240.むぅ |
|
| 投稿者: | ぴゅあ - 2003年07月12日 14時51分47秒 |
| 仕事ないな 日本ぢゃもう無理ってことかな・・・ て 何処え・・・ Webminを活用してPostfixのドキュメント整理約半分 て下書きだけかつWebminで見て半分てだけだけど たぶん明日辺りルーター作り直すので半日?くらいインタネとお別れ > XPが触れる(*^_^*) Proですよね? Homeだとsambaに繋がらないのか苦労するのかも?(Winでいうところのワークグループ構成なら問題ないのかな) 噂だけだから知らんけど 今時Homeマシンなんてないのかな? コメント>> |
|
239.Webminのインストール with openssl & Net_SSLeay.pm (2) |
|
| 投稿者: | Pyzar - 2003年07月12日 11時48分57秒 |
| >ぴゅあさん レスありがとうございます。 > opensslってRed Hatのディストリビューションに入ってなかったけか? openssl-0.9.6b-33は最小構成のインストールで入ってくれたみたいですが openssl-devel-0.9.6b-33はインストールされてませんでした。 で、RedHat8.0のFTP版のCDに入っているとは思いますが… どのCDに入っているのか捜すのが面倒で… RedHatのサイトでopenssl-devel-0.9.6b-33.i386.rpmをもらって来ました。 # 今日辺り、ひとつパソコンを買いに行く予定… # わたしのじゃありませんが…でも、管理はわたしかな!? # XPが触れる(*^_^*) コメント>> |
|
238.あら・・・ |
|
| 投稿者: | ぴゅあ - 2003年07月12日 3時19分22秒 |
| あってって書いたのに・・・(><) で 読んでる途中で***-develだなと思ったけど見つけましたね SSLがあるかどうかは未確認(RPMに絡みが) てか単にRPMからのインストだけだし 実際SSLによる通信はできてません というかSSLの設定何もしてないから (でもプロバイダがtelnetのSSL化してしまったからクライアントの設定とうとうやってみんといかんのよね・・・別に急がんけど ただいつかはやっときたいと思ってたことではある) ポイント develってのは前に書いたと思うけどたぶん(でなくてもそのまんまそーぢゃろー)developの略 でコンパイルの時には必ず出てくる(というよりコンパイル用のものと考えればいいかな)と思えばいい 中身は何かというとコンパイル用のライブラリだと思う(って見りゃ判るだろけど割愛) 例えばCのコンパイルをするときなんかは関数のライブラリをリンカーでリンクするけどそのときのライブラリファイルがdevelに入ってると思ってほぼ間違いないぢゃろ のでPAMのときもそうだったけど***-develってのが出てくるのだ opensslってRed Hatのディストリビューションに入ってなかったけか? iptablesのまとめしてルーターの再構築しなきゃと思いつつ Webminの画面も参考にPostfixのドキュメント整理ってかmain.cfの設定項目の調査&整理してたりして・・・(汗) 叩いてるけど・・・ コメント>> |
|
237.Webminのインストール with openssl & Net_SSLeay.pm |
|
| 投稿者: | Pyzar - 2003年07月12日 0時31分38秒 |
| Webminインストールしてみました。 ぴゅあさんがrpm版をインストールしてLanguagesメニューがないとのことなので webmin-1.100.tar.gzからやってみました で、opensslを使ってやってみようと思い、opensslがインストールされているのは確認したのですが… Net_SSLeay.pmについては確認していませんでした… # tar zxvf webmin-1.100.tar.gz # cd webmin-1.100 # ./setup.sh いろいろ聞かれましたがほぼ"Enter"キーのみで作業が流れ… でも…opensslを使うかどうか聞いてくれません… なんだか…ないって言っているみたい… で、Net_SSLeay.pmがないことにやっと気づきました… で、CPANサイトへ行って最新ヴァージョンのNet_SSLeay.pm-1.23.tar.gzをもらい $ tar zxfv Net_SSLeay.pm-1.23.tar.gz $ cd Net_SSLeay.pm-1.15 $ perl Makefile.PL $ make;make test …エラー…opensslがないよって言う…えっ!!あるでしょ?? で、再確認… $ rpm -qa | grep openssl openssl-0.9.6b-33 ある…あるのにないって言う… で、CPANサイトにそれぞれのヴァージョンのReadMeがあったので英語は読めないけれど見てみました… と、opensslのヴァージョンが違う…これかなと思い… openssl-0.9.6bがReadMeに書いてあるヴァージョンをもらって来ましたが… やっぱりopensslがないって言う で、Google…ぴゅあさんがあやしいと言っていたWebminのMLっぽいところに答えがありました openssl-develがないとエラーが出るそうで… んで、openssl-devel-0.9.6b-33.i386.rpmをもらってインストールして Webminの設定のSSL暗号化 SSL サポートのEnable SSL if available?の「はい」にチェックを入れて完了(*^_^*) えらい回り道をしてしまいました # 覚え書き /usr/local/etc/webmin/uninstall.shでアンインストール コメント>> |
|
236.おぉ さんきゅ |
|
| 投稿者: | ぴゅあ - 2003年07月11日 23時10分54秒 |
| Userminとかあるよなぁ Webminの環境設定とかなんでないんかなと思ってたらあったのね Postfixは日本語対応「×」になってるからどっちにしてもダメかぁと思ってたけど念のため見てみたら日本語化されてる ヘルプは英語のままだけど少しは見やすいわぁ Linux上の殆どの(?)の設定ができて(最近使われているらしい?GNOME?は知らないけど)Linuxconfよりはかなり見やすい@SWAT風だから使ってみるといいかもね ただし 簡単に設定できるからといってそれはconfファイルとかをどう設定するのかいまいち解からんとか解かった上で楽に設定するために使うようにしてconfファイルとかの仕組みを理解するのを怠らんように注意することは大切ぢゃろね てのも ぢぶんの環境の設定をするだけで終わるのならそれでも十分だろうし(十分に理解して各々を使えるかどうかは別として)すすのかも知れんけど ぢぶんのではない環境を見ないといけないとなったときに○○○なツールがなきゃできんではちと苦しいもんがあるしね それとトラブった緊急時には細かなところを見なきゃいけないことが多々だろうから上っ面なツールを使っていただけでは@ツールを使っていたために直接操作できなくなってしまっているようでは困るかもね ということで コメント>> |
|
235.WebminのLanguagesメニュー |
|
| 投稿者: | Pyzar - 2003年07月11日 22時53分13秒 |
| >ぴゅあさん Webminにアクセスして"Webmin Configuration" で、一番右の上から二つ目です コメント>> |
|
234.そ |
|
| 投稿者: | ぴゅあ - 2003年07月11日 21時11分19秒 |
| ないのよ スクリーンショットを見るとシッカリと「turbolinux Webmin」と書いてあるでしょ でもって画面デザインがかなり違う で同様と思われるスクリーンショットの解説もあるけど・・・ 最新バージョン(v1.100)では他へ移動したんかしらん でPostfix−ArGoSoft Mail Server環境でローカルと外部(インタネ)の実験をしてみた て単純に複数のドメインを扱ってみただけなんだが・・・ ArGoSoft Mail Serverフリーウェア版では末端としてのサーバー機能しかなくてリレーのテストはできない ので。。。 クライアント−Postfix−ArGoSoftと繋げてPostfixのメルボックスに入るかArGoSoftへリレーされてArGoSoftのメルボックスへ入るか またそれ以外のドメインが破棄されることを確認した(つまりプロバイダのサーバーの方へは行かないことを確認) /etc/postfix/main.cfへの追加は relayhost = [ArGoSoftのあるIPアドレス] ArGoSoftに用意したドメインのまま扱うためにそのホスト名で指定したくて/etc/hostsに書いたけど見付からんと言われてしまったのでIPアドレスで指定した・・・ こうするとPostfixへ送られたローカルであるドメイン以外のメルはrelayhostに書いたマシンへ行ってArGoSoftが受け取るようになる ArGoSoftにあるドメイン以外のメルは知らんと返ってくる(これはArGoSoftが返すんでなくてPostfixがArGoSoftに問い合わせたら知らんと言われたと「Posftfixが」送信者に返すらしい) ただArGoSoftへ送ったメルはArGoSoft(フリーウェア版)にリレー機能がないため実験不可能 これでいちお片側だけはリレーができるのは確認できたと思う 要らん外部から送られるメルの拒否は mynetworks = 192.168.2.0/24, 127.0.0.0/8 みたいな感じでやる ただこれだと外部SMTPサーバーとのやりとりができんかもね・・・ それを試さんとです もひとつ virtual_maps = hash:/etc/postfix/virtual サンプルcfファイルによるとvirtual_alias_mapsとvirtual_alias_domainsを使うんだとあるけど認識されない・・・ のでvirtual_mapsで指定してみた postmap /etc/postfix/virtualを実行してvirtual_maps = dbm:/etc/postfix/virtualと書いてみると固まってしまうようでこれはやめた・・・ /etc/postfix/virtualには新たに用意したドメインでそのアカウントをローカルにあるアカウントに転送することでローカルが受信できるようにした つまり新たなドメイン宛に送信するとローカルのドメインへ転送してくれる 新たな・・・はインタネ上に実在するドメインを想定してあるのでインタネ上から送られたメルがマシン内に入ってきた後にローカル内のアカウント宛に転送されるということになる これはもうひとつの機能であるメルボックス付きバーチャルドメインにしてやるとローカルなアカウントとは別管理できる筈だけどそれはとりあえずやってない@メルボックスとか用意してやらんといかんので これはちゃんと期待したメルボックスに入っているということからこのサーバーが呼ばれさえすればインタネ上のドメインで受信できるということ あとはちゃんとしたリレー(要らんのを拒否する)の確認ぢゃな それはArGoSoftの部分にリレーできるものを使えば確認できるということ コメント>> |
|
233.RE:Webmin実験 |
|
| 投稿者: | Pyzar - 2003年07月11日 20時39分53秒 |
| >ぴゅあさん ↓ここにえらい簡単に日本語化が書いてありますが http://www.a-yu.com/tools/webmin.html#c "「System」メニュー内の「Languages」から「Japanese」を選択"がないということですか?? コメント>> |
|
232.Webmin実験 |
|
| 投稿者: | ぴゅあ - 2003年07月11日 17時21分29秒 |
| してみた ふと最初に戸惑ったけど簡単だった 1.Webminサイトへ行く http://webmin.ispace.co.jp/ (国内ミラーサイト) 検索するとユーザー会もあるんだけど・・・ http://jp.webmin.com/ なんか怪しい(−−; でもいちおユーザー会らしい (て パッと見てそんな印象を受けただけだから・・・) 2.Webmin - Downloading and Installingからwebmin-1.100-1.noarch.rpmをダウンロード Red Hat 8.0,9共にサポート 3.インストール rpm -ivh webmin-1.100-1.noarch.rpm 事前にrpm -qpl webmin-1.100-1.noarch.rpmで確認しておいたがそのままインストして問題ない筈(衝突とかインスト先とか) 4./etc/init.d/webmin start いちお/etc/webmin/miniserv.confとかを触る必要はない筈 どんなファイルがインストされるかはrpm -qpl webmin-1.100-1.noarch.rpm | moreで1ページ目を見とけば判る(でもって/etc/init.d/webminの最初の方のパス定義をチェック) 5.他のマシンのブラウザからアクセス http://サーバーのIP:10000/ ログイン画面が出てきたらrootとそのパスワードでログイン ブラウザで繋がらんぞー でちと悩んだが そのままではlocalhostでしか繋がらんとか彼方此方に書いてあったみたいだけど・・・ たまたまサーバーアドレスを間違えてただけ(照) 現在Linuxだけでもサーバーは3台立ち上がっていたので・・・(汗) あとは簡単なので操作してみりゃいい SWAT感覚って感じでもあるかな メニューはXのエクスプローラって感じもあるけど ただしモジュールが不足している筈だし余計なものも入っている筈 足りないものは後でダウンロードして追加するというイメージらしい 日本語化は・・・ 彼方此方で説明されている方法が存在しない 一部のディストリビューションでの話か?って感もある(どう見たって専用な画面サンプルもあったり) 実際全てではないが日本語対応しているって本家にもあるがどうするんぢゃ?って感じ ただX上で操作する代わりになるので非常に便利になってくれるかも? セキュリティの注意 ファイアウォール内にあれば・・・というよりプライベートなネットワーク内の場合にはそれほど心配する必要はないだろうけどいくらプライベートでもプライベートなIPを装うって入ってきたのには対応できないかも ※それがiptablesでやってた「外部I/Fなのに-d 192.168.0.0/24なのは拒否する」とかって一連のやつ 10000てことは1024〜なのでチェックが甘くなってたりすることも多かったりするでしょう のでちゃんとアクセス許可対象を設定しておいた方がいい それはブラウザ上でできる筈だしたぶん/etc/webmin/miniserv.confにallow=192.168.0.1とかって書く(当然クライアントのIP) こんなとこまで見れるンかぁ で結構便利とも思ったので試してみるのもいいかも ただ楽で便利と思うということは当然楽にクラックされ得るということでもあるので簡単に扱える半面セキュリティの手間は困難になるということも把握しておくこと あとPostfixを再度試してみた って前に設定したまま再び立ち上げたままだが sendmailとPostfixの切替は今回CUIで(ホントは手で覚えておくべき) redhat-switch-mailコマンド Xでもコンソール/端末でも同じコマンドで起動できる(とXでは起動したことないが) Postfixの設定を再びやろうと思ってふとWebminのことを思い出して試してみることにしたのだが まぁ設定は本家SWATくらいに楽になる筈は確かだと思う(ただしバージョンが対応していることに注意) また受信したメルまでWebminで確認できた(日本語は化けてたが・・・) 取り敢えずはPostfixの設定方法の調査に使えればと期待している そしてPostfixを調べるためにいくつかのサイトを調べていたけど(とそのURLは割愛しとく) ふとずっと前に偶然見つけて気に入っていたサイト@(有)ビットリンク社なんだが Postfixに関する情報もないかな?と思ったけどそれは残念ながらなかった(そもそも多数のサーバーを扱っているわけではないことは判っていたので・・・) そこでふといいものを見つけた ArGoSoft Mail Server http://www.argosoft.com/applications/mailserver/ ローカル内で実験するのにもう一個Postfixを立ち上げればだけど 適切な設定がまだ不完全なのにPostfixを使ったのでは余計混乱するのは間違いない のでWin上でこやつを立ち上げてみようかと思ってみたとこ って形でPostfixの設定方法を細かく追究してみようかと考えてたりする てかルーターの再構築の「準備」やらんとね・・・ コメント>> |
|
231.忘れ |
|
| 投稿者: | ぴゅあ - 2003年07月11日 13時42分43秒 |
| *1てやつ > その後サーバーは通常受け入れる筈なので(*1) 気付いたときは眠かったので後にした(照) 前にも書いたから言うまでもないけどサーバーによるアクセス制御でアクセスを許可するか拒否するかといったことよね これはやはりiptablesでやるかサーバーでやるかってことになる いちお1つの指針としてはインターフェイス絡みはiptablesでやることになるだろうしiptablesでないとできんぢゃろう ・インターフェイス(eth0など)から入ってきたパケットが正当なネットワーク(192.168.0.0/24とか)のものからとされているか ・インターフェイス単位やネットワーク単位での許可/拒否 ただ特定のネットワークとかするんだったらそれはサーバーでするのがパフォーマンスが上がるだろう ユーザー単位とか細かな単位になってくると今度はiptablesでは困難でサーバーでやるってことになるだろう ・クライアント単位・ユーザー単位とかで制御するとき ・特定のネットワーク単位で制御したいときなど iptablesで評価するルールが増えると対象外のパケットに対しての評価されるルールも増える(評価対象外だという評価) のでiptablesでやるかサーバーでやるかうまく考えるとパフォーマンスの向上に繋がるだろうとは前に書いた どちらを先に書いても同じというルールの場合にはどちらを先に書くとパフォーマンスがよくなるか/そういうことがあるのかを考えてみるのもいいだろう 例えば滅多に来ない筈と判っているパケットへのルールがあるとしよう より多くの頻度で来るパケットへのルールがそれより後にあって且つお互いに関連性がなく且つどちらを先に判定しても問題がないとき と当然後者を先に評価させた方がパフォーマンス向上に繋がる筈である でふと もう1つの方法は・・・ これをやるとネットワーク単位・クライアント単位もiptablesのルールに書きたいという場合に効果があるかもしれないと思ったりする それはあまり条件の多くない且つ共通のルールを書き-j先をnameにする -Nで作った新しいnameにはネットワーク単位・クライアント単位のルールを書く ってやっとくと-jの辺りにあった複数のルールはそこからなくなり分岐した先(nameのブロック)で処理されるので関係ないパケットの評価が早くなる筈である 当然-jのところのルールはうまく簡潔になるように十分検討する必要もあるだろう 下手に簡単に分離して(ある意味プログラミングでのサブルーチン化/関数化/モジュール化みたいなもん)返ってパフォーマンスが落ちてたんぢゃ意味がない 見易さ・管理し易さってのも関連してくるだろう しかし見易さ・管理し易さを求めたためにパフォーマンスを犠牲にしていたのではiptablesとしての機能としてはちと好ましくないとも考えられたりするだろう ※一個しかないルールをそういう形にしても意味はない 少なくとも-jのルールが「一個増える」ということを頭に入れておく必要がある (1個のルールが二個に分割されるということになる・・・当然-jがある辺りはパフォーマンスは上がる筈だが) と-Nで作るnameなルールが増えるのもそのテーブルが増えるので微妙にパフォーマンスに影響を与えたりもするだろう(テーブル検索が発生するだろうから)@あまりに多いと そしてやはりiptablesでやるかサーバーでやるかは好み次第だけど管理方法を統一しておいた方が混乱が少ないというのは言うまでもないだろう FTPをアクティブで使うときほぼ必ずヘルパーモジュールがロードされなかったりするみたいなので /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp が必要になるらしい またESTABLISHEDを使うってことは便利なのは間違いないと思うんだが少しの抵抗としてNATの如くテーブルが作られる(だろう)というのがある なんでかってパケットごとにテーブル検索が入る筈だからである どっちがお徳かは十分に検討してみる余地はあるんだろうね ただ簡単に確実にってのはある(余計なパケットをウッカリ漏らす可能性も低減できるだろうしね) ESTABLISHEDを使うとヘルパーモジュール(ip_conntrackだったかな?)が追加ロードされるようでもあったんだな それがsyslogに出てたからちとうーんと思ったりしたってのもあったのだった 土日辺りでルーターを作り直し&Red Hat 9へのアップグレードをやろうかと考えてるので早く整理しとかないと WebサーバーもWinからLinuxに変えてしまいたいとこだけどそれは次回かな おなかすいた ↓のはどんな風に捉えたんだろうと思っただけのことで すいませんとかってもんぢゃないですよ コメント>> |
|