カテゴリー
Apache FreeBSD Software

FreeBSD (Apache2.2)

今日は適当にメモっただけ。後日清書するかも。

/usr/ports/www/apache22

/usr/local/etc/pkgtools.conf

MAKE_ARGS = {
‘www/apache22′ => [
‘WITHOUT_DAV_MODULES=yes’,
‘WITHOUT_PROXY_MODULES=yes’,
‘WITHOUT_IPV6=yes’,
],
}

# portinstall www/apache22

# diff /usr/local/etc/apache22/httpd.conf httpd.conf.org

40c40
< Listen www.xxx.yyy.zzz:80

> Listen 80
132c132
< ServerAdmin www@ほげほげ

> ServerAdmin you@example.com
453,468d452
< < NameVirtualHost *:80
<
<
< ServerAdmin webmaster@ほげほげ
< DocumentRoot /usr/home/www/404
< ServerName 404.ほげほげ
<
< Options Indexes FollowSymLinks
< AllowOverride None
< Order allow,deny
< Allow from all
<
< ErrorLog /var/log/404.ほげほげ-error_log
< CustomLog /var/log/404.ほげほげ-access_log common
<

こうしておけば /usr/local/etc/apache22/Includesで設定していないホストへのアクセスを全部ここに集中できる。

# /usr/bin/openssl genrsa -out /usr/local/etc/apache22/server.key 1024
# /usr/bin/openssl req -new -days 365 -key /usr/local/etc/apache22/server.key -out /usr/local/etc/apache22/server.csr -out /usr/local/etc/apache22/server.csr

なんちゃって自己証明
# /usr/bin/openssl x509 -in /usr/local/etc/apache22/server.csr -out /usr/local/etc/apache22/server.crt -req -signkey /usr/local/etc/apache22/server.key -days 365

# chmod 600 server.*
を忘れずに。
/usr/local/etc/apache22/extra/httpd-ssl.confのDocumentRoot, ServerName, ServerAdminをを適当に書き換えて/usr/local/etc/apache22/Includes/httpd-ssl.confに置く。

あと、必要に応じて /usr/local/etc/apache22/IncludesにVirtual Hostのファイルを作って置けばOK。こんな感じ

# Virtual Hosts
#

ServerAdmin webmaster@へろへろ
DocumentRoot /usr/home/www/http
ServerName www.へろへろ
ServerAlias へろへろ

Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all

ErrorLog /var/log/www.へろへろ-error_log
CustomLog /var/log/www.へろへろ-access_log common
Apcheの再起動は /usr/local/etc/rc.d/apache22 restart

# /usr/local/etc/rc.d/apache22
Usage: /usr/local/etc/rc.d/apache22 [fast|force|one](start|stop|restart|rcvar|re
load|graceful|gracefulstop|configtest|status|poll)

/usr/local/etc/apache22/Includes/no-accf.confはそのままそっと置いておく。

カテゴリー
FreeBSD Software

FreeBSD (sshd & hosts.allow)

サーバーをインタネットに公開するとsshの扉を叩く人がかなりいます。それも手持ちの鍵(idとパスワード)を順番に片っ端から試していく奴が結構沢山。

そこで、Maxloginsを使ってみる。このツールはsyslogでsshアクセス失敗回数を監視し、一定の基準を超えたアクセス禁止のIPアドレスリストを吐き出す。そのリストをhosts.allowに取り込んでsshのアクセスを禁止する仕組み。
ツールの実体はここにある。 テキストファイルだけど、”maxlogins.pl”とかの名前で/usr/local/bin に保存すし、次のようにしてsyslogから実行できるようにしておく。

# chown root:wheel /usr/local/bin/maxlogins.pl
# chmod 750 /usr/local/bin/maxlogins.pl

/etc/syslog.conf に以下を挿入する。

auth.info;authpriv.info /var/log/auth.log # ←この行の次に
auth.info;authpriv.info |exec /usr/local/bin/maxlogins.pl # ←この行を追加

このmaxlogins.pl にはオプションを追加指定できる。

-e: アクセス禁止の解除時間の指定。デフォルトは12時間。

-e=1d, -e=24h, -e=1440m, -e=86400s という感じで指定する。この場合いづれも1日の意味。

-a: IPアドレスがブロックされるまでの最大試行回数。 デフォルトは3回。

-a=5 という風に指定する。

-l: ログレベルの指定。 ログはデフォルトで /var/log/auth.logに記録される。

-l=1: informational (e.g., new blocks)
-l=2: above, plus IP expirations
-l=9: verbose logging

/etc/hosts.allow をいじって「アクセス禁止のIPアドレスリスト」を読み込むようにする。

#ALL : ALL : allow
sshd : 127.0.0.1 : allow
sshd : /var/log/maxlogins : deny
sshd : ALL : allow

ちなみに、これをやったらpopとかimapとかの設定も忘れずに。

ftpd : localhost : allow
ftpd : ALL : allow
ipop3d : ALL : allow
imapd : localhost : allow
imapd : ALL : deny

最後に、 syslog を再起動。

# kill -HUP (syslogのpid)

ブロックされたIPアドレスは /var/log/maxlogins に記録される。

参考リンク: 1

カテゴリー
FreeBSD postfix Software

FreeBSD (smtp-auth)

sasl2を入れてsmtp-authを有効にするために/usr/local/etc/postfix/main.cfに以下を追加。

####################
# SMTP AUTH w/SALS2
#
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination

/usr/local/lib/sasl2/smtpd.confを作る。

# cat /usr/local/lib/sasl2/smtpd.conf
pwcheck_method: auxprop
auxprop_plugin: sasldb
mech_list: cram-md5 digest-md5 plain login

/etc/sasldb2を用意しておく。

# touch /etc/sasldb2
# chown postfix:postfix /etc/sasldb2

smtp-authのユーザーを作る。

#  saslpasswd2 -c -u `postconf -h myhostname` username

パスワードを二回訊いてくるので入力する。

ユーザーのパスワードの変更

#  saslpasswd2 -u `postconf -h myhostname` username

同じくパスワードを二回訊いてくるので入力する。

ユーザーの削除

#  saslpasswd2 -u `postconf -h myhostname` -d username

ユーザーの確認

#  sasldblistusers2

参考リンク) 1, 2, 3

カテゴリー
FreeBSD Software

FreeBSD (imap-uw)

/usr/ports/mail/imap-uw


# portinstall mail/imap-uw

で一発。imapとpop3を使いたいので、/etc/inetd.conf を


pop3 stream tcp nowait root /usr/local/libexec/ipop3d ipop3d
imap4 stream tcp nowait root /usr/local/libexec/imapd imapd

に変更。 kill HUP (inetd のpid) を忘れずに。

APOPでメールを取るので/etc/cram-md5.pwdを作成。こんな感じ。


username1    password1(平文)
username2    password2(平文)
username3    password3(平文)

パスワードを平文で入れなければいけないので当然 chmod 600 として他のユーザーから見えないようにしておく必要あり。 にしてもrootからは全部パスワードが見えるのであまりいい感じではない。自前サーバーならではということで目をつぶることにしている。

カテゴリー
FreeBSD postfix Software

FreeBSD (postfix)

/usr/ports/mail/postfix のインストール

# portinstall mail/postfix

で一発。オプションはPCREとSASL2とTLSを指定。

Added group “postfix”.
Added group “maildrop”.
Added user “postfix”.
You need user “postfix” added to group “mail”.
Would you like me to add it [y]?

と訊いてくるところはそのままエンター(y)。

Would you like to activate Postfix in /etc/mail/mailer.conf [n]?

ここはsendmailではなくpostfixを有効にしたいので”y”。

postfix-2.3.4,1
cyrus-sasl-2.1.22
pcre-6.7

がインストールされました。
あとの設定は、/etc/rc.confで

postfix_enable=”YES”

sendmail_enable=”NO”
sendmail_submit_enable=”NO”
sendmail_outbound_enable=”NO”
sendmail_msp_queue_enable=”NO”

/usr/local/etc/postfix にmain.cfがあるので、cp -p main.cf main.cf.orgでバックアップしてから編集。

myhostname = virtual.domain.tld
mydomain = domain.tld
myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain $mydomain
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

rehash かけたあと、newaliasesしておけば一応OK。