected --remove --recursive /home /home/lan/eicar.com: Eicar-Test-Signature FOUND /home/lan/eicar.com: Removed. ----------- SCAN SUMMARY ----------- Known viruses: 6281795 Engine version: 0.100.3 Scanned directories: 206 Scanned files: 657 Infected files: 1 Data scanned: 25.92 MB Data read: 12.33 MB (ratio 2.10:1) Time: 59.342 sec (0 m 59 s) |
このように「FOUND」という表示と「Infected files: 1」という表示でウイルスを通知してくれる。又、「--remove」オプションを付けているので、テストウイルスは削除された。
1.2 フルスキャンするスクリプトファイルを作成
①事前にスクリプトファイル格納ディレクトリー(/opt/script)を作成しておく
|
1 |
# mkdir /opt/script |
②スクリプトファイルを作成
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
# vi /opt/script/clam-full.sh #!/bin/sh echo ========================================= date hostname clamscan / \ --infected \ --recursive \ --log=/var/log/clamav/clamscan.log \ --move=/var/log/clamav/virus \ --exclude-dir=^/boot \ --exclude-dir=^/sys \ --exclude-dir=^/proc \ --exclude-dir=^/dev \ --exclude-dir=^/var/log/clamav/virus # --infected 感染を検出したファイルのみを結果に出力 # --recursive 指定ディレクトリ以下を再帰的に検査 圧縮ファイルは解凍して検査 # --log=FILE ログファイル # --move=DIR 感染を検出したファイルの隔離先 # --remove 感染を検出したファイルを削除 # --exclude=FILE 検査除外ファイル(パターンで指定) # --exclude-dir=DIR 検査除外ディレクトリ(パターンで指定) if [ $? = 0 ]; then echo "ウイルス未検出." else echo "ウイルス検出!!" fi |
③実行権限を与える
|
1 |
# chmod +x /opt/script/clam-full.sh |
④ウイルス隔離用フォルダを作成
既にあればOKだが、無いと上記スクリプトで除外ディレクトリに指定しているので実行時エラーになる
|
1 |
# mkdir /var/log/clamav/virus |
⑤実行
|
1 |
# /opt/script/clam-full.sh |
完了までけっこう時間がかかる
尚、/var/log/clamav/clamscan.logファイルにログが記録される
⑥cronでウイルススキャンの定期実行
|
1 2 3 4 |
# crontab -e # m h dom mon dow command 0 2 * * mon /opt/script/clam-full.sh >> /var/log/clamav/clamascan.log |
上記例では、毎週月曜日の夜中2時に定期的に実行。
2. メールソフト導入
Postfix は、sendmail に代わるMTA (Mail Transport Agent)として開発されたソフトウェアで、sendmail との互換性が高く、安全、メンテナンスが容易、速い、などの特徴を兼ね備えたメールサーバーです。
また、Postfix はメールを送信するSMTP サーバーとしての機能しか無いため、後半でメール受信のPOP サーバーDovecotのインストールを別途行います。
2.1 Postfix : インストール 設定
①Postfix をインストール
Postfix をインストールして SMTPサーバーを構築します。SMTP は 25/TCP を使用します。
メール不正中継防止に、後述の Dovecot の SASL機能を利用し、送信にも認証が必要なように Postfix を設定します。
|
1 |
# apt -y install postfix sasl2-bin |
一般的な構成設定の選択を求められるが、後で手動設定するため [No Configuration] を選択
| General type of mail configuration: |
| |
| No configuration |
| Internet Site |
| Internet with smarthost |
| Satellite system |
| Local only |
| |
| |
| <Ok> <Cancel> |
| |
+--------------------------------------+
②設定ファイル(main.cf)編集
|
1 |
# cp /usr/share/postfix/main.cf.dist /etc/postfix/main.cf |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 |
# vi /etc/postfix/main.cf # 78行目:コメント解除 mail_owner = postfix # 94行目:コメント解除しホスト名指定 myhostname = mail.korodes.com # 102行目:コメント解除しドメイン名指定 mydomain = korodes.com # 123行目:コメント解除 myorigin = $mydomain # 137行目:コメント解除 inet_interfaces = all # 185行目:コメント解除 mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain # 228行目:コメント解除 local_recipient_maps = unix:passwd.byname $alias_maps # 270行目:コメント解除 mynetworks_style = subnet # 287行目:自ネットワーク追記 mynetworks = 127.0.0.0/8, 192.168.11.0/24 # 407行目:コメント解除 alias_maps = hash:/etc/aliases # 418行目:コメント解除 alias_database = hash:/etc/aliases # 440行目:コメント解除 home_mailbox = Maildir/ # 576行目:コメントにしてその下に追記 #smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_banner = $myhostname ESMTP # 650行目:追記 sendmail_path = /usr/sbin/postfix # 655行目:追記 newaliases_path = /usr/bin/newaliases # 660行目:追記 mailq_path = /usr/bin/mailq # 666行目:追記 setgid_group = postdrop # 670行目:コメント化 #html_directory = # 674行目:コメント化 #manpage_directory = # 679行目:コメント化 #sample_directory = # 683行目:コメント化 #readme_directory = # 最終行へ追記:送受信メールサイズを10Mに制限 message_size_limit = 10485760 # メールボックスサイズを1Gに制限 mailbox_size_limit = 1073741824 # SMTP-Auth 設定 smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname smtpd_recipient_restrictions = permit_mynetworks, permit_auth_destination, permit_sasl_authenticated, reject |
設定反映、再起動
|
1 2 |
# newaliases # systemctl restart postfix |
③設定ファイル(master.cf)編集
|
1 2 3 4 5 6 7 8 9 10 11 |
# vi /etc/postfix/master.cf submissionとsmtpsについて、一部コメント解除する submission inet n - y - - smtpd -o syslog_name=postfix/submission # -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_tls_auth_only=yes smtps inet n - y - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes |
設定反映、再起動
|
1 2 |
# newaliases # systemctl restart postfix |
2.2 Dovecot : インストール 設定
①Dovecot をインストール
DovecotをインストールしてPOP/IMAPサーバーを構築します。POP は 110/TCP, IMAP は 143/TCP を使用します。
①Postfix に SASL機能が提供できるように Dovecot を設定します
|
1 |
# apt -y install dovecot-core dovecot-pop3d dovecot-imapd |
②設定ファイル(dovecot.conf)編集
|
1 2 3 4 |
# vi /etc/dovecot/dovecot.conf # 30行目:コメント解除 listen = *, :: |
③設定ファイル(10-auth.conf)編集
|
1 2 3 4 5 6 7 |
# vi /etc/dovecot/conf.d/10-auth.conf # 10行目:コメント解除し変更(プレーンテキスト認証も許可する) disable_plaintext_auth = no # 100行目:追記 auth_mechanisms = plain login |
④設定ファイル(10-mail.conf)編集
|
1 2 3 4 |
# vi /etc/dovecot/conf.d/10-mail.conf # 30行目:Maildir形式に変更 mail_location = maildir:~/Maildir |
⑤設定ファイル(10-master.conf)編集
|
1 2 3 4 5 6 7 8 9 |
# vi /etc/dovecot/conf.d/10-master.conf # 107-109行目:コメント解除し追記 # Postfix smtp-auth unix_listener /var/spool/postfix/private/auth { mode = 0666 user = postfix group = postfix } |
設定反映、再起動
|
1 |
# systemctl restart dovecot |
2.3 メールユーザーアカウント登録
メール用のユーザーアカウントを登録します。
OS上のユーザーアカウントでメールも利用する場合の設定です
OS上のユーザーアカウントでメールを利用する場合は、追加の設定は不要で OSユーザーを登録するのみです
①メールクライアントインストール
|
1 |
# apt -y install mailutils |
②メールボックスは Maildir を参照するよう設定
|
1 |
# echo 'export MAIL=$HOME/Maildir/' >> /etc/profile.d/mail.sh |
③OSユーザー [例としてhoge] を追加
|
1 2 3 |
# adduser hoge パスワード ← パスワードを聞かれるので入力、表示されない 再度パスワード |
④ 追加したユーザーアカウントでログインし、メールの送信テストをします
|
1 2 3 4 5 6 7 8 |
# su - hoge $ mail hoge@localhost ← 自分宛にメールを送る Cc: Subject:test ← 件名 testmail ← 本文(終了するときはCtrl + D キー) メール確認 $ mail 終了する場合は [q] |
2.4 ポートの開放
|
1 2 3 4 |
# ufw allow pop3 # ufw allow imap # ufw allow smtp # ufw reload |
2.5 メールサーバーPostfixに ClamAV適用
Postfix と Clamav を連携させて 送受信メールをリアルタイムスキャンできるように設定します
Amavisd および Clamav Daemon をインストールして Clamav Daemon を起動します
|
1 |
# apt -y install clamav-daemon amavisd-new |
①ウィルススキャン有効化
|
1 2 3 4 5 |
# vi /etc/amavis/conf.d/15-content_filter_mode 次の箇所のコメント解除してウィルススキャン有効化 @bypass_virus_checks_maps = ( \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re); |
②自身のドメイン名を登録
|
1 |
# echo 'hoge.com' > /etc/mailname |
③設定ファイル(Main.cf)編集
|
1 2 3 |
# vi /etc/postfix/main.cf # 最終行へ追記 content_filter=smtp-amavis:[127.0.0.1]:10024 |
④設定ファイル(master.cf)編集
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
# vi /etc/postfix/master.cf # 最終行へ以下全行追記 smtp-amavis unix - - n - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes 127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o strict_rfc821_envelopes=yes -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 |
|
1 |
# systemctl restart clamav-daemon amavis postfix |
正常に設定されると、メール受信のヘッダーに
「X-Virus-Scanned:Debian amavisd-new at 送信元サーバー」の一行が表示されます
2.6 メールサーバーPostfixに spamassassinをインストールしてスパム対策
①インストール
|
1 |
# apt install spamassassin |
②SpamAssassin の設定の前準備
スパムメール保存用のディレクトリ「.Spam」を Maildir 形式で作成します。まず一般ユーザー(例としてhoge)としてログイン
|
1 2 3 4 5 |
# su - hoge $ cd ~ $ cd Maildir $ /usr/bin/maildirmake.dovecot .Spam $ su – |
③Procmail を準備
Procmail がサーバ機にインストールされているかをチェックします。
もし、インストールされていなければインストールしましょう。
|
1 |
# apt install procmail |
Procmail へのパスを以下のコマンドで調べます
|
1 2 |
# which procmail /usr/bin/procmail |
④Procmail の設定
設定をメールフィルタの全体をつかさどる「 /etc/procmailrc 」に記述すると全ユーザに適応されます。
各ユーザ個別のメールフィルタファイルである「 /home/username/.procmailrc 」に記述するとそのユーザのみにフィルタが適応されます。
今回は全ユーザに適応させるために「 /etc/procmailrc 」に記述します。
|
1 |
# vi /etc/procmailrc |
以下の内容を記入し保存する
PATH=/bin:/usr/bin:/usr/local/bin# メールボックスの設定
MAILDIR=$HOME/Maildir
DEFAULT=$MAILDIR/
# Procmailのログファイル出力先を指定
LOGFILE=$MAILDIR/procmaillog
# ロックファイルのパスを指定
LOCKFILE=$HOME/.lockmail
# メールヘッダー中に「 X-Spam-*** 」の記述がなければ spamassassin を起動します
:0fw
*!^X-Spam.*
|spamassassin
# メールヘッダー中に「 X-Spam-Status: Yes 」の記述があれば、「 .Spam 」ディレクトリにメールを格納します
:0
* ^X-Spam-Status: Yes
$MAILDIR/.Spam/
⑤Postfix main.cf の編集
|
1 2 3 4 |
# vi /etc/postfix/main.cf 最終行に以下の記述を追加します。 mailbox_command = /usr/bin/procmail |
⑥設定の反映と起動と動作確認
|
1 2 |
# systemctl start spamassassin # systemctl restart postfix |
⑦確認
自分のドメイン宛にメールを送信してみましょう。
そしてメールのヘッダーに以下のような記述があれば設定が正常に行われています。
以下のヘッダーはスパムメールと判定された場合の記述です。
| ・・省略・・・ X-Spam-Flag: YES X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on mail.example.com X-Spam-Report: * 0.1 HTML_60_70 BODY: Message is 60% to 70% HTML * 0.0 HTML_MESSAGE BODY: HTML included in message ・・省略・・・ X-Spam-Status: Yes, hits=8.2 required=5.5 tests=CLICK_BELOW, FORGED_RCVD_NET_HELO,HTML_60_70,HTML_FONTCOLOR_UNSAFE, HTML_IMAGE_ONLY_08,HTML_LINK_CLICK_HERE,HTML_MESSAGE,QENCTXT autolearn=no version=2.64 X-Spam-Level: ******** ・・・省略・・・ |
メールヘッダー中に上記の「X-Spam-***」の記述があればSpamAssassinは正常に動作しています。
「 X-Spam-Status: Yes 」があれば、そのメールはスパムメールだと判定されています。
逆に「 X-Spam-Status: No 」ならば通常のメールとして判定されています。
⑧スパムメールの学習
以下のコマンドですべてのユーザの「.Spam」ディレクトリの中身を全てスパムメールとして学習させます
|
1 2 |
# /usr/bin/sa-learn --spam /home/*/Maildir/.Spam/cur Learned from 89 message(s) (89 message(s) examined). |
⑨通常のメールの学習
|
1 2 |
# /usr/bin/sa-learn --ham /home/*/Maildir/cur Learned from 157 message(s) (157 message(s) examined). |
簡単なスクリプトを記述し、Cron に登録し、定期的に自動で実行するようにします。
スクリプト保存場所は「 /opt/script 」にします。 ファイル名は適当に「 spam-learns.sh 」などにします。
スクリプトを保存した後は、「 chmod 750 spam-learns.sh 」として実行可能なアクセス権を与えましょう。
|
1 |
# vi /opt/script/spam-learns.sh |
スクリプトファイルの内容
# スパムメールの学習
/usr/bin/sa-learn --spam /home/*/Maildir/.Spam/cur
# 通常のメールを学習
/usr/bin/sa-learn --ham /home/*/Maildir/cur
# スパムメール保存ディレクトリの中身を強制的に消去してよいのなら以下の記述を追加
/bin/rm -f /home/*/Maildir/.Spam/cur
|
1 |
# chmod 750 /opt/script/spam-learns.sh |
|
1 |
# cd /lib/systemd/system |
|
1 |
# vi spam-learns.service |
Typeもいろいろあるが、simpleでとりあえず定義する。
[Unit] Description=demo sample node.js program[Service] Type=simple
ExecStart= /usr/local/bin/spam-learns.sh
Restart=always[Install] WantedBy=multi-user.target
Cronに学習スクリプトを登録します
|
1 2 |
# crontab -e 0 4 * * * /opt/script/spam-learns.sh |
毎日午前4時に学習スクリプトを実行します
⑨自動的に起動するように設定
|
1 |
# systemctl enable spam-learns |
