玄人志向 KURO-BOX/HG

玄人志向 KURO-BOX/HG

このサーバは2007年6月30日から丸10年間 nice.kaze.com サーバとして稼動しましたが、リプレースのため、2017年7月15日15時6分に停止しました。
トラブル対策記録はここです。

KURO-BOX/HG をゲット！

2007年4月13日、ヨドバシカメラ秋葉原店で玄人志向 KURO-BOX/HG を 15,800円－10%ポイント還元＝実質 14,220円で入手しました。（2007年7月6日にも、もう1台購入しました。15,800円－13%ポイント還元＝実質 13,746円でした。） Linux サーバと考えるとお手頃な値段です。

この KURO-BOX/HG を購入する時点で、KURO-BOX/PRO という上位版の製品も発売されていましたが、この製品は ARM プロセッサなので、バイナリファイルがほとんど流通していないのと、浮動小数点演算が KURO-BOX/HG の PowerPC より遅いので見送りました。

KURO-BOX/HG とは何者か？

玄人志向は BUFFALO の関連会社で、半完成品をキットとして出荷しています。この KURO-BOX/HG は NAS（Network Attached Storage)・・・要するにLANディスク・・・です。 HDD が未実装の状態で売られており、自分で HDD を組み込んで NAS として使うというコンセプトの製品です。
ところが、NAS と聞いて直ぐに思い浮かぶのは、UNIX 系 OS に samba（UNIX ファイルを Windows 共有ファイルに見せかけるソフト。）を入れているのだろう・・・その通りなのです！
Linux に samba を組み込んでいます。そうすると、この Linux を拡張するとサーバとして使えるはず・・・とオタクなら発想します。サーバとして使えるかどうか、ハードウェアを調べると、
- CPU: PowerPC 266MHz
- RAM: 128MB
- FlashROM: 4MB
- LAN: 1000BASE-T
- 電源: 内蔵
- HDD: 3.5"IDE, 非実装, 容量は任意
と、おいしいスペックです。大体はマイクロサーバのぷらっとホーム OpenBlockS266 と同じくらいか、電源内蔵＆HDD 内蔵ということでスペック的には上です。これが14,000円程度なら安いです。 OpenBlocks は超省電力・超低発熱ということで信頼性はかなり高いと思われ、それが必須の分野向け製品と思います。要するにプロユースです。 KURO-BOX は信頼性の面で OpenBlocks より劣ります。
筐体は一般の LANディスク並みの大きさですから、以下が期待できます。
- 片手で軽く持てる＝十分マイクロサーバ領域・・・私はノートパソコンの代わりに KURO-BOX/HG を持ち運んでいるくらいですから
- 消費電力が小さい＝ 24時間365日稼動も可能
ソフト構造として、デフォールトで FlashROM に ROM Linux が入っています。（正確には ROM に入った Linux のイメージを一旦 RAM disk に移してから OS が立ち上がるという動作になります。）購入時はこの ROM Linux が動作しています。ファームウェアアップグレードツールにて、NAS Linux システムおよび samba システムを Windows マシンから読み込んだ後に、システムを NAS Linux に切り換えて動作します。 ROM Linux のことを、この製品では EM-mode と言います。 Telnet でログインした時のプロンプトにも EM-mode と表示されます。 EM とは Engineering Mode または EMergency の略だと思います・・・HDD 故障などの場合、自動的にこのモードになるので・・・
EM-mode と NAS Linux のどちらで立ち上がるかは、/dev/fl3 の先頭4バイトを見ています。
```
NGNG・・・EM-mode
OKOK・・・NAS Linux
```
- NAS Linux から EM-mode に強制移行するには、背面にある「初期化スイッチ」を長押し（3秒以上）します。
- EM-mode から NAS Linux に戻すには、Telnet ログインして root になって、以下のコマンドを実行します。
```
# echo -n 'OKOK' > /dev/fl3
```

サーバ構築目標

OS は Debian Linux とする・・・フリーライセンスですが、かなりマトモ。
apache2, Postfix, ProFTPD, OpenSSH, samba サーバを立ち上げる。
CML メーリングシステムを導入する。
webmin を導入してサーバ環境メンテナンスを GUI ベースで行う。
ntpdate, wget を導入する。
セキュアな設定に努める。
リカバリ CD-R を作成して、HDD 故障などに備える。

まずは Debian Linux 立ち上げだ！

Debian Linux のソースを最初からコンパイルしていたのでは、かなり根性が必要です。また、開発用として Debian Linux が動作するパソコンを立ち上げる必要もあります。ここは先人の努力結果をそのまま頂戴することにします。

KURO-BOX/HG を組み立てる
準備した HDD を KURO-BOX/HG に組み込みます。インターネットサーバとして運用するのが目的ですから、HDD の容量は 20GB もあれば十分と考えます。ところが現在（2007年）では、このような低容量のドライブは売っていないです。最低ラインが 80GB になっています。私は、2007年6月1日にツートップ秋葉原本店で4,880円だった Hitachi Deskstar HDS721680PLAT80 を購入しました。 80GB, 7200RPM, Cache 8MB, ATA/133 の3.5インチドライブです。外形は比較的薄型で消費電力も騒音も小さいですから、マイクロサーバとしては理想的です。新品を買うなら、信頼性と消費電力、騒音から日立がお奨めです。
KURO-BOX/HG 標準のファームウェアアップデートツール（添付 CD-ROM に入っています。）を起動して、NAS としてのセットアップをします。このツールは「ファームウェアアップデートツール」とありますが、実際の動作は、HDD をパーティション設定して Linux と samba のインストーラです。デフォールトのネットワーク設定は以下となります。

ワークグループ名 workgroup

ホスト名 kuro-box

IPアドレス DHCPによる自動取得
270氏のサイトから Debian Linux Ver3.0 / Linux kernel 2.6.17.3 のイメージ debian-sarge-2.6.17.3-kuroHG-20060702.tgz を Windows-Xp パソコンにダウンロードしてから KURO-BOX/HG の共有「share」に転送します。
telnet で KURO-BOX/HG に以下の ID / Password で root ログインします。 EM-mode では、KURO-BOX/HG は DHCP クライアントとして動作しています。 DHCP にて取得した IP address を知るには、ファームウェアアップデートツールでスキャンして表示された IP address を見るか、DHCP サーバ（通常はルータ）の自動設定情報を見る等にて確認してください。

ID root

Password kuroadmin
debian-sarge-2.6.17.3-kuroHG-20060702.tgz が手順3で /mt/share ディレクトリに入っているので、これを解凍します。解凍後、debian-sarge-2.6.17.3-kuroHG-20060702.tgz は削除します。
```
# cd /mnt/share
# tar xzf debian-sarge-2.6.17.3-kuroHG-20060702.tgz
# rm debian-sarge-2.6.17.3-kuroHG-20060702.tgz
```

解凍したファイルを編集します。私は IP アドレス 192.168.1.201/24、DNS 192.168.1.1、gateway 192.168.1.1 で使いたかったので、以下のようにしました。変更または追加した部分は赤字で示しています。

/mnt/share/etc/hosts

127.0.0.1       localhost
192.168.1.201   KURO-BOX ← [使用環境に合わせて変更]

/mnt/share/etc/hosts.allow

# /etc/hosts.allow: list of hosts that are allowed to access the system.
#                   See the manual pages hosts_access(5), hosts_options(5)
#                   and /usr/doc/netbase/portmapper.txt.gz
#
# Example:    ALL: LOCAL @some_netgroup
#             ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper. See portmap(8)
# and /usr/doc/portmap/portmapper.txt.gz for further information.
#
ALL : 127.0.0.1
ALL : ALL ← [全ての端末からログイン可能とする]

/mnt/share/etc/resolv.conf

nameserver 192.168.1.1 ← [使用環境に合わせて変更]

/mnt/share/etc/network/interfaces

# Used by ifup(8) and ifdown(8). See the interfaces(5) manpage or
# /usr/share/doc/ifupdown/examples for more information.
iface eth0 inet static
address 192.168.1.201 ← [使用環境に合わせて変更]
network 192.168.1.0 ← [使用環境に合わせて変更]
netmask 255.255.255.0
broadcast 192.168.1.255 ← [使用環境に合わせて変更]
gateway 192.168.1.1 ← [使用環境に合わせて変更]
iface lo inet loopback
auto eth0 lo

再度圧縮して tmpimage.tgz というファイルを作成します。
```
# cd /mnt/share
# tar cvzf /tmpimage.tgz .
```
Windows-Xp パソコンから KURO-BOX/HG の共有「share」にアクセスすると、 tmpimage.tgz ができているので、これをパソコン側に保存します。
初期化スイッチを長押しして、KURO-BOX/HG を EM-mode に移行します。
手順4の ID / Password で FTP 接続し、 mkfs.sh と mkfs.dat を / に転送します。転送が終わったら、FTP 接続を切断します。
手順4と同様に telnet ログインします。 chmod で mkfs.sh を 777 にしてから、mkfs.sh スクリプトを実行します。このスクリプトはエラーチェックを何にもしていませんので、エラーなく終わったか自分の目で確認する必要があります。
```
# cd /
# chmod 777 mkfs.sh
# ./mkfs.sh
```
この操作でパーティションが切り直されます。 80GB HDD のパーティションは以下のようになります。 80GB 以外の HDD を使用する場合は、mkfs.dat を編集して「+60000M」「+512M」を適宜変更してください。「+60000M」が /mnt の容量、「+512M」が swap の容量になり、それ以外が /mnt2 に割り当てられます。
```
/dev/hda1 /mnt  60.0GB
/dev/hda2 swap   0.5GB
/dev/hda3 /mnt2 19.5GB
```
- swap をいくらにしようか悩んだのですが、メモリ容量×４としました。普通には×２あれば十分なので、余裕をみてその倍にしたのです。
- /mnt は Linux OS が入るパーティションで、ここに /var など必要なディレクトリ及びそれらのデータも入ります。 /var というのは、各アプリケーションのその他いろいろエリアとして使われたり、ログ情報が貯まります。よって、想像以上に /var が食われます。この点を踏まえて、/var を別パーティションにしない方針としました。
- /mnt2 は samba のデータ領域として使います。インターネットサーバですから、本来はこのような領域は要らないのですが、これをメンテナンス用途として使うために、あえて設定しました。 OS やデータのバックアップ仲介エリアとして使います。バックアップは一旦この /mnt2 に入れ、それを Windows マシンに取り込むという魂胆です。
手順4の ID / Password で再度 FTP 接続し、手順8で作成した tmpimage.tgz を /mnt に転送します。転送が終わったら、FTP 接続を切断します。
telnet に戻り、/mnt に tmpimage.tgz があることを確認後、これを解凍します。解凍後、tmpimage.tgz は削除します。
```
# cd /mnt
# tar xzf tmpimage.tgz
# rm tmpimage.tgz
```
NAS Linux に移行します。しばらくして、Debian Linux が立ち上がります。
```
# echo -n 'OKOK' > /dev/fl3
# reboot
```
telnet ログインすると「Debian Linux」というメッセージが表示されます。 Dibian Linux での ID / Password のデフォールトは以下です。 root になるには、まず、user (tmp-kun) でログインして、su コマンドで root を入力します。

　 root user

ID root tmp-kun

Password root tmp-kun

これで Debian Linux 立上げ完了です。お疲れさまでした。

OS とサーバソフトの導入

Debian Linux 4.0 (etch)

etch ・・・イッチと読みます。
導入時は Debian Linux 3.1 (Sarge) だったのですが、aptitude で upgrade して 4.0 (etch) にしました。 aptitude でやるとホントに楽です。全自動でできます。
```
# aptitude update
# aptitude upgrade
```
適時更新されるセキュリティパッチなどの導入も同じ手順でできます。

webmin 1.345

webmin はサーバ環境を GUI で管理できるソフトで、サーバ管理者の負担を大幅に減らすことができます。各サーバソフトの環境設定ファイルは直接編集するより、webmin でやったほうが、より判りやすいし編集ミスも回避できます。これが webmin を使うメリットなのです。
インストール
1. aptitude を実行してもインストールできませんでした。そこで webmin.com から Debian Linux 用パッケージ webmin_1.345_all.deb をダウンロードして dpkg でインストールすることにします。 dpkg というのは、apt-get や aptitude の下位に位置するアップデートマネージャです。 apt-get や aptitude の下で実際に動くのは dpkg です。
```
# dpkg -i webmin_1.345_all.deb
```
2. 実行すると openssl, libauthen-pam-perl, libio-pty-perl, libmd5-perl がないよ！と叱られたので、これらを aptitude で先にインストールしてから再実行したら、めでたくインストール成功しました。
3. webmin の設定
  - インストール後、日本語化しました。元々、日本語のモジュールは入っているので、言語メニューから日本語を選択するだけです。
  - 「各サーバーソフト対応モジュール」と「実際のサーバー環境設定ファイル」とのディレクトリ位置調整すると動作します。

メールシステム構成について

基本方針としては SMTP, POP3, POP3 before SMTP が使えることとします。あまり特殊なプロトコルをサポートしても、パソコンのメーラーが対応できないことが多いです。
メールシステムは以下の構成とします。特に No.1～4 は現在の流行のようです。
1. Postfix ・・・ SMTP server
2. Procmail ・・・ Mail Filter
3. SpamAssassin ・・・ Mail Filter
4. Dovecot ・・・ IMAP/POP3 server
5. Pop-before-smtp ・・・ POP before SMTP
Procmail を使うのは、SpamAssassin のインターフェースが Procmail だからです。 Postfix → Procmail → SpamAssassin のインターフェース構造になります。
Maildir 形式として、ユーザごとにメールが管理できるようにします。 Mbox 形式では、システム管理者がユーザごとの対応をすることが難しいです。最初 Qpopper を考えていましたが、Maildir 形式で動作しないということが判明しました。 Maildir 形式に対応した POP3 サーバは少なく、これか Courier-IMAP ということになったのですが、Dovecot は webmin からメンテナンスできるので、こちらにしました。 No.1～4 は webmin に標準でモジュールがあります。
IMAP はサーバにメールを蓄積し、POP3 はクライアントにメールを蓄積することを基本とします。サーバ管理者からすると、読み終わったメールはサーバからさっさと削除してもらいたいので、IMAP には魅力を感じないです。 Dovecot は IMAP / POP3 / IMAPS / POP3S の４つをサポートできます。今回、実験も兼ねて４つとも動作させます。
OP25B 対応として、サブミッション587番ポートも利用可能にします。

Postfix 2.3.8

SMTP サーバです。昔は qmail が流行っていたのですが、現在の流行はこの Postfix です。 SMTP サーバに Postfix を選んだ理由は、割と簡単に SPAM 対策できることと、CML が使えるからです。

インストール

Postfix インストールの前に、ホスト名＝nice.kaze.com にしました。変更は２箇所あります。 IP アドレスはまだ試験中なので、変更しません。
- webmin で [ネットワーク]-[ネットワーク設定]-[ホストアドレス] と辿って、「ホスト名＝nice.kaze.com」と設定します。
- webmin で [ネットワーク]-[ネットワーク設定]-[DNS クライアント] と辿って、「ホスト名＝nice.kaze.com」と設定します。
aptitude で postfix をインストールします。そうすると、この KURO-BOX/HG では使いようがない x11 や emacs がインストールされてしまいました。 KURO-BOX/HG にはグラフィックボードがないので、どう考えても動作しませんよね。
```
# aptitude install postfix
```
インストールの途中で対話画面にて、いろいろ聞かれましたが後で設定ファイルを手動で再設定する方針だったので、全てデフォールト（Enter を押すだけ。）としました。
やはり、emacs などは要らないよな・・・ということで、purge しました。一緒に x11 も消えました。
```
# aptitude purge emacs21 emacs21-bin-common emacs21-common emacssen-common mew-beta mew-beta-bin
```

/etc/postfix/main.cf の設定

インストール直後の main.cf

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = nice.kaze.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = nice.kaze.com, localhost.localdomain, , localhost
relayhost =
mynetworks = 127.0.0.0/8
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

変更した main.cf ・・・赤文字が変更または追加部分です。この変更は webmin からできます。

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
myorigin = $mydomain

smtpd_banner = $myhostname ESMTP
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

# for nice.kaze.com, test (2007-08-11)
mydomain = nice.kaze.com
myhostname = nice.kaze.com

# for kita3.net (2007-08-11)
#mydomain = kita3.net
#myhostname = kita3.net

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost
relayhost =
mynetworks = 127.0.0.0/8
mailbox_size_limit = 0
message_size_limit = 2000000
recipient_delimiter = +
inet_interfaces = all

# Maildir 形式にする
home_mailbox = Maildir/

# ML のための設定 (2007-06-30)
allow_mail_to_commands = alias,forward,include

# メールボックスへの配信は全て procmail を使う
# なぜか Maildir 形式の時は上手く起動しなかった。よって、各ユーザの .forward
# から procmail を起動することにし、メール転送は .procmailrc で行うことにす
# る。 (2007-07-08)
#mailbox_command = /usr/bin/procmail

# POP before SMTP (IMAP before SMTP) の設定
smtpd_recipient_restrictions =
      permit_mynetworks,
      reject_non_fqdn_recipient,
      check_client_access hash:/etc/postfix/pop-before-smtp,
      reject_unauth_destination


##### OP25B 対策：プロバイダの代理 SMTP サーバからメール送信できるようにします ##### (2007-08-11)

# nice.kaze.com サーバではこの対策不要。kita3.net サーバではこの対策を行う。

# プロバイダから指定されているSMTPサーバ名を [ ] 内に記述する。
# relayhost = [mail.example.com]:587 とすると、Submission ポートへも転送できる。
#relayhost = msagw.biglobe.ne.jp

# Postfix SMTP クライアントの SASL 認証を有効にする。
#smtp_sasl_auth_enable = yes

# SMTP クライアント検索テーブルを指定
#smtp_sasl_password_maps = hash:/etc/postfix/isp_password

# Postfix SMTP クライアントで使うことが許される認証メカニズムを指定
# plain 認証のため anonymous のみ不可とする。
#smtp_sasl_security_options = noanonymous

# SASL メカニズムを指定
#smtp_sasl_mechanism_filter = plain, login


##### ここから下は SPAM メール対策です #####

# EXPN/VRFYコマンドを拒否する（telnetによるアカウント漏洩拒否）
#disable_vrfy_command = yes

# 明示したドメインをFROM行に持たないメールは拒否する
#smtpd_sender_restriction = reject_non_fqdn_sender
#                           reject_unknown_sender_domain
#                           permit

# MAILコマンドの前にHELO(EHLO)コマンドを要求
#smtpd_helo_required = yes

# PTRレコードのないアドレスからの受信を拒否する 
#smtpd_client_restrictions = permit_mynetworks
#                            reject_unknown_client

# ヘッダチェック（怪しいヘッダ付きメールを拒否する設定）
#header_checks = regexp:/etc/postfix/header_checks

# メール本文でチェック（怪しい文字列を拒否する）
#body_checks = regexp :/etc/postfix/body_checks

/etc/skel ディレクトリに、以下のディレクトリとファイルを作成します。 (2007-07-08)
- 以下のディレクトリを作成します。全てのディレクトリのパーミッションは 700 とします。 .Spam ディレクトリ以下は Procmail と Spamassassin で使います。
```
Maildir/ --+-- new/
           |
           +-- cur/
           |
           +-- tmp/
           |
           +-- .Spam/ --+-- new/
                        |
                        +-- cur/
                        |
                        +-- tmp/
```
- 以下の内容の /etc/skel/.forward ファイルを作成します。パーミッションは 644 とします。この .forward から procmail を起動します。このファイルは変更禁止とし、メール転送は .procmailrc に記述することにします。
```
# Please do not change it!
"|IFS=' ' && exec /usr/bin/procmail -f- || exit 75 #~/Maildir/"
```
- 以下の内容の /etc/skel/.procmailrc# ファイルを作成します。パーミッションは 644 とします。このファイル名 .procmailrc# の最後の # を外すと有効になります。
```
:0 c
# Mail forwarding
! aaa@bbb.net ccc@ddd.com eee@fff.co.jp
```
  - .procmailrc でメール転送を行います。
  - 1行目の c は転送元にもメールを残す設定です。c を外すとメールは残りません。
  - 3行目はメール転送指定です。! に続いて転送先アドレスを記述します。複数指定する場合はスペースを空けます。

Procmail

Mail Filter です。

インストール

aptitude を使って procmail をインストールします。
```
# aptitude install procmail
```

/etc/procmailrc を以下のように設定します。 postfix で受け取ったメールを procmail 経由 spamassassin に流して SPAM チェックをします。 2013年12月15日に SPAM チェックを止めました。理由は受信したいメールまで SPAM と判断される障害が多いためです。 procmail によるメールフィルタリングのみで運用します。

# パスを設定
PATH=/bin:/usr/bin:/usr/local/bin

# メールボックスの設定
MAILDIR=$HOME/Maildir
DEFAULT=$MAILDIR/
SPAM=$MAILDIR/.spam/

# Procmail のログファイル出力先を指定
LOGFILE=$MAILDIR/procmail.log

# ロックファイルのパスを指定
#LOCKFILE=$HOME/.lockmail

# メールヘッダ中に X-Spam-*** の記述がなければ spamc (spamassassin) を
# 起動する。(2007-07-08)
#:0fw #spamc チェックを止める (2013-12-15)
#*!^X-Spam.* #全てのメールをチェックする (2010-06-13)
#|spamc #spamc チェックを止める (2013-12-15)

# メールヘッダ中に X-Spam-Status: Yes の記述があれば、.Spam ディレクトリに
# メールを格納する
#:0 #spamc チェックを止める (2013-12-15)
#* ^X-Spam-Status: Yes #spamc チェックを止める (2013-12-15)
#$MAILDIR/.Spam/ #spamc チェックを止める (2013-12-15)

procmail.log をローテートします。 /etc/logrotate.d/ ディレクトリに procmail ファイルを以下の内容で作成します。パーミッションは 666 とします。 (2007-07-15)
```
/home/*/Maildir/procmail.log {
weekly
rotate 4
missingok
create 666 root mail
}
```

Spamassassin 3.1.7

2013年12月15日に Spamassassin の運用を止めました。理由は受信したいメールまで SPAM と判断される障害が多いためです。 procmail によるメールフィルタリングのみで運用します。

Mail Filter です。

インストール

aptitude を使って spamassassin をインストールします。
```
# aptitude install spamassassin
```
Tokyo Linux Entertainment Community のサイトから user_prefs を入手し、local.cf とファイル名を変更して /etc/mail/spamassassin/local.cf と置き換えます。 local.cf のパーミッションは 600 とします。

spamassassin をデーモンで動作できるように /etc/default/spamassassin を変更します。 spamassassin はデーモンで動かすと、高速で動きます。赤文字が変更部分です。 (2007-07-08)

# /etc/default/spamassassin
# Duncan Findlay

# WARNING: please read README.spamd before using.
# There may be security risks.

# Change to one to enable spamd
ENABLED=1

# Options
# See man spamd for possible options. The -d option is automatically added.

# SpamAssassin uses a preforking model, so be careful! You need to
# make sure --max-children is not set to anything higher than 5,
# unless you know what you're doing.

OPTIONS="--create-prefs --max-children 5 --helper-home-dir"

# Pid file
# Where should spamd write its PID to file? If you use the -u or
# --username option above, this needs to be writable by that user.
# Otherwise, the init script will not be able to shut spamd down.
PIDFILE="/var/run/spamd.pid"

# Set nice level of spamd
#NICE="--nicelevel 15"

webmin の [システム]-[起動及びシャットダウン] で spamassassin がリブート時に開始する設定にします。 (2007-07-08)

/usr/local/bin/ ディレクトリに、以下の SPAM メール学習用のスクリプト spam-learns.sh を作成し、パーミッションを 750 とします。 (2007-07-15)

#! /bin/sh

# スパムメールの学習
/usr/bin/sa-learn --spam /home/*/Maildir/.Spam/new
/usr/bin/sa-learn --spam /home/*/Maildir/.Spam/cur

# 通常のメールを学習
/usr/bin/sa-learn --ham /home/*/Maildir/new
/usr/bin/sa-learn --ham /home/*/Maildir/cur

# スパムメール保存ディレクトリの中身を強制的に消去
/bin/rm -f /home/*/Maildir/.Spam/new/*
/bin/rm -f /home/*/Maildir/.Spam/cur/*

webmin にて spam-learns.sh が毎日3時17分に実行されるよう設定します。

Dovecot 1.0

IMAP/POP3 サーバです。現在の流行です。
インストール
1. aptitude を使って dovecot をインストールします。
  - 最初、以下のようにしたのですが、インストールできませんでした。
```
# aptitude install dovecot
```
  - そこで、以下のようにして dovecot 関係のパッケージがあるかどうか調べてみました。
```
# aptitude search dovecot
v   dovecot                         -
v   dovecot-common                  - secure mail server that supports mbox and
v   dovecot-imapd                   - secure IMAP server that supports mbox and
v   dovecot-pop3d                   - secure POP3 server that supports mbox and
```
  - dovecot-common, dovecot-imapd, dovecot-pop3d をインストールすれば良さそうと判ったので、以下のようにしてインストール完了できました。
```
# aptitude install dovecot-common dovecot-imapd dovecot-pop3d
```
2. webmin にて各種設定をします。 IMAP/POP3/IMAPS/POP3S を使用可能、Maildir 形式とする、ログインは平文・・・などを設定しました。最終的に webmin が設定した /etc/dovecot/dovecot.conf の内容は以下です。
```
protocols = imap pop3 imaps pop3s
listen = *
log_timestamp = "%Y-%m-%d %H:%M:%S "
ssl_listen = *
ssl_disable = yes
mail_extra_groups = mail
auth default {
  mechanisms = plain
  user = root
}
default_mail_env = maildir:~/Maildir
```
3. ログインは平文/SSL をユーザが選択できるように設定できると良いのですが、それはできないようなので、一般的なメーラでも使える平文ログインとしました。

Pop-before-smtp 1.41

pop before smtp を実現するスクリプトです。 POP や IMAP サーバのログを監視し、認証が通ったもののみ SMTP を許可するというユニークなプログラムです。 POP3 や IMAP サーバのプロセスにはノータッチなので多くのシステムに適応できます。このような仕組みのため、POP before SMTP だけでなく、IMAP before SMTP も同時にできます。

インストール

Pop-before-smtp Quickstart Guide に従ってインストールします。
aptitude で pop-before-smtp をインストールします。
```
# aptitude install pop-before-smtp
```

以下の perl モジュールもインストールします。

# aptitude install libtimedate-perl libnet-netmask-perl libberkeleydb-perl

pop-before-smtp の各モジュールがどこに格納されたか確認してみました。以下の場所とわかりました。

/usr/sbin/pop-before-smtp ・・・ pop-before-smtp 本体
/etc/init.d/pop-before-smtp ・・・ pop-before-smtp 起動/停止スクリプト
/etc/pop-before-smtp/pop-before-smtp.conf ・・・ pop-before-smtp 設定ファイル
/etc/pop-before-smtp/ip-blocking-conf.pl

/etc/pop-before-smtp/pop-before-smtp.conf を書き換えます。

DB ファイルを /etc/postfix/pop-before-smtp.db とします。

# Override the DB hash file we will create/update (".db" gets appended).
#$dbfile = '/var/lib/pop-before-smtp/hosts';
$dbfile = '/etc/postfix/pop-before-smtp';

POP before SMTP の認証期限を $grace で設定します。デフォールトの記述では30分になっていますが、これは長すぎるような気がするので、10分としました。
```
# A 30-minute grace period before the IP address is expired.
$grace = 10*60;
```

メールログファイルを /var/log/mail.log とします。

# Set the log file we will watch for pop3d/imapd records.
$file_tail{'name'} = '/var/log/mail.log';

Dovecot を使うので、Dovecot 1.0 用メールログ正規表現を記述します。忘れないよう、実際のログメッセージ「May 16 23:00:20･･･」をコメントとして入れました。

# For Dovecot POP3/IMAP when using syslog.
#$pat = '^[LOGTIME] \S+ (?:dovecot: )?(?:imap|pop3)-login: ' .
#    'Login: .*? (?:\[|rip=)[:f]*(\d+\.\d+\.\d+\.\d+)[],]';
#$out_pat = '^[LOGTIME] \S+ (?:dovecot: )?(?:imap|pop3)-login: ' .
#    'Disconnected.*? (?:\[|rip=)[:f]*(\d+\.\d+\.\d+\.\d+)[],]';

#May 16 23:00:20 nice dovecot: pop3-login: Login: user=, method=PLAIN, rip=192.168.1.53, lrip=192.168.1.201

$pat = '^(... .. ..:..:..) \S+ (?:dovecot: )?(?:imap|pop3)-login: Login: \S+ \S+ rip=(\d+\.\d+\.\d+\.\d+)';

Postfix で BerkeleyDB を使うので、その部分の =cut を外して有効化します。

#====================== Postfix BerkeleyDB =======================START=
# If you comment-out (or remove) the two surrounding =cut lines, we'll use
# BerkeleyDB instead of DB_File.

use BerkeleyDB;

#$mynet_func = \&mynet_postfix; # Use the default
$tie_func = \&tie_BerkeleyDB;
$sync_func = \&sync_BerkeleyDB;
$flock = 0;

my $dbh;

# We must tie the global %db using the global $dbfile.  Also sets $dbh for
# our sync function.
sub tie_BerkeleyDB
{
    $dbh = tie %db,'BerkeleyDB::Hash',-Filename=>"$dbfile.db",-Flags=>DB_CREATE
	or die "$0: cannot dbopen $dbfile: $!\n";
}

sub sync_BerkeleyDB
{
    $dbh->db_sync and die "$0: sync $dbfile: $!\n";
}
#====================== Postfix BerkeleyDB =========================END=

/etc/postfix/main.cf に以下の記述を追加します。

# POP before SMTP (IMAP before SMTP) の設定
smtpd_recipient_restrictions =
      permit_mynetworks,
      reject_non_fqdn_recipient,
      check_client_access hash:/etc/postfix/pop-before-smtp,
      reject_unauth_destination

webmin の [システム]-[起動及びシャットダウン] で pop-before-smtp がリブート時に開始する設定にします。

動作テスト
1. 動作テストのために、/etc/pop-before-smtp/pop-before-smtp.conf を書き換えます。以下のように、$debug と $logto の前に付いている # を外して有効にします。この場合、pop-before-smtp のログは /var/log/pop-before-smtp に記録されます。
```
# Set $debug to output some extra log messages (if logging is enabled).
$debug = 1;
#$logto = '-'; # Log to stdout.
$logto = '/var/log/pop-before-smtp';
```
2. pop-before-smtp を再起動して、１の設定変更を有効にします。
```
# /etc/init.d/pop-before-smtp restart
Stopping pop-before-smtp: done.
Starting pop-before-smtp: done.
#
```
3. メールクライアントで POP アクセスすると、/var/log/pop-before-smtp に以下のようなログが記録されます。最後の３行のように、クライアントパソコンの IP アドレスが見つかり、/etc/postfix/pop-before-smtp.db データベースにその IP アドレスが記録されます。もし、このようにならなければ、/etc/pop-before-smtp/pop-before-smtp.conf の $pat の記述が誤っています。
```
May 19 07:40:35 starting up
May 19 07:40:35 Using 1 value for pre-authorized networks: `127.0.0.0/8'
May 19 07:40:41 startup log-scan complete
May 19 07:43:49 found ip=192.168.1.8 (0)
May 19 07:43:49 setting expiration time for ip=192.168.1.8 to 1179528823
May 19 07:43:49 added 192.168.1.8 to DB
```
4. 設定した１０分でクライアントの IP アドレスがデータベースから削除されるか、/var/log/pop-before-smtp を監視します。１０分後にログを見ても変化ありませんでした。もう少し気長に待つと、以下のように１６分後にクライアントの IP アドレスが削除されました。時間設定は割りとイイ加減みたいです。
```
May 19 07:40:35 starting up
May 19 07:40:35 Using 1 value for pre-authorized networks: `127.0.0.0/8'
May 19 07:40:41 startup log-scan complete
May 19 07:43:49 found ip=192.168.1.8 (0)
May 19 07:43:49 setting expiration time for ip=192.168.1.8 to 1179528823
May 19 07:43:49 added 192.168.1.8 to DB
May 19 07:59:55 removed 192.168.1.8 from DB
```
5. このデータベースから IP アドレスが削除された状態で、メールクライアントからメール送信してみます。以下のようなメール中継拒否のエラーメッセージがメールクライアントに表示されたらＯＫです。送信先メールアドレスをこの Postfix が動いているサーバ以外としないと、メール中継とみなされず常に送信できてしまいます。私はこれで２日間悩みました。皆さんは賢いので、こんな失敗はしないでしょうけど・・・
```
RCPT TO:
554 5.7.1 : Relay access denied
```
6. ３と同じ POP アクセスしてから１０分以内に、５のメール送信を再実行してみます。今度はちゃんとメール送信できるはずです・・・ＯＫです。
7. /etc/pop-before-smtp/pop-before-smtp.conf を元に戻します。以下のように、$debug と $logto の前に # を付けて無効にします。２のように pop-before-smtp の再起動も忘れずに実施しておきます。
```
# Set $debug to output some extra log messages (if logging is enabled).
#$debug = 1;
#$logto = '-'; # Log to stdout.
#$logto = '/var/log/pop-before-smtp';
```

OP25B 対策

OP25B とは簡単に言うと、ISP 標準設置 SMTP サーバ以外の25番ポート（=SMTP）をブロックしてインターネット網に出さないことです。すなわち、ISP 標準設置 SMTP サーバからはメール送信できるが、ISP 標準設置以外の外部 SMTP サーバを使おうとすると、このブロックで送信できなくなります。大きく２つの事象が考えられます。
1. OP25B 実施された ISP ネットワークの中にあるクライアントから外部 SMTP サーバを使うとブロックされる。
  回避方法は SMTP ポート(25番)の代わりにサブミッション587番ポートを使って外部 SMTP サーバを使います。ただし、外部 SMTP サーバがサブミッション587番ポートをサポートしていることが前提です。このブロックに引っかかってもクライアントにエラー報告されないことが多い・・・と言うのがイヤラシイところです。本人はメールを送ったつもりなのに、実際には送られていなかった・・・となります。
2. OP25B 実施された ISP ネットワークの中の自前のインターネットサーバ（SMTP サーバ) からのメールがブロックされる。
  ISP 標準設置 SMTP サーバを使う以外に回避方法はありません。自前のインターネットサーバに配信されたメールを、ISP が設置した代替サーバーにリレーさせます。通常、OP25B 実施した ISP は代替サーバを設置してくれています。代替サーバもない ISP では対処不能です。 ISP 乗り換えを検討しましょう。
Postfix は上記のいずれにも割りと簡単に対処できます。
事象１対応のインストール
1. /etc/postfix/master.cf の設定を編集して587番ポートも SMTP として使用可能に設定します・・・とは言っても既に記述されているので、#submission の # を削除するだけです。
```
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
submission inet n       -       -       -       -       smtpd
```
2. Postfix を再起動してから、メールクライアントの SMTP=587 と設定してメール送信できるかテストします。メール送信できればＯＫです。

事象２対応のインストール (2007-08-11)

nice.kaze.com サーバを設置するネットワークではこの対策が不要なので設定していません。
kita3.net サーバは Biglobe 傘下に位置するので、この設定が必要です。実際に設定して良好に動作することを確認しました。

/etc/postfix/isp_passwd（他のファイルとダブらなければどんな名称でも可）というファイルを下記の形式で作成する。
```
# [ISP の代替 SMTP サーバ名] [ISP のアカウント:ISP のパスワード]
mail.example.com isp_acount:isp_password
```
以下のコマンドを実行して DB 化します。
```
# postmap /etc/postfix/isp_password
```

/etc/postfix/main.cf に以下の記述を追加する。

# プロバイダから指定されているSMTPサーバ名を [ ] 内に記述する。
# relayhost = [mail.example.com]:587 とすると、Submission ポートへも転送できる。
relayhost = [mail.example.com]

# Postfix SMTP クライアントの SASL 認証を有効にする。
smtp_sasl_auth_enable = yes

# SMTP クライアント検索テーブルを指定
smtp_sasl_password_maps = hash:/etc/postfix/isp_password

# Postfix SMTP クライアントで使うことが許される認証メカニズムを指定
# plain 認証のため anonymous のみ不可とする。
smtp_sasl_security_options = noanonymous

# SASL メカニズムを指定
smtp_sasl_mechanism_filter = plain, login

CML 4.1

ML（メーリングリスト）プログラムです。
CML 自体は UNIX 標準シェルだけで動作するので、どの UNIX マシンでも動くはずです。逆に言うと、CML を動かすユーザにはシェルが必要となります。
インストール
1. webmin で ML と WEB を管理するユーザ www-kun を作成します。このユーザには、シェルを持たせるが root になれる権限を持たせないようにします・・・危険が危ないので・・・ root になれる/なれないの設定は後でやります。 2nd group の指定をしないようにします。
2. CML は compress と uuencode を使うので、以下のように aptitude でユーティリティパッケージをインストールします。実際に CML をインストールしてみて、 compress と uuencode がないというメッセージが出て判明しました。 KURO-BOX/HG で CML がインストールできないと悩んでいる方にご参考です。
```
# aptitude install ncompress
（メッセージは省略）
# aptitude install sharutils
（メッセージは省略）
```
3. CML-4.1-Release.tar.gz をダウンロードして /home/www-kun ディレクトリに入れます。オーナとグループはどちらも www-kun にしておきます。
4. www-kun ユーザになって CML-4.1-Release.tar.gz を解凍すると CML-4.1-Release ディレクトリができるので、これを CML と名前変更します。 CML-4.1-Release.tar.gz はもう不要なのですが、とりあえず、CML ディレクトリに入れておきます。ドキュメントは /home/www-kun/CML/Doc にあります。全て日本語なのでありがたいです。このドキュメント通りにインストールすればよいです。
```
$ cd /home/www-kun
$ tar -xzvf CML-4.1-Release.tar.gz
（メッセージは省略）
$ mv CML-4.1-Release CML
$ mv CML-4.1-Release.tar.gz CML
```
5. Configure を実行します。
```
$ cd /home/www-kun/CML
$ ./Configure
（メッセージは省略）
Enter awk command path. [/usr/bin/awk]
Enter grep command path. [/bin/grep]
（メッセージは省略）
Enter domain name. [nice.kaze.com]
Do you want to install cmas ? [y]
Enter install directory. [/usr/local/etc/cml]
Enter spool directory. [/usr/local/etc/cml]
Do you want to execute 'make install' ? [n]
```
6. root になって make install します。いろいろ聞かれますが全てリターンでよいです。ユーザモードではパーミッションエラーが出てインストールできなかった。
```
# cd /home/www-kun/CML
# make install
*** Start install ***
（メッセージは省略）
*** End install ***

***** Attention *****
   If you can edit /etc/rc or other system initial files,
  insert '/usr/local/etc/cml/rc.cml' before starting sendmail.
```
7. addml コマンドでメーリングリスト inettomo を作成します。
```
# cd /usr/local/etc/cml
# ./addml inettomo
*** Make mailing list entry tool (addml version 4.1-Release) ***
*** End of make mailing list entry ***

Add this entry to /etc/aliases, and exec 'newaliases' command.
==============================================================
inettomo-request: 'E-mail address of inettomo ML admin.'
inettomo: :include:/usr/local/etc/cml/exe/inettomo
inettomo-control: :include:/usr/local/etc/cml/exe/inettomo-control
inettomo-dist: :include:/usr/local/etc/cml/inettomo/inettomo-list
inettomo-digest-dist: :include:/usr/local/etc/cml/inettomo/inettomo-digest
```
8. メーリングリスト inettomo の管理をメールで行えるよう設定します。このコマンドを実行すると dareka@dokoka.com 宛てに管理者マニュアルがメールされます。 dareka@dokoka.com は仮想メールアドレスです。この部分には正しいメールアドレスを入れてくださいね。
```
# cd /usr/local/etc/cml
# ./setadmin inettomo dareka@dokoka.com
Adding new admin ... Done.
** Information **
   You can exchange inettomo-request entry in /etc/aliases.
    ->  inettomo-request: :include:/usr/local/etc/cml/inettomo/inettomo-admins
```
9. ７と８のメッセージで /etc/aliases を変更するよう指示されているので、以下の記述を追加します。 /etc/aliases の変更が完了したら、newaliases コマンドを実行します。
```
inettomo-request: :include:/usr/local/etc/cml/inettomo/inettomo-admins
inettomo: :include:/usr/local/etc/cml/exe/inettomo
inettomo-control: :include:/usr/local/etc/cml/exe/inettomo-control
inettomo-dist: :include:/usr/local/etc/cml/inettomo/inettomo-list
inettomo-digest-dist: :include:/usr/local/etc/cml/inettomo/inettomo-digest
```
10. Postfix の設定ファイル /etc/postfix/main.cf に以下の記述があることを確認します。 (2007-06-30)
```
allow_mail_to_commands = alias, forward, include
```
11. CML スクリプトを Postfix が実行できるように、/usr/local/etc/cml 以下のファイル所有者を postfix とする。 (2007-06-30)
```
# chown -R postfix /usr/local/etc/cml
```
12. CML の動作を決める /usr/local/etc/cml/config.default を以下のように変更します。ここは ML 管理者の好みに応じて設定します。赤文字が変更部分です。 (2007-08-25)
```
ARCHIVE=DO
KEEP=1000
ACCESSFREE=DONT
GENERICFROM=
REPLYSW=1
REPLYTO=
SUBSTYLE=4
OTHERNAME=
FIGURE=5
NOTMEMBER=3
GENERIC=DONT
ADMINONLY=DONT
UNIXFROM=
COUNT=DONT
MLNAME=DONT
XHEADERS=
SENDER=
PRECEDENCE=
AUTOADD=DO
DGSTAPPEND=DONT
AUTOMSG=DONT
DLVMSG=DONT
DIGESTMAX=
DIGESTLEN=
CMDSUB=DONT
CMLDMAXLINE=
CMLDMAXBYTE=
MAXORGWITH=
LISTLIMIT=
GETLIMIT=
MESSAGES=
ERRORLOG=DO
ASLOGLEVEL=0
GETADLOG=DONT
STATIC=
CONFIRM=DONT
USECHECK=DO
USEMEMBER=DO
MEMBMSG=1
```
13. CML で使うロックファイルを Debian Linux 起動時にクリアする設定を追加します。 (2007-06-30)
  1. webmin の [システム] - [起動およびシャットダウン] から [新規の起動またはシャットダウンアクションを作成] を開きます。
  2. 以下の設定をしてから [作成] ボタンを押します。
```
名前： CML-clear-Lock
説明： CML のロックファイルをクリアする
起動コマンド： /usr/local/etc/cml/rc.cml
起動時に開始しますか？： はい
```
  3. 自動的にスクリプトが作成されます。
14. お疲れさまでした。これで CML のインストールは完了です。

apache 2.2.4

www サーバです。

インストール

aptitude で apache2 をインストールしようとしたのですが、mod ファイルが抜けた状態になってしまう・・・と言うことで、ソースファイルからコンパイルしてインストールしました。よって、Debian 標準ではなくて、apache2 標準のディレクトリ構成となっています。
apache HTTP サーバダウンロードサイトより、httpd-2.2.4.tar.gz をダウンロードし、/usr/local/src/ ディレクトリに入れます。
ディレクトリを /usr/local/src/ に移してから、httpd-2.2.4.tar.gz を解凍します。
```
# cd /usr/local/src
# tar zxvf httpd-2.2.4.tar.gz
```
コンパイルとインストールを行います。今回、mod_so.c もオプション指定して一緒にインストールしました。コンパイルは30分はかかったと思います。気長にやりましょう！
```
# cd /usr/local/src/httpd-2.2.4
# ./configure --enable-so
# make
# make install
```

無事にインストールが終わったら、以下のコマンドで apache2 が起動します。

# /usr/local/apache2/bin/apachectl start

ちなみに、apachectl はパラメータによって以下の動作をさせることができます。

パラメータ	動　作
start	apache 起動
stop	apache 停止
restart	apache 再起動
fullstatus	mod_status モジュールが有効になっていて、かつ httpd.conf に設定がしてあれば状態を表示 CUI でログインしてる時に見たいなら別途テキストベースのブラウザが必要
status	fullstatus と同じ（上の方がちょっとだけ詳しい）
graceful	apache が停止しているなら起動 apache が起動しているなら、処理中のリクエストの完結を待って apache 再起動
graceful-stop	処理中のリクエストの完結を待って apache 停止
configtest	設定ファイル適用のテスト正しければ「Syntax OK」、間違いがあれば教えてくれる
startssl	apache を SSL を有効にして起動

web ベージアクセスしてみたら「It's Works!」とだけ表示されました。従来の「あなたの予想に反して、このページが見えているでしょうか?」と全然違う。一瞬、インストール失敗かと思いました。デフォルトページが変更されて、これで良いみたいです。

/usr/local/apache2/conf/httpd.conf の設定

apache を起動させるユーザ apache を作成します。
```
# groupadd apache
# useradd -g apache apache
```
オリジナルの httpd.conf を httpd.conf# として保存しておきます。
```
# cd /usr/local/apache2/conf
# cp -p httpd.conf httpd.conf#
```

httpd.conf を変更します。変更部分だけを抜粋しました。

<IfModule !mpm_netware_module>
#
# If you wish httpd to run as a different user or group, you must run
# httpd as root initially and it will switch.
#
# User/Group: The name (or #number) of the user/group to run httpd as.
# It is usually good practice to create a dedicated user and group for
# running httpd, as with most system services.
#
User apache
Group apache
</IfModule>

（省略）

#
# ServerAdmin: Your address, where problems with the server should be
# e-mailed.  This address appears on some server-generated pages, such
# as error documents.  e.g. admin@your-domain.com
#
ServerAdmin webmaster@localhost

#
# ServerName gives the name and port that the server uses to identify itself.
# This can often be determined automatically, but we recommend you specify
# it explicitly to prevent problems during startup.
#
# If your host doesn't have a registered DNS name, enter its IP address here.
#

# for nice.kaze.com, test (2007-08-11)
ServerName nice.kaze.com

# for kita3.net (2007-08-11)
#ServerName kita3.net

（省略）

# Supplemental configuration
#
# The configuration files in the conf/extra/ directory can be
# included to add extra features or to modify the default configuration of
# the server, or you may simply copy their contents here and change as
# necessary.

# Server-pool management (MPM specific)
#Include conf/extra/httpd-mpm.conf

# Multi-language error messages
#Include conf/extra/httpd-multilang-errordoc.conf

# Fancy directory listings
#Include conf/extra/httpd-autoindex.conf

# Language settings
#Include conf/extra/httpd-languages.conf

# User home directories
Include conf/extra/httpd-userdir.conf

# Real-time info on requests and configuration
#Include conf/extra/httpd-info.conf

# Virtual hosts
#Include conf/extra/httpd-vhosts.conf

# Local access to the Apache HTTP Server Manual
#Include conf/extra/httpd-manual.conf

# Distributed authoring and versioning (WebDAV)
#Include conf/extra/httpd-dav.conf

# Various default settings
#Include conf/extra/httpd-default.conf

（省略）

<IfModule mime_module>
    #
    # TypesConfig points to the file containing the list of mappings from
    # filename extension to MIME-type.
    #
    TypesConfig conf/mime.types

    #
    # AddType allows you to add to or override the MIME configuration
    # file specified in TypesConfig for specific file types.
    #
    #AddType application/x-gzip .tgz
    #
    # AddEncoding allows you to have certain browsers uncompress
    # information on the fly. Note: Not all browsers support this.
    #
    #AddEncoding x-compress .Z
    #AddEncoding x-gzip .gz .tgz
    #
    # If the AddEncoding directives above are commented-out, then you
    # probably should define those extensions to indicate media types:
    #
    AddType application/x-compress .Z
    AddType application/x-gzip .gz .tgz

    #
    # AddHandler allows you to map certain file extensions to "handlers":
    # actions unrelated to filetype. These can be either built into the server
    # or added with the Action directive (see below)
    #
    # To use CGI scripts outside of ScriptAliased directories:
    # (You will also need to add "ExecCGI" to the "Options" directive.)
    #
    AddHandler cgi-script .cgi
    AddHandler cgi-script .pl

    # For type maps (negotiated resources):
    #AddHandler type-map var

    #
    # Filters allow you to process content before it is sent to the client.
    #
    # To parse .shtml files for server-side includes (SSI):
    # (You will also need to add "Includes" to the "Options" directive.)
    #
    AddType text/html .shtml
    AddType text/html .html
    AddHandler server-parsed .shtml
    AddHandler server-parsed .html
    #AddOutputFilter INCLUDES .shtml
</IfModule>

（省略）

# Secure (SSL/TLS) connections
#Include conf/extra/httpd-ssl.conf
#
# Note: The following must must be present to support
#       starting without SSL on platforms with no /dev/random equivalent
#       but a statically compiled-in mod_ssl.
#
<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
</IfModule>

AddDefaultCharset shift_jis
ServerTokens Prod
ServerSignature Off

ちなみに、最後から３行目は文字化け対策です。 nice.kaze.com でのコンテンツ文字はシフトＪＩＳを使っているので、デフォールトとしました。次からの２行は余計な情報（ＯＳの種別とか）を HTML ヘッダに載せない設定です。（セキュリティ向上）

/usr/local/apache2/conf/extra/httpd-userdir.conf の設定
1. ユーザがホームページを公開できるよう、httpd-userdir.conf を設定します。ここでは以下の方針で設定します。
  - 一般ユーザと特定ユーザに分けて設定を変えます。ここでは、www-kun ユーザを特定ユーザとし、それ以外のユーザを一般ユーザと定義します。
  - 一般ユーザには SSI と CGI 実行を許さないが、特定ユーザには許可します。
  - 一般ユーザにはインデックス表示（ファイル名を見せる機能。）を許可するが、特定ユーザには許可しません。これは特定ユーザには SSI と CGI 実行を許可するため、見えては困るソースやデータが存在するからです。一般ユーザではインデックス表示が可能であるので、自分のホームディレクトリ領域をウェブ用にも使えるし、Anonymous FTP 領域のようにも使えるメリットがあります。
  - 一般ユーザ、特定ユーザ共、/home/ユーザ名/public_html/ ディレクトリをホームディレクトリとします。
2. 以上の方針に基づき、httpd-userdir.conf を変更・追加します。変更前に cp -p httpd-userdir.conf httpd-userdir.conf# として保存しておくことをお奨めします。以下がその設定した内容です。 <Directory /home/*/public_html>・・・</Directory> を先に記述し、 <Directory /home/www-kun/public_html>・・・</Directory> を後に記述します。これを逆にすると特定ユーザでも SSI と CGI 実行ができなくなります。
```
# Settings for user home directories
#
# Required module: mod_userdir

#
# UserDir: The name of the directory that is appended onto a user's home
# directory if a ~user request is received.  Note that you must also set
# the default access control for these directories, as in the example below.
#
UserDir public_html

#
# Control access to UserDir directories.  The following is an example
# for a site where these directories are restricted to read-only.
#
<Directory /home/*/public_html>
    AllowOverride FileInfo AuthConfig Limit
    Options MultiViews Indexes SymLinksIfOwnerMatch
    <Limit GET POST OPTIONS PROPFIND>
        Order allow,deny
        Allow from all
    </Limit>
    <LimitExcept GET POST OPTIONS PROPFIND>
        Order deny,allow
        Deny from all
    </LimitExcept>
</Directory>

<Directory "/home/www-kun/public_html">
    AllowOverride FileInfo AuthConfig Limit
    Options MultiViews SymLinksIfOwnerMatch Includes ExecCGI
    <Limit GET POST OPTIONS PROPFIND>
        Order allow,deny
        Allow from all
    </Limit>
    <LimitExcept GET POST OPTIONS PROPFIND>
        Order deny,allow
        Deny from all
    </LimitExcept>
</Directory>
```
  設定にある Options パラメータの意味は次の通りです。
  - All : MultiViewsを除いた以下のようなすべてが利用可能
  - Indexes : インデックス表示を有効にする
  - Includes : SSIを有効にする
  - IncludesNoExec : SSIを有効にするが、EXEC命令は無効にする
  - FollowSymLinks : シンボリック先へのアクセスも許可する
  - FollowSymLinksIfOwnerMatch : シンボリック先のアクセスはオーナ権限が一致しないと許可しない
  - ExecCGI : CGIスクリプトの実行を許可する
  - MultiViews : 言語ネゴシエーション機能を有効にする
3. 以上で設定は完了です。方針通りの動作をするか確認・・・ＯＫでした！
代表ページ＝特定ユーザページに設定
1. http://nice.kaze.com/ でアクセスすると http://nice.kaze.com/~www-kun/ が表示されるように設定します。こうすることにより、代表ページを特定ユーザの権限でメンテナンスすることができます。 http://nice.kaze.com/~www-kun/ が本物で http://nice.kaze.com/ がエイリアスという訳です。
2. 以下のコマンドを実行して、元々あった htdocs ディレクトリを htdocs# にディレクトリ名変更し、/home/www-kun/public_html ディレクリを /usr/local/apache/htdocs ディレクトリにソフトリンクします。
```
# cd /usr/local/apache2
# mv htdocs htdocs#
# ln -s /home/www-kun/public_html htdocs
```
3. これだけでは http://nice.kaze.com/ で SSI と CGI が実行できないので、以下のように /usr/local/apache2/conf/httpd.conf の記述を更に変更します。内容は http://nice.kaze.com/~www-kun/ に与えるディレクティブ設定と全く同じです。
```
#
# This should be changed to whatever you set DocumentRoot to.
#
<Directory "/usr/local/apache2/htdocs">
    AllowOverride FileInfo AuthConfig Limit
    Options MultiViews SymLinksIfOwnerMatch Includes ExecCGI
    <Limit GET POST OPTIONS PROPFIND>
        Order allow,deny
        Allow from all
    </Limit>
    <LimitExcept GET POST OPTIONS PROPFIND>
        Order deny,allow
        Deny from all
    </LimitExcept>
</Directory>
```
4. 以上で完了です。想定通りの動作をするか確認・・・ＯＫでした！
ブート時に自動起動する設定
1. Debian Linux では、自動起動スクリプトを /etc/init.d に作成するのが行儀作法のようです。以下の記述の /etc/init.d/apache2 ファイルを作成します。オーナーは root:root、モードは 755 にします。 /etc/init.d/apache2 [パラメータ] を /usr/local/apache2/bin/apachectl [パラメータ] に変換するだけです。パラメータは最低 start / stop / restart だけをサポートすればよいので、これでもちゃんと動きます。皆さんはもっとイイのを考えてください。私はこれで十分。
```
#! /bin/sh
#
/usr/local/apache2/bin/apachectl $1
```
2. webmin の [起動およびシャットダウン]-[起動及びシャットダウン] から apache2 を起動時に開始する設定をします。
3. KURO-BOX/HG を再起動して apache2 が自動起動されることを確認・・・ＯＫでした！

ProFTPD 1.30

FTP サーバです。ディレクトリアクセス制限を apache2 のような制御文で記述できます。
インストール
1. aptitude で proftpd をインストールします。
```
# aptitude install proftpd
```
2. ProFTPD の設定
  - 設定ファイルは /etc/proftpd/proftpd.conf です。設定項目はたいした行数ではないので、手動でも十分記述できますが、後々のメンテナンスのことを考えて、ほぼ全て webmin で記述（作成）しました。以下は webmin が設定した proftpd.conf です。
```
ServerName "FTP server"
DefaultServer on
Port 21
Umask 022
User nobody
Group nogroup
MaxHostsPerUser 2
ListOptions "-a"

<Global>
DefaultTransferMode binary
IdentLookups off
MaxClientsPerHost 2
DefaultRoot ~
DeleteAbortedStores on
HiddenStor on
ShowSymlinks on
LoginPasswordPrompt on
AllowOverwrite on
WtmpLog off
RootLogin off
RequireValidShell on
UseFtpUsers on
MaxLoginAttempts 1
ServerIdent on "FTP server ready"
DeferWelcome on
TransferLog /var/log/proftpd/xferlog
</Global>

ServerType inetd
UseReverseDNS off
TimesGMT off
MaxInstances 30
SystemLog /var/log/proftpd/proftpd.log
```
  - chroot 機能を使って、ユーザのホームディレクトリを / として、それ以外のディレクトリを見せないようにしました。これをやっておかないと、セキュリティ上問題が出ます。この設定は全てのユーザに対してやっています。システム管理者は多少不便になりますが、セキュリティと使い勝手は相反するので我慢しましょう。
  - ドットファイルはユーザの利便性を考えて表示可能に設定しました。
  - ログファイルは /var/log/proftpd/ ディレクトリとしました。吐き出すログは proftpd.log と xferlog です。
3. ProFTPD の試験
  - さて、完璧と思える設定をしてから Windows パソコンから FFFTP クライアントで試験をしました。すると Linux 側のファイル名が FFFTP ウィンドウに表示されないのです。ファイル転送をして Windows → Linux へ送り込むと正常に終わります。しかし、そのファイル名が画面に現れないのです。 気配あるも姿は見えず・・・さてさて困った・・・
  - 原因が判りました！・・・今回 ProFTPD 1.30 を導入したのですが、少し前のバージョンからファイル表示コマンドが規格(RFC959)に準拠するため、NLST オプションをサポートしなくなり、LIST だけになったのです。
  - 早速、FFFTP の設定を変更し、LIST 指定すると、ファイル名が見えるようになりました。現在の一般の Windows 用FTP クライアントはデフォールトが NLST になっています。よって、FFFTP を改造（NLST に対応させるパッチがあります。）するより、セキュリティ上はこのままのほうが安全そうに思います。

Samba 3.024

UNIX と Windows 間でファイル共有を実現するソフトウェアです。
- UNIX サーバ側のファイルを Windows からアクセス可能とするサーバ機能
- Windows のファイルを UNIX 側からアクセスするクライアント機能
- プリンタサーバ機能
- ドメインコントローラ機能や WINS サーバ機能など、Windows NT/2000 の代わりになり得る機能
を持っています。
構築方針です。
- Windows からのファイル共有サーバとして動かし、プリンタサーバ機能はサポートしません。
- パスワード認証することにし、ID と Password は１組だけに限定します。
- ファイル共有エリアは１個だけとします。
- samba の設定用に swat という補助ツールがありますが、これを使うほど設定は難しくないので、webmin から管理します。
インストール
1. aptitude で samba をインストールします。
```
# aptitude install samba
```
2. 方針に従い、/etc/samba/smb.conf を以下のように記述します。このシンプルな設定を見てください。何を設定しているのかは見ただけで判ると思います。やはり、swat なんて不要と思います。
```
# Samba config file

[global]
	smb passwd file = /etc/samba/smbpasswd
	display charset = eucJP
	server string = Samba %h
	dos charset = CP932
	workgroup = workgroup
	os level = 20
	username map = /etc/samba/smbusers
	encrypt passwords = yes
	hosts allow = all
	security = user
	unix charset = eucJP


[share]
	writeable = yes
	path = /mnt/share
	force directory mode = 0700
	force group = nogroup
	force create mode = 0700
	create mask = 0700
	force user = nobody
	directory mask = 0700
	valid users = nobody
```
3. /etc/samba/smbusers を定義します。以下の記述とします。左辺が UNIX ユーザ名で、右辺が samba (Windows) ユーザ名です。 dareka は仮想ユーザ名で、本当に設定した実ユーザ名は内緒です。
```
nobody = dareka
```
4. samba user password を作成します。このパスワードは UNIX (Linux) のものと一緒である必要はありません。今回は samba 専用パスワードとしました。今回は唯一のパスワード作成ですから、事前に /etc/samba/smbpasswd を削除してから実行しました。
```
# rm -f /etc/samba/smbpasswd
# smbpasswd -a nobody
New SMB password: ********
Retype new SMB password: ********
startsmbfilepwent_internal: file /etc/samba/smbpasswd did not exist. File successfully created.
Added user smbuser.
```
  ちなみに、既に設定したパスワードを変更する場合は、以下の操作をします。
```
# smbpasswd nobody
New SMB password: ********
Retype new SMB password: ********
```
5. /mnt/share のオーナーを nobody : nogroup とします。これをやっておかないと、samba アクセス時にパーミッションエラーとなります。
```
# chown nobody /mnt/share
# chgrp nogroup /mnt/share
```
テスト
1. samba をリスタートしてから、Windows クライアントから samba サーバにアクセスします。 Windows-Xp なら「マイネットワーク」から「nice」を検索すると「samba nice」コンピュータが見えます。
2. このコンピュータをダブルクリックすると、ID と Password を聞かれるので、これまでに設定した値を入力します。（dareka と ********）
  すると「share」が見えるはずです。
3. 更に「share」をダブルクリックすると、中身が見えるはずです。読み出し／書き込みを実行して正常なことを確認します。

OpenSSH 4.3

従来、Internet 経由でリモートのコンピュータを操作するには、telnet を用いていました。しかし、telnet では、送受信した情報は、Internet 内を暗号化されない平文のまま流れてしまう問題点を抱えていました。そこで、登場したのが、ネットワーク中を流れるデータを暗号化してしまおうという、SSH というプロトコルです。
今回は OpenSSH を使って、よりセキュリティ強化された SSH2 プロトコル を使います。
このサーバにアクセスするクライアント側にも SSH2 に対応した端末ソフトが必要です。 Windows パソコン用として UTF-8 対応 TeraTerm Pro 4.52 があり、私はこれを使っています。
右図は TeraTerm Pro の起動画面ですが、SSH2 をサポートしています。また、設定により UTF-8 や EUC などの日本語コードを表示できるので、お奨めです。
インストール
1. aptitude にて openssh をインストールします。
```
# aptitude install openssh
```
2. これだけで動作し始めました。簡単です。 webmin とのファイル位置調整も必要ありませんでした。
3. SSH2 が動作したので、webmin の [ネットワーク]-[Internet Services and Protocols] を開いて telnet を無効にします。これ以後は SSH2 にて端末ログインします。

ntpdate (2007-09-01)

NTP サーバより標準時間を取得して、システム時刻を校正するプログラムです。サーバ用途なら、このシステム時刻を正確に保つことが必須です。
インストール
1. aptitude にて ntpdate をインストールします。
```
# aptitude install ntpdate
```
2. ntpdate のある場所を確認します。 /usr/sbin/ にありました。
```
# which ntpdate
/usr/sbin/ntpdate
```
3. webmin の [システム]-[予定済み Cron 作業] タブを開いて、以下のコマンドが毎日の3時7分に自動実行されるように設定します。
```
/usr/sbin/ntpdate -s ntp.nict.jp 2>&1
```
ntp.nict.jp は独立行政法人情報通信研究機構の NTP サーバです。
webmin 自体にも同様な NTP サーバによる時刻校正機能がありますが、環境によってはうまく動かないことがあるので、このように ntpdate を使いました。 ISP が Biglobe 環境では webmin による時刻校正機能が動作しましたが、so-net 環境では動きませんでした。 NTP サーバのホストが見つからないというエラーになります。 ntpdate では正常に動くのですが・・・

wget

web アクセスをして HTML 文をテキストで取り込むコマンドです。 DDNS への IP アドレス登録などの自動化などで使えます。
インストール
1. aptitude にて wget をインストールします。
```
# aptitude install wget
```
2. wget のある場所を確認します。 /usr/bin/ にありました。
```
# which wget
/usr/bin/wget
```

その他の追加設定

主な目的は、セキュリティレベルの向上です。 ハッキングなどの不幸は突然やってくる ものです。少しでもその不安を軽減させようというのがここでの狙いです。セキュリティ強化以外の設定もここでします。

不要なサービスを停止

サポートするのは、ssh, http, pop3/imap, smtp, ftp, webmin だけなので、これ以外のサービスを停止します。
設定
1. ポート起動するサービスのうち、不要なサービスを停止します。
  webmin の [ネットワーク]-[Internet Services and Protocols] をクリックすると太字のサービス名が表示されますが、これが /etc/inetd.conf に記述されているサービス名です。このうち、斜め文字になっているのが無効になっているサービスです。通常文字になっているのは有効になっているサービスです。 ftp 以外は無効になるように設定します。
2. デーモン起動するサービスのうち、不要なサービスを停止します。
  webmin の [システム]-[起動およびシャットダウン] をクリックするとデーモン起動するサービス名が表示されているので、不要なサービスを無効化します。

su を一般ユーザには使わせない＆ root の ssh ログイン禁止

su（Swich User）コマンドは root 権限に移行できる超強力コマンドです。ところが、Linux では全てのユーザが su コマンドを使えるのがデフォールトです。 これじゃ～危ない！！！ ・・・という訳で、このコマンドを一般ユーザが使えないようにします。 wheel グループに属するユーザのみが su コマンドを使えるようにします。そうでないユーザは su コマンドが使えません。
設定
1. webmin で root になれるスーパーユーザのアカウントを１個だけ作成します。このユーザにはシェルを与えます。 ID と Password は内緒です。
2. webmin で wheel グループを作成し、メンバにスーパーユーザ名を（１つだけ）記述します。
3. /etc/ssh/sshd_config を編集し、以下の赤字の部分を変更します。これで、root の ssh ログインが禁止となります。 (2007-08-25)
```
PermitRootLogin no
```
4. /etc/pam.d/su を編集し、以下の赤字の部分を変更します。これで、wheel グループに登録したシステム管理専用ユーザだけが su コマンドを使用できるようになります。
```
#
# The PAM configuration file for the Shadow `su' service
#

# This allows root to su without passwords (normal operation)
auth       sufficient pam_rootok.so

# Uncomment this to force users to be a member of group root
# before they can use `su'. You can also add "group=foo"
# to the end of this line if you want to use a group other
# than the default "root" (but this may have side effect of
# denying "root" user, unless she's a member of "foo" or explicitly
# permitted earlier by e.g. "sufficient pam_rootok.so").
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
auth       required   pam_wheel.so group=wheel
```

このサーバでのユーザの区分は以下の通りです。 (2007-08-25)

ユーザ区分	bash	wheel	定義
スーパーユーザ	あり	あり	root になれるユーザ
www-kun	あり	なし	公開サービスを担当するユーザ
一般ユーザ	なし	なし	シェルを持たないが、パスワード変更のみ可能。ftp ログイン可能。

/etc/skel/ を作成

新規ユーザ作成時のユーザホームディレクトリにコピーするファイルの原本を作成します。なお、これまでの設定で既にファイルが出来上がっていると思いますが、その場合でも念のために確認します。

設定 (2007-07-15)

/etc/skel/ ディレクトリの中身を以下のようにします。



# ls -al /etc/skel

total 24
drwxr-xr-x  4 root root 4096 Jul 14 20:00 .
drwxr-xr-x 63 root root 4096 Jul 13 23:52 ..
-rw-r--r--  1 root root   91 Jul  8 15:50 .forward
-rw-r--r--  1 root root   63 Jul  8 15:52 .procmailrc#
drwx------  2 root root 4096 Jul 14 20:21 .spamassassin
drwx------  6 root root 4096 Jul  8 15:47 Maildir



# cat /etc/skel/.forward

# Please do not change it!
"|IFS=' ' && exec /usr/bin/procmail -f- || exit 75 #~/Maildir/"



# cat /etc/skel/.procmailrc#

:0 c
# Mail forwarding
! aaa@bbb.net ccc@ddd.com eee@fff.co.jp



# ls -al /etc/skel/.spamassassin/

total 12
drwx------ 2 root root 4096 Jul 14 20:21 .
drwxr-xr-x 4 root root 4096 Jul 14 20:00 ..
-rw-r--r-- 1 root root 1487 Jul 14 20:00 user_prefs



# cat /etc/skel/.spamassassin/user_prefs

# SpamAssassin user preferences file.  See 'perldoc Mail::SpamAssassin::Conf'
# for details of what can be tweaked.
###########################################################################

# How many points before a mail is considered spam.
# required_score                5

# Whitelist and blacklist addresses are now file-glob-style patterns, so
# "friend@somewhere.com", "*@isp.com", or "*.domain.net" will all work.
# whitelist_from        someone@somewhere.com

# Add your own customised scores for some tests below.  The default scores are
# read from the installed spamassassin rules files, but you can override them
# here.  To see the list of tests and their default scores, go to
# http://spamassassin.apache.org/tests.html .
#
# score SYMBOLIC_TEST_NAME n.nn

# Speakers of Asian languages, like Chinese, Japanese and Korean, will almost
# definitely want to uncomment the following lines.  They will switch off some
# rules that detect 8-bit characters, which commonly trigger on mails using CJK
# character sets, or that assume a western-style charset is in use.
#
# score HTML_COMMENT_8BITS      0
# score UPPERCASE_25_50         0
# score UPPERCASE_50_75         0
# score UPPERCASE_75_100        0
# score OBSCURED_EMAIL          0

# Speakers of any language that uses non-English, accented characters may wish
# to uncomment the following lines.   They turn off rules that fire on
# misformatted messages generated by common mail apps in contravention of the
# email RFCs.

# score SUBJ_ILLEGAL_CHARS      0



# ls -al Maildir/

total 24
drwx------ 6 root root 4096 Jul  8 15:47 .
drwxr-xr-x 4 root root 4096 Jul 14 20:00 ..
drwx------ 5 root root 4096 Jul  8 15:47 .Spam
drwx------ 2 root root 4096 May 14 21:01 cur
drwx------ 2 root root 4096 May 14 21:01 new
drwx------ 2 root root 4096 May 14 21:01 tmp



# ls -al Maildir/.Spam/

total 20
drwx------ 5 root root 4096 Jul  8 15:47 .
drwx------ 6 root root 4096 Jul  8 15:47 ..
drwx------ 2 root root 4096 Jul  8 15:47 cur
drwx------ 2 root root 4096 Jul  8 15:47 new
drwx------ 2 root root 4096 Jul  8 15:47 tmp

ウェブホームページ用の public_html ディレクトリは作成していませんが、これは必要なユーザが自分で作成すればよい・・・と考えました。

一般ユーザアカウントの作成方法

一般ユーザアカウントを作成する場合は以下のようにします。こうすることにより、ログインした途端にパスワード変更コマンドしか動かせなくなります。メールとウェブホームページと FTP サービスは可能なので、一般ユーザとしては何にも困らないと思います。
一般ユーザアカウント作成
1. Webmin から [システム]-[ユーザおよびグループ] を開き、「新しいユーザを作成」をクリックします。
2. シェルに「/usr/bin/passwd」を指定し、プライマリグループは「New group with same name as user」とし、セカンダリグループには何も指定しないようにします。
3. 「作成」ボタンをクリックすると新規ユーザアカウント作成完了です。

cron メールを抑止するには (2007-08-25)

crontab によりコマンド実行されると、cron デーモンは通常その出力結果を crontab ファイルのオーナーにメールで配信します。実行結果を知りたいのであれば受信したほうがよいですが、それほど必要ではない cron メールは阻止することが可能です。特に毎時実行のコマンドの cron メールが煩わしいことだってあります。
cron メール抑止の方法を以下に記述します。コマンドごとに個別に抑止する方法と、一括して全て抑止する方法があります。
- 特定のコマンドの出力を抑止
  - コマンド出力を /dev/null へのリダイレクトします。 crontab 経由の実行コマンド出力のメールを完全に止めるには、実行コマンド全てに、標準出力を /dev/null にリダイレクトした上で標準エラー出力も標準出力へのリダイレクトとするような、以下のリダイレクトを加えます。
```
exsample.sh > /dev/null 2>&1
```
- 全てのコマンドの出力を抑止
  - crontab に以下の記述を追加することによって抑止できます。
```
# crontab -e
MAILTO=""
```
  - MAILTO 指定がない場合、cron は crontab ファイルのオーナーにメールを送信します。
  - MAILTO で明示的にユーザーを指定している場合には、そのユーザー宛にメールを送信します。
  - ユーザーの指定をせずに、MAILTO 定義のみを追記すると、メールの送信を抑止できます。
- ただし、以上のメール抑止をすると、cron 実行で何らかのエラーが発生したとしても、何の出力も得られません。自分で判断して、この設定をすることになります。

インターネット公開の準備

DDNS 設定 (2007-08-17)

この設定は global IP address を持っている nice.kaze.com サーバでは不要です。 Biglobe 傘下の DHCP WAN IP adress で動作している kita3.net では必要です。
1. kita3.net サーバは Value Domain と家サーバー・プロジェクトの DDNS サービスを利用しています。
2. /usr/local/bin/ddns-update.sh ファイルを作成し、パーミッションを 700 とします。 [password-1] [password-2] にはそれぞれに対応したパスワードを入れます。
```
#!/bin/sh
wget -O - 'http://dyn.value-domain.com/cgi-bin/dyn.fcg?d=kita3.net&p=[password-1]&h=@&i='
wget -O - 'http://ieserver.net/cgi-bin/dip.cgi?username=celeron&domain=dip.jp&password=[password-2]&updatehost=1'
```
3. webmin にて cron 設定して、毎時33分に以下のコマンドを実行するように設定します。
```
/usr/local/bin/ddns-update.sh > /dev/null
```

ネットワーク関連ファイルの設定 (2007-08-11)

今回のサーバは nice.kaze.com 、kita3.net 、そして test で使うことを考えています。
今回は named（DNS サーバ）を構築していません。これは、DNS サーバには既存のネットワークのものを使うからです。ちなみに、nice.kaze.com 正引きの DNS サーバはロサンジェルスにあります。 nice.kaze.com 逆引きの DNS サーバは日本です。そうなんです・・・ nice.kaze.com サーバは国際的なのです！！！
各設定ファイルを以下のようにします。設定ファイルのコメントを見て必要な設定を有効（コメントアウト）にし、不要な設定をコメントにします。
1. /etc/resolv.conf の設定
```
# for kita3.net, test
nameserver	192.168.1.1

# for nice.kaze.com
#domain		kaze.com
#nameserver	(ネームサーバ A の IP address)
#nameserver	(ネームサーバ B の IP address)
#nameserver	(ネームサーバ C の IP address)
```
2. /etc/network/interfaces の設定
```
iface eth0 inet static

# for test
address		192.168.1.201
network		192.168.1.0
netmask		255.255.255.0
broadcast		192.168.1.255
gateway		192.168.1.1

# for kita3.net
#address		192.168.1.210
#network		192.168.1.0
#netmask		255.255.255.0
#broadcast	192.168.1.255
#gateway		192.168.1.1

# for nice.kaze.com
#address		(nice.kaze.com の IP address)
#network		(network)
#netmask		(netmask)
#broadcast	(broadcast の IP address)
#gateway		(gateway の IP address)

iface lo inet loopback
auto eth0 lo
```
3. /etc/hosts の設定
```
127.0.0.1		localhost

# for test
192.168.1.201	nice.kaze.com

# for kita3.net
#192.168.1.210	kita3.net

# for nice.kaze.com
#(nice.kaze.com の IP address)	nice.kaze.com
```
4. /etc/hostname の設定
  - nice.kaze.com, test の時
```
nice.kaze.com
```
  - kita3.net の時
```
kita3.net
```
5. /etc/hosts.allow の設定
  変更不要です。確認だけです。アクセス許可するネットワークを記述します。 [プロトコル]:[ネットワーク] で記述します。以下の設定は、２行目で ALL:ALL を設定しているので、１行目は無効になり、全てのネットワークからのアクセスを許可することになります。
```
ALL : 127.0.0.1
ALL : ALL
```
6. /etc/hosts.deny の設定
  変更不要です。確認だけです。 hosts.allow で許可したネットワーク以外で、アクセス拒否するネットワークを記述します。（hosts.allow の設定が優先されます。） [プロトコル]:[ネットワーク] で記述します。今回、ALL:ALL を設定しているので全てのネットワークからのアクセスを拒否することになります。 hosts.allow が ALL:ALL で hosts.deny が ALL:ALL だから、結局、全てのネットワークからのアクセスを許可することになります。この判りにくい設定・・・判りますか？？？
```
ALL : ALL
```

ルータのポート開放 (2007-08-25)

nice.kaze.com サーバはインターネット上に存在するので、この設定は不要です。 kita3.net サーバはルータ下に存在するので、この設定が必要です。
ルータを設定して以下のポートを開放します。（以下のポートをサーバの IP address にトンネリングする。）

ポート番号プロトコル

20-21 ftp

22 ssh

80 http

110 pop3

143 imap

443 https

587 submission

10000 webmin

システムバックアップ＆リストア

これまで構築してきたシステムが何らかの障害や誤操作によって一瞬にして消えることがあります。こうなってから１から構築をやり直すと非常に時間がかかります。この時に備えてシステムのバックアップ＆リカバリ方法を検討します。
応用として、バックアップデータを使って全く同じサーバを何台でも製作することができます・・・IP アドレスとかユーザとかの固有情報だけを変更することでサーバ構築できます。（KURO-BOX/HG という同じハードウェアを使うことが前提です。HDD の容量は好きに選べます。）
UNIX のファイル情報にはディレクトリ位置情報、ユーザ、グループ、モード、リンクなどがあります。これらの情報も一緒に保存できるツールを選ぶ必要があります。
システムバックアップができるツールとしては、tar, dd, dump がありますが、ここでは tar を使うことにします。 tar を使うということで、注意すべき点があります。
1. デフォールトディレクトリからのルートを辿ってバックアップされます。例えば、
```
# cd /mnt
# tar cpf /mnt2/image.tar ./
```
  として /mnt ディレクトリを /mnt2/image.tar にバックアップすると、以下のように記録されます。
```
./bin/
./bin/arch
./bin/bash
./bin/cat
（以下省略）
```
2. この image.tar をリストアする場合、以下のようにすると
```
# cd /mnt
# tar xf /mnt2/image.tar
```
  元の /mnt 以下に展開されますが、以下のようにすると
```
# cd /
# tar xf /mnt2/image.tar
```
  / 以下に展開されます。
3. よって、間違えずに元の場所にリカバリするために、バックアップ時のデフォールトディレクトリの情報と、どのように tar コマンドを実行したかを記録しておく必要があります。すなわち、１の赤色の部分をカット＆ペーストしてセットで保存することをお奨めします。 tar には指定ファイルだけをリストアする機能がありますが、この時にもこの情報が必要になります。
tar 形式では圧縮されずにバックアップされ短時間で終ります。 tgz 形式にすると圧縮できますが、バックアップには信じられないくらい長時間かかります。よって、Linux 上では tar ファイルを作成するまでとし、その tar ファイルを Windows パソコンに移動してから zip 等の圧縮をするのがお奨めです。
ここで書いたことができるのも、KURO-BOX/HG が ROM Linux (EM-mode) モードがあるからです。パソコンを利用した Linux システムでは難しいです。こういう意味から KURO-BOX/HG は素晴らしいです。

システムバックアップ手順

この手順は実際にやってみて検証済みです。実際にやってみた結果、tar ファイルは 500MB 程度で zip 圧縮後は 230MB 程度になりました。 CD-R に余裕でバックアップできます。この程度の容量だと USB スティックメモリに保存するのも実用的です。
1. Debian Linux が動作している状態で、KURO-BOX/HG 背面にある「初期化スイッチ」を長押し（3秒以上）します。しばらくして KURO-BOX/HG の電源が OFF となります。この状態で KURO-BOX/HG の「電源スイッチ」を押すと、EM-mode で立ち上がります。
2. root / kuroadmin で telnet ログインします。
3. /dev/hda1 と /dev/hda3 をそれぞれ /mnt と /mnt2 としてマウントします。
```
# mount /dev/hda1 /mnt
# mount /dev/hda3 /mnt2
```
4. /mnt ディレクトリに移って tar コマンドでバックアップを作成します。 yyyymmdd には日付を 20070527 のように入れます。 /mnt ディレクトリには Debian Linux の全システムデータが入っているので、これを /mnt2/share ディレクトリの指定ファイルにバックアップする訳です。
```
# cd /mnt
# tar cpf /mnt2/share/yyyymmdd-kuro-hg-hda1.tar ./
```
5. 以下のコマンド操作をして、EM-mode を終了して Debian Linux に戻ります。
```
# echo -n 'OKOK' > /dev/fl3
# reboot
```
6. Debian Linux が立ち上がると、Windows から samba nice ネットワークドライブをアクセスすると、４でできたファイルが見えるはずです。 Windows パソコン操作にてこのファイルを zip 圧縮して CD-R に保存します。 /mnt2/share を samba の共有エリアにしていた訳がこれで判りましたよね。 Windows 操作は各人の手馴れたやり方で実施ください。ここでは説明しません。

システムリストア手順

簡単に言えばシステムバックアップの逆のことをすれば良いです。ここでは、KURO-BOX/HG に新しい HDD を実装してリカバリする想定で記述します。検証済みです。実際にやってみて、この通りの手順でＯＫでした。
1. KURO-BOX/HG に新しい HDD を実装し組み立てます。そして KURO-BOX/HG を EM-mode で立ち上げます。（新しい HDD だったら電源 ON で EM-mode にしかならないはずです。）
2. root / kuroadmin で FTP 接続し、 mkfs.sh と mkfs.dat を /root に転送します。転送が終わったら、FTP 接続を切断します。
3. root / kuroadmin で telnet ログインします。 chmod で mkfs.sh を 777 にしてから、mkfs.sh スクリプトを実行します。このスクリプトはエラーチェックを何にもしていませんので、エラーなく終わったか自分の目で確認する必要があります。
```
# cd /root
# chmod 777 mkfs.sh
# ./mkfs.sh
```
  この操作でパーティションが切り直されます。 80GB HDD でのパーティションは以下のようになります。 80GB 以外の HDD を使用する場合は、mkfs.dat を編集して「+60000M」「+512M」を適宜変更してください。「+60000M」が /mnt の容量、「+512M」が swap の容量になり、それ以外が /mnt2 に割り当てられます。
```
/dev/hda1 /mnt  60.0GB
/dev/hda2 swap   0.5GB
/dev/hda3 /mnt2 19.5GB
```
4. ３が終った直後では、既にここで述べるマウントは完了していますが、既にパーティション済みの HDD を使う場合はここでマウントします。 /dev/hda1 と /dev/hda3 をそれぞれ /mnt と /mnt2 としてマウントします。
```
# mount /dev/hda1 /mnt
# mount /dev/hda3 /mnt2
```
5. Windows パソコンで CD-R にバックアップされたデータを解凍して yyyymmdd-kuro-hg-hda1.tar を準備してから、KURO-BOX/HG に root / kuroadmin で FTP 接続し、このファイルを /mnt2/share ディレクトリに転送します。転送が終わったら、FTP 接続を切断します。
6. /mnt ディレクトリに移って tar コマンドでリストアします。
```
# cd /mnt
# tar xf /mnt2/share/yyyymmdd-kuro-hg-hda1.tar
```
7. 以下のコマンド操作をして、EM-mode を終了して Debian Linux に移行します。
```
# echo -n 'OKOK' > /dev/fl3
# reboot
```
8. Debian Linux が立ち上がったはずです。 /mnt/share ディレクトリの所有者を以下のように変更しておきます。 (2007-07-15)
```
# chown -R nobody /mnt/share
# chgrp -R nogroup /mnt/share
```

ワークグループ名	workgroup
ホスト名	kuro-box
IPアドレス	DHCPによる自動取得

ポート番号	プロトコル
20-21	ftp
22	ssh
80	http
110	pop3
143	imap
443	https
587	submission
10000	webmin

ID	root
Password	kuroadmin