友人

AMAZON

  • AMAZON
無料ブログはココログ

« 2007年12月 | トップページ | 2008年2月 »

2008年1月

2008年1月28日 (月)

fedora 8 で四苦八苦 ヨタ話2

ヨタ話のソノ1は、cocolog館では幻の内容になりました。
bloger館では正常にアップデートされています。
記事投稿をメールでしたのですが、これが地獄への入口となりました。
bloger館では即座に記事化されましたが、cocolog館では無しのツブテ…。
すかさず、/var/log/maillogを見る。
すると、cocologへの送信が送信者アドレスチェックで弾かれていました。
よもやと思い、適当なネームサーバーやISPのネームサーバーでクエリーをかける。
返事はなんともつれなく、can't findでした。
ドメインがネットワークから消えてしまったのである。
自己アドレスのため、自前の定義ファイルを何度も見返すが、教本のとおり。
(サンプルも教本に近いですょ)

レジストラから再度、ネームサーバーを通知し、ルートへ反映させる。
(反映時間は比較的に遅く、24〜48時間と言われている)

自身のネームサーバーは検索でかかるが、他のアドレスがヒットしない。

おかしいなぁ〜と何度も思いながら定義ファイルをイジリまわす。
すると、ようやくエラーがログ出力されました。
原因は逆引き用定義ファイルのところで、従来の記述方法ではエラーとなる時が
あります。
fedora8のBINDなのか、ISPのシステムなのかは定かではありませんが、とんでも
ない時間をかけてしまいました。

それとfedora8のsambaも頂けない。
system-config-sambaとswatとの相性が良くありません。
特にsystem-config-sambaを使用して/etc/samba/smb.confを定義してやると何故
かパスワードを認識しない。
こうなってからswatから定義ファイルを修正しまくっても無しのツブテ。
頼みの綱でsmb4kをインストールし、強制的にマウントさせたら、癖が付いたら
しく一件落着。

それと、XDMCPも癖ありすぎ!!
gnomeとKDEとでログイン画面ってツールを使うと不安定になる時があります。
こちらも何度も上書きするようにしてやってようやくXDMCPが開通しました。
ホォ〜ント無料なのは良いけど、グズられたら最悪だなぁ〜Redhat絡み。

赤帽って名前だけにヘルプを赤帽モードで調達しろってことかぁ…グチだな。

ふぅ〜今週もバグに付き合わされた感のある1週間となりました。

2008年1月22日 (火)

fedora 8 で四苦八苦 samba編2

今度は上手く行きました〜sambaの導入!!

まずは、サンプルファイルからスタートです。

「smb.conf.sample」をダウンロード

ファイルはfedora 8 の場合、/etc/samba/以下に保存されています。

Windowsマシーンでドライブ丸ごとシェアしたものをイメージして作成しています。

よって、home共有は使用していませんし、プリンタもなし。他にも、ユーザ定義共有、LDAP認証、Windowsドメイン、Netatalk、VFSもなし。

これだけシンプルなsambaを作成したかっただけなのに最初はコケました。

NAS箱を単にPCで構築しただけのものです。

ユーザー認証はNTLMv2だけです。

Vistaを使用していないので不明ですが、Windows XPでは使用できましたのでVistaでも使用できるものと思います。

 次はApacheかな。MTとか、Wiki、WebDavは最後の方かな。事前調査ではftpがSELinux関係で難所というから先に片付けたいところでもある。

2008年1月20日 (日)

fedora 8 で四苦八苦 メール編2

 メールですのでpostfixとdovecotは一気に行きます。
 古い記事でも書きましたがdovecotは修正箇所が少なく済みます。
 ただし、不用意にコメントを消しまくると動作が不安定になるみたいです。
 相変わらずのサンプルを添付しておきますが、こちらは修正箇所や強調箇所のみを記載したものです。よって修正する際はオプションを探し出して修正した方が無難なようです。
 dovecotもpostfixと密接なところがあるのでポリシーめいたものも書いておきました。
「dovecot.policy.txt」をダウンロード

 dovecotの定義ファイルは/etc/dovecot.confです。md5認証とかで使用されるパスワードファイルは/etc/dovecot.passwordとして作成しています。
「dovecot.conf.sample」をダウンロード
「dovecot.password」をダウンロード

 それにしても、ここまでやってthunderbirdからはMD5認証が上手く動きません。よって、TLSモードだからなぁ〜という甘い考えでPLAIN認証を保険に付けています。

 これでようやくメール機能が回復です。
 thunderbirdを起動し、受信、送信共に内部、外部共に試験の真っ最中です。試験中もSELinux絡みと思われるエラーが出ているようです。
 Yahooへは送信できましたが、niftyやbiglobeはdnsエラーが帰ってきます。SPAM対策として送信者チェックを行っているようですが、SELinuxのアラートを見ると見事にdns関係でエラーが出ているようです。
 このあたりをaudit2allowと格闘しながら叩き潰しておこうかと思います。
 さもないと、webとかに進んだときにモッと苦労しそうですので…。

fedora 8 で四苦八苦 メール編

 少し間が空いてしまいましたが、最も使用したい機能でありながら、最も複雑怪奇で、最も難解な設定を余儀なくされるメール編です。
 fedora 8 ではメール機能として最初はSendmailがインストールされるようになっています。(←再インストールの際にパッケージをwebにし、他は入れないようにしましたが、sendmailはシステムメッセ用としてインストールされたみたいです)
 tl8sを使ってきた私にとっては、SendMailとUW-IMAPの組み合わせでも良かったのですが、mailbox形式では肥大化したメールログのおかげで御自宅サーバーのレスポンスが低下の一途…。
 よって、今回は自身の勉強も兼ねてpostfixとdovecotの組み合わせで、maildir形式化しました。この組み合わせは処理が速いですねぇ〜。

1 mailbox形式からmaildir形式への変換
 tl8sではSendmailとUW-IMAPでしたので、まずは下拵えでmailbox形式からmaildir形式へ変換してやります。数多のサイトで紹介されているmb2mdってのを使います。これはperlスクリプトですので解凍すれば即に使える優れもの。tl8sで使用していたUW-IMAPのものもmaildirへ変換してくれます。(UW-IMAPってmbox形式だから非対応かと思っていたが、実行させたら変換できてしまいました!!)

 

mb2mdのダウンロード(配布サイトです)

 適当なフォルダへ解凍し、コマンドを入力するだけ!!

 例:
        ./mb2md.pl -s /var/spool/mail/hogehoge1 -d /tmp/hogehoge/
       hogehoge1のメールログを/tmp/hogehoge以下に変換出力
       変換後は/temp/hogehoge/.hogehoge/curとかのドットファイルです。
       このファイル群をcp使って転送してやります。
       まぁ、御自宅サーバーなんで地味にやってもそれほど時間はかからない。
       他に一気にディレクトリ処理する-Rオプションもありますょ。
       同様にしてUW-IMAPが使用していた/home/USERNAME/Mail/以下を実行
       こちらはIMAPでフォルダを作っていた方に重宝かな。私もですけど…。
       この状態ではメールファイルが作業者の物になってます。
       メールを開通した後からでも所有者とパーミッションの変更が必要です。

2 ユーザー作成時に自動的に必要なフォルダを作成させる
 ユーザーを作成した後から~/以下にフォルダを作成するのって面倒ですよね。
 自動的に作成する方法を記載しておきます。
 /etc/skel/
 これが~に置き換わりますので、/etc/skel/以下に作成したいフォルダを作成しておきます。
 例:
        /etc/skel/Maildir
        /etc/skel/Maildir/cur
        /etc/skel/Maildir/new
        /etc/skel/Maildir/tmp
        /etc/skel/homepage
        /etc/skel/fileshare

3 postfixを定義する
 私のところのポリシーめいたところが記入されています。
 「postfix.policy.txt」をダウンロード
 簡単に書けば、自分のところは必死に処理し、他人のところは一切関知せず。
 最低限のセキュリティ機能は設置し、ISPのようなウィルス検索や迷惑メール機能に対応できるように仕掛けておく。
 技術的に書けば、SMTP-Authで不正中継を排除し、TLSで暗号化通信させ、amavisdでフィルタリングさせる。ブラックリストサービスを使用してみましたが何故か調子が悪いのでサンプルでは使用していません。
 それでもDNSBLを使ってみたい方は次のサイトからDNSBLサービスを行っているサイトを探し出してみてください。有料/無料といろいろと出てきます。なお、幾つかの雑誌やサイトで記載されているrelays.ordb.orgは記載されていませんでした。サービスを終了したのか不明です。
 ブラックリスト(DNSBL)サービスサイトの一覧
 トップですので、右上「SecurityLAB」→「Blacklist Archives」をクリック。
 それとmasqueradeですがtl8s-Sendmailのような強烈なものではなかったのでcanonicalとheader_checks(IGNORE)を使用しています。このあたりもサンプルとして貼り付けておきます。
 御自宅サーバーでもインターネット向けとイントラネット向けというデュアルドメイン環境になりますので、バーチャル機能とかでアドレスを管理する必要があります。私のサンプルではアドレス書換をメインにしています。実のところ、tl8sのSendmailが頭の出来型イメージですので近い環境にしたかっただけです。
 これらのサンプルが実際に保存されているのは、/etc/postfix/以下がデフォルト設定です。今まで同様にコメントを参考にしながらコピペして使用してください。
「main.cf.sample」をダウンロード
「master.cf.sample」をダウンロード
「canonical.sample」をダウンロード
「header_checks.sample」をダウンロード
「virtual.sample」をダウンロード
「access.sample」をダウンロード

 なお、aliasesファイルはsendmailと共用のため、/etc/に保存されています。
 それと、MD5認証を使用しますので、/usr/lib/sasl2/smtpd.confをMD5対応に修正し、saslpasswd2を使ってパスワードファイルを作成します。
「smtpd.conf.sample」をダウンロード
 saslpasswd2 -u smtp.gojitaku.net hogehoge
 パスワードを2回入力

 そうすると、/etc/sasldb2ファイルが作成されるので、所有者をpostfixに修正します。このsasldb2ファイルは何故か私のところでは平文が記入されていましたので適宜パーミッションを変更して不要なユーザーには見えないようにします。(どっか設定をヘボってるのかなぁ…)

4 それでも難題ばかりなり
 あとはSELinuxを適当に修正…ってエラー多過ぎます。
 しばらくは、この後に記載するdovecotを含め、運用しながらエラーが発生したらaudit2allowを使って定義ファイル(teファイル)を作成し、コンパイルしてインストールするのが付いて回ります。
 パッケージなんだから適合済みと思っていたらダメなようです。

2008年1月18日 (金)

fedora8で四苦八苦 DHCP編

前回のBIND設定をしているときに一気に片付けました。
それほどにDHCPは簡単なものです。
御自宅サーバーとネットワーク程度ならば、各端末でIPを固定すれば済むところもあります。
折角の機能ですから設定して使ってやりましょう。

モノの本によると、本来のDHCPはIPアドレスを動的に発行してやるものだそうです。
ISPのように接続する度にIPアドレスが変化するものが本来のDHCPです。
しかし、トある理由により固定的なIPアドレスを発行したいときも生じます。
そこで、DHCPの設定をチョット変えれば発行できるようになります。

さて、DHCPの設定ファイルは、/etc/dhcpd.confファイルです。
この1つのファイルを修正してやるだけです。
「dhcpd.conf.sample」をダウンロード

余談ですが、ブロードバンドルーターにはDHCP機能が搭載されています。
安価なブロードバンドルーターでは動的発行のみのDHCP機能しかありません。
これは配布するアドレス範囲を指定すれば、他の定義やら管理が不要なのでオマケ機能としては充分というところでしょう。
ところが、YamahaのRTルーターのように値の張るルーターになると変化します。今では使用していませんが、INS64が絶好調の頃にYamahaのRTを購入し、使用しましたが、固定IPアドレスに対応したDHCPとなっていました。
高いルーターには高いなりの理由があるということですねぇ。
もっとも当時はPCの性能なんて今に比べたら低いですから、DHCP程度でも結構な重荷でした。それを肩代わりしてくれるんですから便利でした。
今ではPCの性能が飛躍的に進歩し、DHCP程度なら大した負荷になりませんので、高価なルーターを買うときはスループットだけに拘っても構わない状況になったと思います。

fedora8で四苦八苦 DNS編

2008年1月22日−修正あり
 サンプルファイルを修正しました。最初のサンプルファイルではエラーになることがあります。
 fedora 8 のGUI作成ソフトであるsystem-config-bindで作成したものを手動介入で直しました。
 修正か所は、/var/named/chroot/etc/named/named.confファイルでは、intranetとinternetのview配置位置を逆転させています。こうしないとグズるようです。
 次に正引き用ファイルで、メールアドレスで使用される@inter.netとかのinter.netだけの返答をするように登録しています。

前回のfedora8で四苦八苦 インストール編2でRAIDを忘れていました。
私のところでは同一スペックのHDD3台を使ったソフトウェアRAID5を使用しています。作成したRAIDはシステムインストールで作成されたフォルダとは別のフォルダを作り、そこへマウントさせています。
mdadmっていうものを使いますが、具体的な説明は事情により省略いたします。

さて、今度はドメインネームサービスサーバーの構築です。
独自ドメインを使用したり、御自宅LANを組んでいると名前解決は最優先事項ですので真っ先に設定してやります。
御自宅ネットワークでも慣れないうちは頭が混乱しますので、面倒がらずに予め紙にIPアドレスとFQDNを書いておくと便利です。
私も慣れないうちは紙に書いて救われたことがあります。
他にもMACアドレスも控えておけば、DHCPでの固定アドレス配布もしやすくなりますょ。

ネームサーバーとしては超定番のBINDを使用します。
最近では他のDNSデーモンもありますが、fedora8で標準インストールされ、少しは慣れたところもあるのでBINDを使用します。
昔のBINDは、インターネット用ドメインとイントラネット用ドメインを1台のサーバーで使用しようとすると、別々のBINDを起動させてやる必要があったそうです。
実はこの設定を私はやったことがありませんし、未だにわからず終いです。
しかし、新しいBINDからサポートされたview機能を使い、1つのBINDで複数のドメインを管理することができます。
(tl8sでも既にBIND9がパックされており、viewが使用できていました)

まずは、/etc/named.confです。
ここで大まかな設定を定義してやります。
ところが、最近のセキュリティ対策のおかげで、伝統的な/etc/named.confっていう書き方では不足します。
chrootって機能を使うと実体ファイルの保存場所が変更されています。
フルパスで書くと/var/named/chroot/etc/named.confになります。

サンプルの特徴はインターネット用ドメインをイントラネットでも使用できるようにしてあることと、フレッツスクウェア用転送定義が書かれているところです。ただし、マルチセッション接続でフレッツスクウェアへ接続するようにすると、203.xxx.xxx.xxxへのサイトへ行けなくなります(私のところだけかもしれませんが…)。
結構、この機能は需要がある割には実例が少ないので、コメント付けが下手ですがアップすることにしました。
「named.conf.sample」をダウンロード

あとは実際のドメインをIPアドレスに変換する正引き用ファイル、IPアドレスからドメインを得る逆引き用ファイルを作成します。
これら2つのファイルは、/var/named/chroot/var/namedフォルダに保存します。
上のnamed.conf.sampleで使用しているファイルをアップしておきます。
ルート定義用のファイルはfedora8標準のままですので省略いたします。
御自宅サーバーでは暗号化ゾーン転送とかは不要のことが多いので省略します。
「1.2.3.4.db」をダウンロード
「192.168.123.db」をダウンロード
「gojitaku.network.db」をダウンロード
「inter.net.db」をダウンロード
「inter.net_internet.db」をダウンロード

fedora8には、system-config-bind-guiってツールがあり、GUI環境でこれらのファイルを作成できるようになっています。
ただし、デフォルトではIPv6が有効になります。また、インターネットアドレスが固定で255個も配布されれば便利ですが、1個とか8個とかの場合には対応しないので荒っぽく作成しておいて修正することが必要になります(逆引きのことです)。
添付してあるファイルも、このGUIツールを使って作成し、修正したものになっています。
なお、BINDは表現方法を唯一つに固定しておりませんので、本とかによってもクセがあり、混乱しやすいです。
上のGUIツールも統一されておらず、ファイルによってバラバラでした。
私のサンプルもフルで書いたり、補完で書いたりしています。
自分なりの書き方を決めてから修正するとわかりやすい定義ファイルになると思いますょ。

なお、私自身も精通しておりませんので鋭いツッコミされても返答できません。
特にRFC関連はズブの素人レベルです。
予め御了承ください。

2008年1月17日 (木)

fedora8で四苦八苦 再インストール編2

前回の作業で最小限のパッケージインストールは終了しました。
今回は、早速に主要なサービスの設定を〜と思いましたが、帰宅するのが遅くなり、あえなく挫折。
そこで足元を固めるポイントを記載します。

GUI環境真っ盛りですがコンソールモードで起動させた時にデフォルトの640x480よりも大きなサイズで起動したいと思ったときはありませんか?
実はLinuxはできるんです。それも至極簡単な設定です。
また、grubは英語キーボードが基本ですので日本人には面倒な配置を覚えなくてはならない。日本語キーボードに印刷されている文字と同じものとなるようにしたいですよね?これもチョットの苦労で済みます。
タネは、/boot/grub/grub.confにあります。
PCの電源を投入すると、MBRにインストールされたgrubがロードされます。そのgrubが環境ファイルとして読み込むのが/boot/grub/grub.confファイルです。
こいつを編集してやれば、上の2つは簡単に設定終了です。
サンプルファイルを貼り付けておきますので、コピペしながら御自身のファイルを修正し、保存してください。
「grub.conf.sample」をダウンロード
余談ですが、基本的なところなのでfedora8のほかにも使用できます。
なにせTurbolinux8serverの頃から設定して使用しています。
今から十数年前、UNIXマシーンの細かな文字のコンソールが憧れでした。
今ではPC-Linuxで実現できてしまいます。

お次はXの高解像度化です。
私のところではGF6200を使用していますが、デフォルトでは800x600になってしまいます。
環境によっては1280x1024とかを自動で認識し、起動します。
そうでないときは手動介入してやる必要があります。
修正対象のファイルは/etc/X11/xorg.confファイルです。
こちらもサンプルを添付しておきますので、コピペしてお使いください。
また、参考用にnVidia謹製ドライバのサンプル(クローンモード)も記載してあります。
「xorg.conf.sample」をダウンロード
nVidia謹製ドライバは英文マニュアルと格闘すれば、Windowsのデュアルモニターと同じように設定してやることもできます。

次にXDMCPです。
XDMCPの有効化自体は至極簡単です。
「ログイン画面の設定」を起動させ、修正するだけ!!
KDE環境では「メニュー」→「管理」→「ログイン画面」で起動します。
ここで、「リモートタブ」を選択し、スタイル欄を「無効」から「ローカルと同じにする」へ変更するだけ!!
リモートからrootログインを許可させたいときは、「セキュリティ」タブに項目があるので有効にしてください。
しかし、これでは制限なくログイン攻撃を受けますので、アドレス制限をかけてやる必要があります。
一つは/etc/X11/xdm/Xaccessファイルです。
サンプルを添付しておきますので参考にしてください。
「Xaccess.sample」をダウンロード
そのほかに、XFree86では必須でしたのでTCP-wrapper用のファイルでもロックをかけてしまいます。
対象は/etc/hosts.allowファイルと/etc/hosts.denyファイルです。
こちらもサンプルを添付しておきます。
「hosts.deny.sample」をダウンロード
「hosts.allow.sample」をダウンロード
この2ファイルは、その他のサーバーでも共通して使用される時がありますので設定には注意してください。

これで足元を固めることができました。
あとはサーバーでも最初に設定したいBIND、DHCP、メールとなります。

2008年1月16日 (水)

fedora8で四苦八苦 再インストール編

連休も終わり、仕事から帰ってくるなり、前回のsamba編で落とし穴に落ちてしまいましたのでfedora8を再インストールしました。
再とは言え、インストール作業なので手短にツボを書いておきます。

インストール媒体はISOファイルをダウンロードし焼き付けたDVD版です。
焼き込み後にベリファイし通過したものを使用しています(生焼け防止)。

DVD-ROMからインストーラが起動するとインストーラのモード選択になります。
通常は一番上のGUIインストールモードからインストールします。
GUIインストーラが正常に起動できない時はコンソールモードでインストールすることもできますが、後からXの設定が必要になります。この場合はvi等のコンソールベーステキストエディタの操作が必要になりますのでDOSを操作したことがない方には酷な作業になります。
また、設定しても相性等によりXが正常に起動できない場合もありますので、チェックを兼ねてGUIモードでのインストールをお奨めします。
以降はGUIモードでのインストール作業を前提に書いておきます。

いきなり英文がズラ〜っと表示されますが、言語選択です。
さすがに英語に疎い方でも選択肢を見れば何を求めているかがわかるかと思います。
日本語環境にしたい方は、ここで必ずJapanese(日本語)を選択します。
後から修正できるようですが、膨大な作業になりますのでココで必ず選択するのが得策です。
またインストール画面の表示も日本語に変化します。

次はキーボードですが、言語選択で日本語を選択すれば、ココでは日本語つまりJP-106キーボードが選択されています。このままの設定で先に進みます。

そうすると、新規にインストールするか既にインストールされたFedoraをアップグレードするかの選択に迫られます。
私の場合は再インストールなのでアップグレードでも良いようなところもありますが、愚図られた後なのでキッパリと新規インストールにしました。
というよりもFedora、もといRedhatが一般に入手可能な頃に何度が試したことがありますが、アップグレードは信用していません。WindowsやDOSのアップグレードと比較できないくらいに貧弱なアップグレードだったのを記憶していますので試す気にもなりません。

お次が悩み所のパーティション構成です。
ここは聞く相手によって色々と分かれるところです。
バックアップ作業等のメンテナンス重視の方は、ある程度のパーティション分けを実施するようですし、市販されているガイド本でも推奨するような記事も見受けられます。
私の場合はPCサーバーであり、御自宅サーバーですのでパーティションは/とswap領域だけを作るようにしています。
PCのパーティションはチョットした拍子にパーティション情報が破壊され、その結果、ハードディスクを認識しなくなることがあるのを避けるためです。
RAIDという選択肢もありますが一般的に安価な部類のSATA-RAIDボードはLinuxにおけるハードウェアRAIDカードとは異なり、ソフトウェアRAIDになりますので選択肢に入りません。
ちなみに、Linuxでインストール対象としてRAIDに使用できるものとしてはAdaptec製品等の高額なボード(ボード上にマイコンが搭載され、ボード単体でRAID制御できるもの)からとなります。
(ソフトウェアRAIDを構築し、マウントさせるなら別ですが…)

ブートローダはHDDが複数ない限りはMBRを選択します。
複数ある時は最初に起動するハードディスクのMBRに保存します。
ただし、拡張カードを挿し、チップセットと併用している場合はドライブ認識順序がBIOSとLINUXとで異なってしまい、起動できなくなる可能性があります。
この場合は/dev/sda1となっているかどうかで判断してください。
場合によっては、ここでPCの電源を落とし、余計なドライブ接続を外してからインストールする必要がある時もあります。
なお、私の環境(intel-sata+sil-sata)環境ではBIOS上はintel-sataが先に認識されますが、Fedoraインストーラはsil-sataを先に認識していました。
そのため、余計はHDDを外してからインストールをしています。
それと、私はセキュリティ対策としてブートローダパスワードを設定しています。
grubのデフォルトは英語キーボードになりますので英数のみで設定するのが無難です。記号を含めるとJP-106とUS-102(←うろ覚えです)とかでキーコードが異なり意図しないパスワードになる時がありますので要注意です。
(インストール後にgrub.confを修正してJP-106に対応させる方法もあります)

ネットワークデバイスではデスクトップ用途ならばデフォルトのDHCPクライアントで構いませんが、サーバーの場合は設定を変更してやる必要があります。
後から比較的に安易に修正できるものですが、ここで設定しておくに越したことはありません。

タイムゾーンは東京を選択します。
システムクロックでUTCを使う、ってのが選択されていますがBIOS上の時計を日本に合わせているときは、このオプションを外します。

ルートパスワードは必ず入力です。
SELinuxをインストールしているとはいえ、ルート権限はコンピュータの全てを管理できるのでパスワードが最終的な防衛手段となります。

パッケージ選択では前回よりも更に削ぎ落としました。
今回はウェブサーバーだけを選択し、追加としてKDEを選択しています。
このインストール段階でKDEをインストールせず、後からKDEをインストールしても日本語環境にはなりません!!
KDEで日本語にしたい時は、このパッケージ選択で必ずKDEをインストールするのが良いです。

あとは長い転送処理になります。
それが終了し、再起動するとWindowsのようにヨウコソ画面が表示され、いくつかの入力を促されます。

ファイアウォールは導入するに越したことはありませんが、ルーター接続があり、そこからDMZで接続している私のような環境ではインストール段階では外しても問題ないと思います。
後から設定するのが良いと思います。
なにせデフォルトでSSHだけ有効じゃ〜思いやられるょ。
他にも代表的なものが表示されているが、SSH接続やTLS接続のメールサービスなんかは表示もされていない。DNS、XDMCPも当然ながら表示されていない。
つまり、設定しても認識しないって事になりかねないです。
そんなんで、後から腰を落ち着けて設定してやる方が無難です。

お次がSELinuxです。
Enforceが推奨されていますが、Enforceだとカチコチ過ぎて設定作業が捗らないこともあります。
前回までの作業でもかなりの手動介入を実施したところもあり、EnforceよりもPermissiveをお奨めします。
Permissiveは警告出力のみで実行はしてくれます。
設定中は、この方が無難で、面倒なこともなくなります。
(って説明なんだけど〜実際の挙動を見ていると停止したりしているような…)
なお、昨今のセキュリティ情勢を考えれば無効だけは止めた方が得策です。

ハードウェアプロファイルを送信するかどうかです。
私は送信しています。

次にユーザーの作成です。
root以外の一人を必ず作成します。
認証オプションでは、オプションタブでシャドウとMD5が有効になっていることを確認します。

サウンドはサーバーなら不要なのでインストールしないに限ります。
Windowsでも時折グズる原因の一つがサウンド関係です。
Linuxでは更に愚図るので使用しない方が得策です。

さて、これでログイン画面のgdmが表示されたら一旦再起動してしまいます。
私の迷信めいたことになりますが、どうもSELinuxに悪さされそうなんで、再起動させてしまいます。

おっと〜ずいぶんと長くなりました。
続きは明日以降にします。

2008年1月15日 (火)

fedora8で四苦八苦samba編

fedora8のpostfixは残すところheader_checksで不要なヘッダ情報を落とすだけ
になったのでファイルサーバーの構築を進めました。

結果から書けば、大失敗になっています。
顛末は次のとおり…。

samba関係のパッケージはswatを含めすべて入っている状況でした。
tl8sで慣れたところもあるのでselinux関係の設定だけが余計に必要です。
selinuxの設定については、既にいくつかのサイトや文献で記載されているよう
にbooleanを変更するだけ。

と思っていたのが間違いでした。
チャチャっと設定を終わらせ、サービスを開始させる…。
デーモンは起動できたが、肝心の共有サービスが一切開始されていない。
挙句の果てにsetroubleshootdからはアラーム出っ放し!!
smb_t、nmb_t、winbind_tとオールキャストの状態。

postfixやbind、dovecotで作成慣れした感もあるポリシーモジュールを作り、イ
ンストール。
setroubleshootdのアラームは静かになったが、依然として共有サービスが開始
されない。
泥沼に入ってしまったのである。

何度も設定をチェックし、サイトによって異なる設定方法にあうように修正し、
アラームが出ては静かにさせる…の繰り返し。
デバッグ出力も最大出力の10に設定してもドコが原因かを特定できない。
こうなるとドツボにハマるRedhatやFedoraである。
仕方なくsamba関係のパッケージをパッケージ管理ソフトから削除した。

こうして、今度は完全に落とし穴に落ちてしまったのである。

コンソールとgdmは起動するものの、GnomeやKDEが起動してくれない!!
どうやらX廻りのパッケージまで削除してくれたらしい…。

成功事例記事ではスンナりと昔の設定に毛が生えた程度で動くように書かれてい
るが、こうも愚図られたのは私のところだけかな?
皆様もfedora8でsambaを組むときは御注意くださいねぇ。
特にWindowsのようにパッケージを削除してインストールし直す!!
なぁんて考えたら、私のように落とし穴に落ちてしまいます。

2008年1月11日 (金)

fedora8で四苦八苦メール編

postfixとdovecotの組み合わせで設定作業中です。

サーバーへの外部からの受信、それをユーザーディレクトリへ配送するまでは完了しました。
サーバーから直接的に外部への送信も完了。

dovecotでLAN側からのメール閲覧も完了。
LAN側PCからの送信が未完了となっています。
どうやらSMTP-AUTHで躓いている模様。
なにせ送信サーバーへログインできない状況なので原因はハッキリ。
certファイルとかMD5とかPAMとかで頭が痛くなるので今日は止めときます。

それにしても、postfix+dovecotは軽いですねぇ。
しかも!
dovecotの定義ファイルはコメントアウトしまくってるビックリものなのだが、いくつかの項目を有効にして定義してやればすんなりimapsまで出来るとは…ビックリ仰天もの。
逆に下手にコメントアウトして手動介入すると…上手く動いてくれない優れものでもある。

2008年1月 9日 (水)

fedora8で四苦八苦

予定通り正月早々に週末雑貨のサーバーを停止してfedora8をインストール。
基本的なサービス設定を横着するためにwebminをインストール。
webmin越しにBINDとpostfixを真っ先に設定。
ここまでは順調に来ました。

 がっ!
 しか〜し!

落とし穴に落ちてしまいました…。
BINDはnslookupやmozillaからの問合には正常に応答し、返答していた。
postfixで早速に捕まってしまったのである…。
ローカル配信すら実行できないありさまには目が…の状態。
BINDのクエリ許可アドレスをボンミスしていたのは仕方ないのだが…。
postfixでは本来ならば不要と思われるSELinuxの手動設定が余儀なくされました。
手順を間違えただけかもしれませんが、devocotを動かす前にMaildir形式を意識してhomeディレクトリ下にマニュアル作成したのが失敗のもとだが、こちらは適当にコンテキストを修正して対処。
問題となったのはpostfixが転送作業をする際に使用する各種のコマンド群が
SELinuxのenforceではエラー出まくり!!!
パッケージからのインストールで、こうも躓くとは思ってもみなかった。
permissiveモードでエラーを吐き出しまくって、手動モジュール登録でどうにかこうにかメールだけは更新終了となりました。
この先、devocot、apache、Movabletype、Wiki、Webmailとシコタマ片付けていくところですが、思いやられそうです。

このあたり、少しはノートを残しながら作業していますので、下手なまとめになりますが、チビチビとアップする予定です。

« 2007年12月 | トップページ | 2008年2月 »

2013年12月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

最近のトラックバック

ウェブページ