11月 27

FreeBSD (sshd & hosts.allow)

Published by Masashi 1 response so far »
Read 3,419 views

サーバーをインタネットに公開するとsshの扉を叩く人がかなりいます。それも手持ちの鍵(idとパスワード)を順番に片っ端から試していく奴が結構沢山。

そこで、Maxloginsを使ってみる。このツールはsyslogでsshアクセス失敗回数を監視し、一定の基準を超えたアクセス禁止のIPアドレスリストを吐き出す。そのリストをhosts.allowに取り込んでsshのアクセスを禁止する仕組み。
ツールの実体はここにある。 テキストファイルだけど、”maxlogins.pl”とかの名前で/usr/local/bin に保存すし、次のようにしてsyslogから実行できるようにしておく。

# chown root:wheel /usr/local/bin/maxlogins.pl
# chmod 750 /usr/local/bin/maxlogins.pl

/etc/syslog.conf に以下を挿入する。

auth.info;authpriv.info /var/log/auth.log # ←この行の次に
auth.info;authpriv.info |exec /usr/local/bin/maxlogins.pl # ←この行を追加

このmaxlogins.pl にはオプションを追加指定できる。

-e: アクセス禁止の解除時間の指定。デフォルトは12時間。

-e=1d, -e=24h, -e=1440m, -e=86400s という感じで指定する。この場合いづれも1日の意味。

-a: IPアドレスがブロックされるまでの最大試行回数。 デフォルトは3回。

-a=5 という風に指定する。

-l: ログレベルの指定。 ログはデフォルトで /var/log/auth.logに記録される。

-l=1: informational (e.g., new blocks)
-l=2: above, plus IP expirations
-l=9: verbose logging

/etc/hosts.allow をいじって「アクセス禁止のIPアドレスリスト」を読み込むようにする。

#ALL : ALL : allow
sshd : 127.0.0.1 : allow
sshd : /var/log/maxlogins : deny
sshd : ALL : allow

ちなみに、これをやったらpopとかimapとかの設定も忘れずに。

ftpd : localhost : allow
ftpd : ALL : allow
ipop3d : ALL : allow
imapd : localhost : allow
imapd : ALL : deny

最後に、 syslog を再起動。

# kill -HUP (syslogのpid)

ブロックされたIPアドレスは /var/log/maxlogins に記録される。

参考リンク: 1

FreeBSD, sshd
<
11月 27

FreeBSD (postfix: smtpd_client_restrictions)

Published by Masashi No responses yet »
Read 278 views

送信元のIPアドレスによる制限」を行う。

/usr/local/etc/postfix/main.cf に下記を追加

###############
# sender restriction
#
smtpd_client_restrictions = permit_mynetworks check_client_access hash:/usr/local/etc/postfix/reject_client

/usr/local/etc/postfix/reject_client を下記のように作成。

IPアドレス1(tab)REJECT
IPアドレス2(tab)REJECT
IPアドレス3(tab)REJECT

DBファイル作成してpostfixを再起動

# postmap /usr/local/etc/postfix/reject_client
# postfix reload

FreeBSD, postfix
<
11月 27

FreeBSD (smtp-auth)

Published by Masashi No responses yet »
Read 437 views

sasl2を入れてsmtp-authを有効にするために/usr/local/etc/postfix/main.cfに以下を追加。

PLAIN TEXT
CODE:
  1. ####################
  2. # SMTP AUTH w/SALS2
  3. #
  4. smtpd_sasl_auth_enable = yes
  5. smtpd_sasl_local_domain = $myhostname
  6. broken_sasl_auth_clients = yes
  7. smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination

/usr/local/lib/sasl2/smtpd.confを作る。

PLAIN TEXT
CODE:
  1. # cat /usr/local/lib/sasl2/smtpd.conf
  2. pwcheck_method: auxprop
  3. auxprop_plugin: sasldb
  4. mech_list: cram-md5 digest-md5 plain login

/etc/sasldb2を用意しておく。

PLAIN TEXT
CODE:
  1. # touch /etc/sasldb2
  2. # chown postfix:postfix /etc/sasldb2

smtp-authのユーザーを作る。

PLAIN TEXT
CODE:
  1. #  saslpasswd2 -c -u `postconf -h myhostname` username

パスワードを二回訊いてくるので入力する。

ユーザーのパスワードの変更

PLAIN TEXT
CODE:
  1. #  saslpasswd2 -u `postconf -h myhostname` username

同じくパスワードを二回訊いてくるので入力する。

ユーザーの削除

PLAIN TEXT
CODE:
  1. #  saslpasswd2 -u `postconf -h myhostname` -d username

ユーザーの確認

PLAIN TEXT
CODE:
  1. #  sasldblistusers2

参考リンク) 1, 2, 3

FreeBSD, postfix, sasl2
<
11月 27

FreeBSD (imap-uw)

Published by Masashi No responses yet »
Read 270 views

/usr/ports/mail/imap-uw

PLAIN TEXT
CODE:
  1. # portinstall mail/imap-uw

で一発。imapとpop3を使いたいので、/etc/inetd.conf を

PLAIN TEXT
CODE:
  1. pop3 stream tcp nowait root /usr/local/libexec/ipop3d ipop3d
  2. imap4 stream tcp nowait root /usr/local/libexec/imapd imapd

に変更。 kill HUP (inetd のpid) を忘れずに。

APOPでメールを取るので/etc/cram-md5.pwdを作成。こんな感じ。

PLAIN TEXT
CODE:
  1. username1    password1(平文)
  2. username2    password2(平文)
  3. username3    password3(平文)

パスワードを平文で入れなければいけないので当然 chmod 600 として他のユーザーから見えないようにしておく必要あり。 にしてもrootからは全部パスワードが見えるのであまりいい感じではない。自前サーバーならではということで目をつぶることにしている。

FreeBSD, imap
<
11月 27

FreeBSD (postfix)

Published by Masashi No responses yet »
Read 164 views

/usr/ports/mail/postfix のインストール

# portinstall mail/postfix

で一発。オプションはPCREとSASL2とTLSを指定。

Added group “postfix”.
Added group “maildrop”.
Added user “postfix”.
You need user “postfix” added to group “mail”.
Would you like me to add it [y]?

と訊いてくるところはそのままエンター(y)。

Would you like to activate Postfix in /etc/mail/mailer.conf [n]?

ここはsendmailではなくpostfixを有効にしたいので”y”。

postfix-2.3.4,1
cyrus-sasl-2.1.22
pcre-6.7

がインストールされました。
あとの設定は、/etc/rc.confで

postfix_enable=”YES”

sendmail_enable=”NO”
sendmail_submit_enable=”NO”
sendmail_outbound_enable=”NO”
sendmail_msp_queue_enable=”NO”

/usr/local/etc/postfix にmain.cfがあるので、cp -p main.cf main.cf.orgでバックアップしてから編集。

myhostname = virtual.domain.tld
mydomain = domain.tld
myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain $mydomain
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

rehash かけたあと、newaliasesしておけば一応OK。

FreeBSD, postfix, sasl2
<
11月 26

FreeBSD (PPPoE)

Published by Masashi No responses yet »
Read 217 views

今回のサーバーの回線は友人宅の関西系のBフレッツファミリー100。フレッツスクエアを使っていないので余ったセッションを使わせてもらうという 作戦。他人のルーターいじくるのはお互い面倒な目に遭うといやなので光ONUと既設ルーターの間にハブをかませてそこからサーバーへ分岐。サーバーから勝 手にPPPoEで二つ目のセッションを掴みます。

/etc/ppp/ppp.conf

注:行頭の"_"は半角スペースに読み替えること。(誰か行頭にスペースを入れる方法教えて~)

PLAIN TEXT


CODE:





    

  1. 

    #####################
    

    2. 

  2. 

    # PPP Configuration File
    

    3. 

  3. 

    #####################
    

    4. 

  4. 

    default:
    

    5. 

  5. 

     set log Phase Chat LCP IPCP CCP tun command
    

    6. 

  6. 

     ident user-ppp VERSION (built COMPILATIONDATE)
    

    7. 

  7. 

     set device PPPoE:bge0
    

    8. 

  8. 

     set speed sync
    

    9. 

  9. 

     set ctsrts off
    

    10. 

  10. 

     set timeout 0  set MRU 1454
    

    11. 

  11. 

     set MTU 1454 # accept CHAP #flets HIKARI PREMIUM
    

    12. 

  12. 

     accept PAP                   #B flets
    

    13. 

  13. 

     add default HISADDR    #add a (sticky) default route
    

    14. 

  14. 

     enable tcpmssfix
    

    15. 

  15. 

     disable deflate
    

    16. 

  16. 

     disable pred1
    

    17. 

  17. 

    pppoe:
    

    18. 

  18. 

    _set authname ほげほげ@ほげほげ
    

    19. 

  19. 

    _set authkey へろへろ 
    

    20.

/etc/rc.conf

PLAIN TEXT


CODE:





    

  1. 

    :
    

    2. 

  2. 

    ifconfig_bge0="up"
    

    3. 

  3. 

    :
    

    4. 

  4. 

    ppp_enable="YES"
    

    5. 

  5. 

    ppp_mode="ddial"
    

    6. 

  6. 

    ppp_profile="pppoe"
    

    7. 

  7. 

    ppp_nat="NO"
    

    8. 

  8. 

     
    

    9. 

  9. 

    : 
    

    10.

あとは/etc/resolv.confを適当に。

これでインターネットにつながったらあとは基本的にはリモートでメンテなのでsshを立ち上げておきます。あらかじめ/etc/ssh/sshd_configの設定をしておくと吉。

FreeBSD, PPPoE
<
11月 23

FreeBSD (インストール)

Published by Masashi No responses yet »
Read 333 views

#最近、トラックバックスパムが多い。
#コメントやトラックバックは許可制にしてるのでいいんだけど。

サーバーを某所で立ち上げ中。 作業メモ代わりにここに書いていきます。

FreeBSDのCDを入手。

ftp://ftp.jp.freebsd.org/pub/FreeBSD/ISO-IMAGES-i386/6.2/

ここで “6.2-BETA1-i386-disc1.iso”を落としてきてCDに焼いてCDブートでX関係は入れないでちゃきちゃきと。

結果的にSATAの250GBのHDDにインストール。

こんな感じでスライス切りました。

/          512MB
Swap    2GB
/tmp     2GB
/var      128GB
/usr      108GB

メールを溜め込んだりDB使ったりとかあるので/varは多目に取りました。メモリーは1GB積んでいるのでその二倍が目安?最初にインストーラーにお任せでスライス切らせてみたらやっぱり2GBだったからその法則を採用しているのでしょう。

FreeBSD
<