RedHatLinuxES4でインターネット公開用WEBサーバーを構築(2)の続き・・・・
8.postfix メールサーバーの設定
Linuxの標準添付ではsendmailとpostfixともう一つありますが、main.cfの編集がラクだったのと、私の参考にしたマニュアルにはもう一つは掲載されていなかったので、postfixを採用しました。
メールサーバーの構築はスパムの踏み台にならないことが大命題です。
(1)/etc/postfix/main.cf
myhostname=ServerName.domain.com
mydomain=domain.com
my origin = $mydomain
my destination=$myhostname,localhost.$mydomain,$mydomain
inet_interfaces=$myhostname,localhost,IPアドレス
(hostsが設定していないIPアドレスでもメールサーバーにアクセスしたかったため、IPアドレスを直にきりました。)
mynetworks=192.168.0.0/24,192.168.1.0/24,192.168.2.0/24,127.0.0.0/8
ここに、設定されていないサブネットからメール送受信をするとエラーとなる設定です。
message_size_limit = 10485760 送受信メールの最大サイズは10M
transport_retry_time=30m 送信に失敗したら30分後にリトライします。
maximal_queue_lifetime=5d 送信に失敗したメッセージは5日間保管します。
disable_vrfy_command = yes
allow_percent_hack = yes
swap_bangpath = yes
smtpd_recipient_restrictions = permit_mynetworks,check_relay_domains
smtpd_helo_restrictions =
permit_mynetworks
reject_invalid_hostname
reject_unknown_hostname
reject_unknown_sender_domain
reject_non_fqdn_hostname
smtpd_client_restrictions = permit_mynetworks,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl.spamhaus.org,
permit
smtpd_sender_restrictions =
reject_unknown_sender_domain
(2)sendmailとpostfixの切り替え
GNOME端末で
#system-switch-mail
でGUI画面のpostfixを選択する。
(3)今回、webmasterはメールアドレスとして別途作成する予定なので/etc/aliasesのwebmasterのエントリを削除する。
(4)/etc/aliasesのdecodeのエントリを削除する。
参考URL:sendmailの設定
Sendmail アクセス制限 ~踏み台にされないために
ネットワークセキュリティについて(システム編)
9.CyrusIMAP
セキュリティ上、メールはサーバー上に残すため、IMAPでの配信とする。
(1)/etc/cyrus.conf
imap cmd="imapd" listen=143 prefork=5
imaps cmd="imapd -s" listen=993 prefork=1
pop3 cmd="pop3d" listen=110 prefork=3
pop3s cmd="pop3d -s" listen=995 prefork=1
sieve cmd="timsieved" listen=2000 prefork=0
(2)/etc/postfix/main.cf
mailbox_transport = cyrus
(3)ユーザー cyrusのパスワードを設定
GNOME端末でで
#passwd cyrus
パスワード
(4)saslauth のサービス起動
cyrusは認証にこのサービスを利用するので、これがサービスされていないと認証で毎回失敗する。私はこれで半日はまりました。
(5)メールボックス格納場所用にLVM作成
別途記載します。
(6)(5)を/var/spool/imapに自動マウント /etc/fstab
(7) /var/spool/imap の所有者を Cyrus グループをmailにし、グループにも書き込み権限を与える
(8)メールボックスの作成(webmasterのメールボックスを作成する例)
# /usr/lib/cyrus-imapd/cyradm --user cyrus localhost
IMAP Password:(3)で設定したパスワード
localhost.localdomain> createmailbox user.webmaster
localhost.localdomain> setquota user.webmaster 10000
quota:10000
localhost.localdomain>quit
(9)「システム設定」「ユーザ管理」でユーザ webmasterを作成する。
このユーザはメールアクセスのみなので、システムにはログインできないように、SHELLは/sbin/nologinとしておく。
カレントグループはmailにしておく。
(10)メールクライアントの設定(Outlook Express)
POP3でも受信可能だが、サーバーにメールを残したいので、IMAPとする。
参考URL:CyrusでIMAPサーバを構築する
10.VNC
サーバーを遠隔操作できるようにVNCを仕掛けます。
今回はGUIでの操作を基本としているので、VNCでのアクセスもGUIとします。
(1)パスワード作成
GNOME端末で
#vncpasswd /etc/vnc_passwd
パスワード
(2)xinitdでの起動としますが、このサービスではFTPなどの危険なサービスも起動できてしまいますので、xinit.dのの不要ファイルをすべてリネームします。 先頭にピリオドをつける。または、どこか別のフォルダにすべて移動してroot以外にはアクセスできないように設定します。
(3)/etc/services にVNC用のサービス追加
# for VNC Services
#
vnc-800x600x8 5950/tcp
vnc-800x600x16 5951/tcp
vnc-1024x768x8 5952/tcp
vnc-1024x768x16 5953/tcp
(4)xinitd.dにVNC用のサービス定義ファイル追加
例:vnc-800x600x8
for VNC Server
service vnc-800x600x8
{
disable = no
flags = REUSE
socket_type = stream
protocol = tcp
port =5950
wait = no
user = root
server = /usr/bin/Xvnc
server_args = -inetd -query localhost -once -geometry 800x600 -depth 8 -cc 3 --PasswordFile=/etc/vnc_passwd
log_on_failure += USERID
}
(5)ランレベルを5に設定 /etc/inittab のidで始まる行を、id:5:initdefaults:
(6)VNCの起動モードを変更 /usr/bin/vncserverのdefaultsをKDEに変更
$defaultXStartup
= ("#!/bin/shnn".
"# Uncomment the following two lines for normal desktop:n".
"# unset SESSION_MANAGERn".
"# exec /etc/X11/xinit/xinitrcnn".
"[ -x /etc/vnc/xstartup ] && exec /etc/vnc/xstartupn".
"[ -r $HOME/.Xresources ] && xrdb $HOME/.Xresourcesn".
"LANG=ja_JP.ujisn".
"export LANGn".
"xset +fp /usr/X11R6/lib/X11/fonts/japanesenn".
"xsetroot -solid greyn".
"vncconfig -iconic &n".
# "xterm -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" &n".
# "twm &n");
"startkde &n");
(7)「システム設定」「ログイン画面」でXDMCPを許可する設定とします。
(8)VNC Viewerからは、IPアドレス:XXで起動します。XXは解像度によってPort番号の下2桁を指定してください。
たとえば 1024*768 16色なら、192.168.0.1:53
パスワードは(1)で作成したパスワードを入力します。
これで、遠隔端末から、XTEMINALのサービスが利用可能となります。
参考URL:ゼロ円でできるXサーバWindowsでLinuxをリモート操作(前編)
9.samba
アプリケーションのデプロイに、WebDAVによる共有で、Windowsクライアントから、ファイル転送しようと思いましたが、どうにも上手くいかない。
調べると、WindowsXP側にも原因があるようです。
今回の工期からWebDAVは断念し、sambaを利用することにしました。
デプロイのためのアップロード専用なので、それ用のユーザを作成します。
(1)Linuxユーザ作成
ユーザー名:smbuser
パスワード: *****
ログインシェル /sbin/nologin (ターミナルでのログインはさせないため)
(2)samba共有
「システム設定」「サーバー」「samba」で設定します。
(2.1)sambaユーザ作成
UNIXユーザ名:smbuser
windowsユーザー名:smbuser
パスワード: *****(1)と同じにしておく
(2.2)フォルダ追加
Tomcatのwebapps格納フォルダを共有名tomcatwebappsで登録 smbuserのみアクセス可能とする。(フォルダのプロパティで所有者をsmbuserに変更しておくこと)
8.postfix メールサーバーの設定
Linuxの標準添付ではsendmailとpostfixともう一つありますが、main.cfの編集がラクだったのと、私の参考にしたマニュアルにはもう一つは掲載されていなかったので、postfixを採用しました。
メールサーバーの構築はスパムの踏み台にならないことが大命題です。
(1)/etc/postfix/main.cf
myhostname=ServerName.domain.com
mydomain=domain.com
my origin = $mydomain
my destination=$myhostname,localhost.$mydomain,$mydomain
inet_interfaces=$myhostname,localhost,IPアドレス
(hostsが設定していないIPアドレスでもメールサーバーにアクセスしたかったため、IPアドレスを直にきりました。)
mynetworks=192.168.0.0/24,192.168.1.0/24,192.168.2.0/24,127.0.0.0/8
ここに、設定されていないサブネットからメール送受信をするとエラーとなる設定です。
message_size_limit = 10485760 送受信メールの最大サイズは10M
transport_retry_time=30m 送信に失敗したら30分後にリトライします。
maximal_queue_lifetime=5d 送信に失敗したメッセージは5日間保管します。
disable_vrfy_command = yes
allow_percent_hack = yes
swap_bangpath = yes
smtpd_recipient_restrictions = permit_mynetworks,check_relay_domains
smtpd_helo_restrictions =
permit_mynetworks
reject_invalid_hostname
reject_unknown_hostname
reject_unknown_sender_domain
reject_non_fqdn_hostname
smtpd_client_restrictions = permit_mynetworks,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl.spamhaus.org,
permit
smtpd_sender_restrictions =
reject_unknown_sender_domain
(2)sendmailとpostfixの切り替え
GNOME端末で
#system-switch-mail
でGUI画面のpostfixを選択する。
(3)今回、webmasterはメールアドレスとして別途作成する予定なので/etc/aliasesのwebmasterのエントリを削除する。
(4)/etc/aliasesのdecodeのエントリを削除する。
参考URL:sendmailの設定
Sendmail アクセス制限 ~踏み台にされないために
ネットワークセキュリティについて(システム編)
9.CyrusIMAP
セキュリティ上、メールはサーバー上に残すため、IMAPでの配信とする。
(1)/etc/cyrus.conf
imap cmd="imapd" listen=143 prefork=5
imaps cmd="imapd -s" listen=993 prefork=1
pop3 cmd="pop3d" listen=110 prefork=3
pop3s cmd="pop3d -s" listen=995 prefork=1
sieve cmd="timsieved" listen=2000 prefork=0
(2)/etc/postfix/main.cf
mailbox_transport = cyrus
(3)ユーザー cyrusのパスワードを設定
GNOME端末でで
#passwd cyrus
パスワード
(4)saslauth のサービス起動
cyrusは認証にこのサービスを利用するので、これがサービスされていないと認証で毎回失敗する。私はこれで半日はまりました。
(5)メールボックス格納場所用にLVM作成
別途記載します。
(6)(5)を/var/spool/imapに自動マウント /etc/fstab
(7) /var/spool/imap の所有者を Cyrus グループをmailにし、グループにも書き込み権限を与える
(8)メールボックスの作成(webmasterのメールボックスを作成する例)
# /usr/lib/cyrus-imapd/cyradm --user cyrus localhost
IMAP Password:(3)で設定したパスワード
localhost.localdomain> createmailbox user.webmaster
localhost.localdomain> setquota user.webmaster 10000
quota:10000
localhost.localdomain>quit
(9)「システム設定」「ユーザ管理」でユーザ webmasterを作成する。
このユーザはメールアクセスのみなので、システムにはログインできないように、SHELLは/sbin/nologinとしておく。
カレントグループはmailにしておく。
(10)メールクライアントの設定(Outlook Express)
POP3でも受信可能だが、サーバーにメールを残したいので、IMAPとする。
参考URL:CyrusでIMAPサーバを構築する
10.VNC
サーバーを遠隔操作できるようにVNCを仕掛けます。
今回はGUIでの操作を基本としているので、VNCでのアクセスもGUIとします。
(1)パスワード作成
GNOME端末で
#vncpasswd /etc/vnc_passwd
パスワード
(2)xinitdでの起動としますが、このサービスではFTPなどの危険なサービスも起動できてしまいますので、xinit.dのの不要ファイルをすべてリネームします。 先頭にピリオドをつける。または、どこか別のフォルダにすべて移動してroot以外にはアクセスできないように設定します。
(3)/etc/services にVNC用のサービス追加
# for VNC Services
#
vnc-800x600x8 5950/tcp
vnc-800x600x16 5951/tcp
vnc-1024x768x8 5952/tcp
vnc-1024x768x16 5953/tcp
(4)xinitd.dにVNC用のサービス定義ファイル追加
例:vnc-800x600x8
for VNC Server
service vnc-800x600x8
{
disable = no
flags = REUSE
socket_type = stream
protocol = tcp
port =5950
wait = no
user = root
server = /usr/bin/Xvnc
server_args = -inetd -query localhost -once -geometry 800x600 -depth 8 -cc 3 --PasswordFile=/etc/vnc_passwd
log_on_failure += USERID
}
(5)ランレベルを5に設定 /etc/inittab のidで始まる行を、id:5:initdefaults:
(6)VNCの起動モードを変更 /usr/bin/vncserverのdefaultsをKDEに変更
$defaultXStartup
= ("#!/bin/shnn".
"# Uncomment the following two lines for normal desktop:n".
"# unset SESSION_MANAGERn".
"# exec /etc/X11/xinit/xinitrcnn".
"[ -x /etc/vnc/xstartup ] && exec /etc/vnc/xstartupn".
"[ -r $HOME/.Xresources ] && xrdb $HOME/.Xresourcesn".
"LANG=ja_JP.ujisn".
"export LANGn".
"xset +fp /usr/X11R6/lib/X11/fonts/japanesenn".
"xsetroot -solid greyn".
"vncconfig -iconic &n".
# "xterm -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" &n".
# "twm &n");
"startkde &n");
(7)「システム設定」「ログイン画面」でXDMCPを許可する設定とします。
(8)VNC Viewerからは、IPアドレス:XXで起動します。XXは解像度によってPort番号の下2桁を指定してください。
たとえば 1024*768 16色なら、192.168.0.1:53
パスワードは(1)で作成したパスワードを入力します。
これで、遠隔端末から、XTEMINALのサービスが利用可能となります。
参考URL:ゼロ円でできるXサーバWindowsでLinuxをリモート操作(前編)
9.samba
アプリケーションのデプロイに、WebDAVによる共有で、Windowsクライアントから、ファイル転送しようと思いましたが、どうにも上手くいかない。
調べると、WindowsXP側にも原因があるようです。
今回の工期からWebDAVは断念し、sambaを利用することにしました。
デプロイのためのアップロード専用なので、それ用のユーザを作成します。
(1)Linuxユーザ作成
ユーザー名:smbuser
パスワード: *****
ログインシェル /sbin/nologin (ターミナルでのログインはさせないため)
(2)samba共有
「システム設定」「サーバー」「samba」で設定します。
(2.1)sambaユーザ作成
UNIXユーザ名:smbuser
windowsユーザー名:smbuser
パスワード: *****(1)と同じにしておく
(2.2)フォルダ追加
Tomcatのwebapps格納フォルダを共有名tomcatwebappsで登録 smbuserのみアクセス可能とする。(フォルダのプロパティで所有者をsmbuserに変更しておくこと)
※コメント投稿者のブログIDはブログ作成者のみに通知されます