Redhat/Fedoraでサーバ構築

インストールするＰＣでＣＤが使えないので、こんな方法を試みました。
（１）ＣＤが使えるＰＣでインストール
（２）ＨＤだけをインストールしたいＰＣへ移動
（３）インストールしたいＰＣを起動
（４）多分、Ｘ－ｓｅｒｖｅｒが使えませんので、問い合わせの画面がでます。
そのとき「ＥＸＩＴ」します。すると、Ｘ－ｓｅｒｖｅｒの再構築が始まり、インストールしたいＰＣのビデオドライバを認識してくれます。
（５）正常に起動後に
　モニタの変更
　ＬＡＮカードのＭＡＣアドレスの再認識が
必要でした。

その後も問題なく起動しています。

ＦｅｄｏｒａのＰＯＰ３サーバはdovecotです。
　protocols = pop3
　pop3_enable_last=yes
を設定しました。

Fedora5でもPHPのSQLiteを使う必要があります。
やはり使えませんでした。現象は、Fedora4と同様に、
sqlite-open関数が、未定義で使用できませんでした。
pear install sqlite　　＝＝＝＞　perc install sqliteに変更です。
を試しましたが、エラーでインストールできませんでした。
phpize が無くエラーとなります。Phpの開発キットのRPMをミラーサイトからDownloadして
インストールで解決です。
しかし、同様にコンパイルでエラーとなりますので
$ pear download sqlite　＝＝＝＞perc download sqlite　に変更です。
download
そして unpacked and began to compile it
$ tar zxvf SQLite-1.0.3.tgz
$ cd SQLite-1.0.3
$ phpize
$ ./configure
$ make

edit sqlite.c, comment out the following line:
/* static unsigned char arg3_force_ref[] = {3, BYREF_NONE, BYREF_NONE, BYREF_FORCE }; */

And then change these lines
function_entry sqlite_functions[] = {
PHP_FE(sqlite_open, arg3_force_ref)
PHP_FE(sqlite_popen, arg3_force_ref)
以下へ変更
function_entry sqlite_functions[] = {
PHP_FE(sqlite_open, third_arg_force_ref)
PHP_FE(sqlite_popen, third_arg_force_ref)

$ make
$ make install
$ cp modules/sqlite.so /usr/lib/php/modules　＝＝＞これは不要です。
$ /sbin/service/httpd restart

しかし、　まだsqlite-open関数が、未定義で使用できません。
例題を参照に
if (!extension_loaded("sqlite")) {
dl("sqlite.so");
}
でモジュールをロードすることにしました。
これで解決です。
ご参考に

Linuxでネットワークカードを２枚挿入してだけではルーティングできません、
ルーテイを可能にする設定が必要です。
以下のコマンドでルーティングを可能にします。
# echo 1 > /proc/sys/net/ipv4/ip_forward
再起動後もルーティングを有効にするため、etc/sysctl.confを以下の通り設定します。
net.ipv4.ip_forward = 1

LPC4-CLX ネットワークカードを追加で使用することになりました。
Ｆｅｄｒａ４では　「Asix AX88190 PCMCIA」
として認識してくれました。

パッケージのインストール
yum　install　パッケージ名
パッケージの更新
yum　update　[ パッケージ名 ]
パッケージの削除
yum　remove　パッケージ名
パッケージの検索
yum　search　キーワード
パッケージの問い合わせ
yum　info　[ オプション または パッケージ名 ]
yum　list　[ オプション または パッケージ名 ]
　オプション
　　available インストール可能なパッケージの情報を一覧表示する。
　　installed システムにインストールされているパッケージの情報を一覧表示する。
　　recent 最近追加されたパッケージの情報を一覧表示する。
　　updates 更新可能なパッケージの情報を一覧表示する。
下記から抜粋させていただきました
http://cyberam.dip.jp/linux_foundation/proginstall/yum_main.html

SMTPの応答時間を長くするには(60秒です）
define command{
　　command_name check_smtp2
　　command_line $USER1$/check_smtp -H $HOSTADDRESS$ -t 60
}
proxyを監視するには
define command{
　　command_name check_proxy
　　command_line $USER1$/check_http -H $HOSTADDRESS$
　　　　　　　　　　　　　　　　　　　　　 -p 8080 -u http://www.yahoo.co.jp
}

パッシブモードを有効にする
pasv_promiscuous=YES
ユーザが打ち込んだftpコマンドをログに残す(下記２つ)
xferlog_std_format=NO
log_ftp_protocol=YES
タイムスタンプ時間を日本時間に合わせる
use_localtime=YES
以上は、http://www.kaju.homeip.net/vsftpd.shtml
設定ファイルの日本語訳は
http://www.tempo-123.com/fedora_web/vsftpd_conf.html#vsftpd
を参照にしてください。

Fedora4でPHPのSQLiteを使おうと思ったのですが、
sqlite-open関数が、未定義で使用できませんでした。
phoinfo()で見てみると、SQLite無しで構築されているようです。

pear install sqlite
を試しましたが、エラーでインストールできませんでした。

http://fedoraforum.org/forum/showthread.php?t=59802&highlight=php+sqlite

のサイトで下記に記事を探し、チャレンジ中です。
　$ pear download sqlite
then unpacked and began to compile it
$ tar zxvf SQLite-1.0.3.tgz
$ cd SQLite-1.0.3
$ phpize
$ ./configure
$ make

edit sqlite.c, comment out the following line:
/* static unsigned char arg3_force_ref[] = {3, BYREF_NONE, BYREF_NONE, BYREF_FORCE }; */

And then change these lines
function_entry sqlite_functions[] = {
PHP_FE(sqlite_open, arg3_force_ref)
PHP_FE(sqlite_popen, arg3_force_ref)
to:
function_entry sqlite_functions[] = {
PHP_FE(sqlite_open, third_arg_force_ref)
PHP_FE(sqlite_popen, third_arg_force_ref)

$ make
$ make install
$ cp modules/sqlite.so /usr/lib/php/modules
$ /sbin/service/httpd restart

Redhat Enterprise Linux ES 3.0 では
サーバ設定＝＞ネットワークで　スタティックルーティングの削除　しても
実際の定義スクリプトファイルディレクトリ（/etc/sysconfig/network-scripts）
から削除されません。
そのため、以前のスタティックルーティングが残ってしまいます。
注意してください。（ＧＵＩインターフェースはまだまだ信用できません）
なお、fedora4 では　削除されます。

Redhatのセキュリティアップデート（カーネル更新あり）後の再起動で、ルートディテクトリを読めず、カーネルパニックになってしまいました。
一世代前のカーネルを指定すると、正しく起動しています。
調査の結果、initial ramdisk（initrd) imageのファイルサイズが半分以下であることが判明しましたので、再作成することにしました。
（Redhatの保守サービスからの情報で）作り直しは、下記のコマンドで行いました。

mkinitrd /boot/initrd-2.4.21-27.0.4.ELsmp.img　2.4.21-27.0.4.ELsmp
mkinitrd /boot/initrd-2.4.21-27.0.4.EL　2.4.21-27.0.4.EL

再起動後、問題なく新カーネルで実行でました。

VSFTPDを設定して起動すると、
「vsftpd dead but subsys locked」で起動しなくなりました。
lockファイルを削除したり、再インストールしたのですが、好転しませんでした。
標準のCONFを使用すると、不思議と起動します。

use_localtime = YES

を追加してだけです。？？？？？？？？
原因は=前後の空白の様です。

use_localtime=YES

とすると、起動するようになりました。

バックアップ用のデーモンJOBの結果で

tar: Removing leading `/' from member names

のメッセージのメールが配信されて困りました。
これは

cd /

tar -cf /home/ymsan/backup /var/log

等で出力されます。ルートに位置づけられていますので

tar -cf /home/ymsan/backup var/log

と修正するのが正解と思います。

tar -Pcf /home/ymsan/backup /var/log

の案も有りますが、解凍するときに同じエラーとなります。

squid の上位プロキシとして　ウィルスチェックやコンテンツフィルタ用のプログラムを使用したときの注意事項です。

1.squidのキャッシュの初期設定すること

squid -z

キャッシュにウィルス付のコンテンツが残っている可能性があります。　

2.ウィルスチェックなどの親プロキシの指定
　
　cache_peer 192.168.9.2 parent 9080 3130 no-query

などで指定します。

3.親プロキシでエラーとなるとき

　never_direct allow all

これを指定しないと親プロキシが動いてないと、直接外部へアクセスします。

データのバックアップファイルやログファイルの名前に日付をつけたい時があります。

（１） ファイルのtarバックアップを取ります。

cd /backup/xxx

#tar -cvf www-`date +%Y%m%d`.tar /var/www/html

（２）日付付で圧縮します。
#gzip www-`date +%Y%m%d`.tar

www-20050131.tar.gz ファイルが作成されます。

+%y%m%dにすると
www-050131.tar.gz ファイルが作成されます。

（３）1コマンドで行うには

#tar -czvf www-`date +%Y%m%d`.tar.gz /var/www/html

fedora 2にコンテンツフィルターIフィルターをインストールするとき

　libstdc++-libc6.2-2.so.3

が無くて困りました。

FedoraのFTPサイトかＣＤ中から

compat-libstdc++-devel-7.3-2.96.126.i386.rpm

を入手してインストールしました。
これで解決です。

TapeWareを組み込むとCDをマウントできなりました。

/etc/rc.d/rc.localに以下の行が追加されていました。

/sbin/modprobe ide-scsi > /dev/null 2>&1

IDEのCD-Rを使うためにSCSIにエミュレーションするための指定ですが、これは不要です。

削除すると、CDをマウントできるようになりました。

TapwareでDrアックアップファイルからリカバラリしたのですが、起動できませんでした。
mbrが回復できなかったようです。
redhat9で作成していたき起動ディスクを少し変更して、取りあえず起動することができました。
その後、

（１）ｍｂｒの作成
　rootで
　#grub-install /dev/hda
　です（SCSIなら　/dev/sda）

（２）正式な起動FDを作成しようとしたのですが、
　容量不足のようなので、CDに作成することにしました。
　#mkbootdisk --device /root/boot.iso --iso 2.4.32-20.EL

iso 2.4.32-20.ELは、実際のシステム名称です。これで安心です。
できたISOファイルから起動CDを作成します。

fedoraの標準FTPは、vsftpdになりました。
redhat9ではまだWU-FTPDが使用可能でした。
Redhat enterprise Linus WE/ES/AS 3の標準もvsftpdです。

fedoraの標準FTPサーバをWU-FTPD風に使う方法を模索しました。
WU-FTPDでは、ログインしたユーザ毎に、chrootするディsレクトリの指定が簡単に行えました。
　　ユーザ　abcd　では　　　ログイン後のroot を　/　　とする　　　　
　　ユーザ　www　では　　　ログイン後のroot を　/var/www　　とする
などです。

また、ユーザでログインできるネットワークを限定することもできました。

下記で指定します。

1. vsftpd.conf
ascii_upload_enable=YES
ascii_download_enable=YES
ftpd_banner=Welcome to blah FTP service.
ls_recurse_enable=YES
use_localtime=YES

userlist_enable=YES (default=NO)
userlist_deny=NO (default=YES)
#userlist_file＝/etc/vsftpd.user_list

　/etc/vsftpd.user_listに書いてあるユーザのみログインできます。
　/etc/vsftpd.ftpusers で指定してあるユーザは/etc/vsftpd.user_list で指定されていても認証でエラーとなります。

chroot_list_enable=YES (default=NO)
chroot_local_user=NO (default=NO)
#chroot_list_file=/etc/vsftpd.chroot_list

　etc/vsftpd.chroot_listに書いてあるユーザをchrootします。
　通常は、chrootさせたときのルートは，ftpでログインするユーザのホームディレクトリになります。
　特定エンドユーザが自分のホームディレクトリ以外いじらせたくない場合，指定する。

　ルートの変更するには、ユーザ用設定ファイルを使用します。
user_config_dir=/etc/vsftpd_user_conf

　ここで、ユーザ用設定ファイルを含むディレクトリを指定し、そのな中にユーザ名と同じ名前のファイルを作成し、そのファイルで下記を設定します。
　wwwファイルで

local_root=/var/www

　と指定します

2. /etc/vsftpd.user_list

abcd
www

3. /etc.vsftpd.chroot_list

abcd
www

4. /etc/vsftpd_user_confディレクトリ
(1)abcdファイル
local_root=/

(2)wwwファイル
local_root=/var/www

ログイン先　192,168.0.128/255.255.255.128 に限定するには

5. /etc/hoast.allow
vsftpd : 192,168.0.128/255.255.255.128 : setenv VSFTPD_LOAD_CONF　/etc/vsftpd/192168/vsftpd.conf

6. /etc/vsftpd/schoolnet/192168/vsftpd.conf
ascii_upload_enable=YES
ascii_download_enable=YES
ftpd_banner=Welcome to blah FTP service.
ls_recurse_enable=YES
use_localtime=YES
userlist_enable=YES
userlist_deny=NO
userlist_file＝/etc/vsftpd/192168/vsftpd.user_list
chroot_list_enable=YES
chroot_local_user=NO

7. /etc/vsftpd/192168/vsftpd.user_list
abcd
www

mt コマンドを使用します
（１）テープを消去するには
　　mt -f /dev/st0 erase
（２）状態表示は
　　mt -f /dev/st0 status
（３）アンロードするには
　　mt -f /dev/st0 offline

Fedoraの標準FTPはvsftpdです。
FFFTPなどのクライアントソフトで使用しますと、日本時間と９時間ずれて表示されます。
これは、vsftpdの標準時間がグリニッジ時間であるからです。
そのためには、vsftpdの設定で表示時間をローカル時間に指定する必要があります。

use_localtime=YES

「追加」
隠しファイルを表示するには？？？
force_dot_files=YES

Fedoraのシステム更新は、RHN利用で行うと非常に遅いので、yumを利用すのが一般的ですが、
プロキシ指定が必要な場所では、（更新ツールのyumで更新情報のヘッダが読めない）ので、
プロキシの指定が必用です。

#http_proxy=http://proxy.mydomain.p:8080/ yum update

で可能です。

Fedoraのインストール時は、ディスクが1つでした。バックアップ用にディスクを追加することになりました。
IDEのプライマリのスレーブが不調なので、セカンダリのスレーブに追加しました。

（１）接続後に起動しました。
　　起動後は、/dev/hdd で認識しました。
　　（この時点で、ハードブラウザでブラウザしない事です。フリーズします）
（２）fdiskコマンドでパーティションを確保します。
　　　fdisk　/dev/hdd
　　です。
　　　削除　（D)
　　　作成　（N)
　しました。hdd1とhdd2を作成しました。
（３）mke2fsコマンドで初期化です
　　　mke2fs　-j　/dev/hdd1
　　　mke2fs　-j　/dev/hdd2
（４）e2labelでボリュームラベルをつけます。
　　　e2label　/dev/hdd1　data1
　　　e2label　/dev/hdd2　data2　　
（５）ハードブラウザでブラウザして確認してください。
（６）起動時にマウントする指定します。
　　　このままでは、自動的にマウントされません。
　　　fstabを書き換へれば良いのですが、指定方法が確信をもてませんでした。
　　　webmin でディスクの追加ができそうなので、利用しました。
（７）webminを起動します。
　　　システム＝＝＝＞ファイルシステムでマウントを指定します。
　　　　ex3ファイルシステムを選んでマウントを追加をクリックします
　　　　マウントの作成画面で
　　　　　　マウントポイント　/data1
　　　　　　ラベル付きパーティション　/data1
　　　　を選択して、作成をクリックします。

（９）fstabを確認してください。
　正しく更新されていますよ！

「注意」
デフォルトでは、ファイルシステムは27回目の起動または前回のfsck以来180日経過すると、自動的にfsckを行うようになっている。このチェックには時間がかかるので、外したい場合は次のコマンドを実行する。
# tune2fs -i 0 -c 0 /dev/hdXX

基本的なtarの使い方 です。
（１）纏めたいディレクトリへ移動
cd ddddd」
（２）tarで纏めます
tar -cf xxx.tar a b c d
（３）展開したいディレクトリへ
cd eeee
（４）tarで解凍します
tar -xf xxx.tar
　a b c dが展開されます

迷惑メールの手段として、外部から直接に宛先メールサーバを使用して、宛先メールサーバのアカウントにメールを送信するケースがあります。
このとき、HELOコマンドで自分を、「宛先メールサーバのドメイン・ホスト名」と偽ってくるケースが多いです。
宛先メールサーバの使用を制限する１つの方法として、smtpd_helo_restrictions を使用する方法があります。
（１）Postfixの設定　main.cf
smtpd_helo_restrictions = check_helo_access hash:/etc/postfix/bad_helo
（２）bad_heloファイルで
[　bad_helo]
domain.jp EJECT
.domain.jp EJECT
としています。domainは宛先(自分の）ドメインとなります。
（３）DBの作成
#postmap /etc/postfix/bad_helo
（４）Postfixの再起動

PINGを外部から使用許可するには、echo request を　FW　で通貨させる必要がる。
　プロトコル　ICMP
　ポート　　　8
は、FWで設定できませんでした。ポートを空に設定しました。

Fedoraでは、 内部の文字コードがUTF8になりました。
しかし、UTF8にが対応していないプログラムが多いですので、日本語が化けるケースが多く発生しました。その対策です。
（１）Genome端末
　メニューで文字コードをEUC-JPで設定します。
（２）WWWサーバ
　apacheのコンフィグで

　LanguagePriority ja en .......

　AddDefaultCharset UTF8
　をコメント化しました。
　#AddDefaultCharset UTF8
　これでもよいはずです
　AddDefaultCharset none

「良い面」
　ディレクトリ、ファイル名に日本語がスムーズに使える用になりました。
　FFFTPで日本語ファイル名を作成しても、Linux側で日本語で見えます。
　（WindowsもUTF8です）

セキュリティのため、SMTPのプログラム名やバージョンを表示しないことがありますが、ウィルスGW（F-secure）を使用している場合は、

virusgw.iniで
[smtp]
　product_name=<バナー文字列>

で指定します。

セキュリティのため本当のDNS バージョンを見せないため、意図してバージョン設定 します。

named.confで

options {
　　　　。。。。。。。
　　　　version "DNS Server xx";
　　　　。。。。。。。
};

を指定します。

BindをセキュアにするためにChrootを導入しました。
１．下記のファイルが必要です。
　/var/named/chroot
　　├ dev
　　｜　├ null
　　｜　└ random
　　├ etc
　　｜　├ localtime
　　｜　└ named.conf
　　└ var
　　　　├ log （すぐに必要になることはありません）
　　　　├ named
　　　　｜　├ named.ca
　　　　｜　├ local.zone
　　　　｜　└ そのほかのゾーンファイル......
　　　　└ run
　　　　　　└ named
　　　　　　　└ named.pid（起動時に作成される）
　
# mv /var/named /var/named_org (デフォルトのディレクトリを退避します）

# mkdir /var/named

# cd /var/named
# mkdir chroot
# cd chroot
# mkdir -p dev etc var/run/named var/log var/named

２．ファイルのコピー
（１） /var/named/chroot/etc/localtime, /var/named/chroot/etc/named.conf
は　/etc/localtime,/etc/named.conf
からコピーします。
（２） /var/named/chroot/var/named/ 配下は
　　退避した/var/named_org
からコピーします。
# cd /var/named/chroot/var/named/
# cp /var/named_org/*.* .

３．ファイルのパーミッション
　/var/named/chroot 配下を　ユーザnamed 、グループ　named 、モード　700
でアクセスを制限します。

４．/var/named/chroot/dev/null , /var/named/chroot/dev/random ファイルを作成します。
　以下のブログを参照してください。
null
random

５．chrootでの起動させるために
　/etc/sysconfig/namedに
　　ROOTDIR=/var/named/chroot
　を付け加えます。

６．/etc/rndc.keyも/var/named/chrootへコピーします。
rndcが正常に起動していないとchrootの意味が無いですね。

「注意」
　fedora系では、インストールで指定すれば、上記のような苦労は不要なようです。
　redhat enterprise linux ES 3　では、それなりに設定が必要ですね。

fedora2 でのpop3はdeovecotを使うことになります。
ただし標準はIMAPの設定です。

（１）/etc/devecot.conf に

protocols = pop3 ........

が必要。

（２）ポートを変更するには

pop3_listen = *:9110

とします。

バックアップソフトは高価なのですが、HPのテープストレージを購入すれば「ディザスタ リカバリ・オプションを備えたTapeWareソフトウェアのシングルクライアント用完全版コピー」が付属 してます。
DAT72で14万円程度です。OBDR機能もつかるので便利です。
TapewareはDELLのサーバでも取り扱っているようです。
Linuxで他のバックアップソフトにはNetVaultがありますが、高価ですし、LinuxではオンラインDRに対応していません。
TapeWareには、バックアップのパス数を設定できますので、サービスが使用されていないときは、ほぼ完全のDR用のバックアップが可能です。
サービスを中断すれば完全にバックアップが取れます。ファイルやディレクトリのバックアップ前後にコマンドを実行できるので柔軟性があります。
「注意」
NetVaultはオンラインDRに対応したようです。Storix Inc.の技術を使用しているようです。
DELLのPoweedge1850　や　NEC　Express5800　120Re1で使えました。

バックアップ装置としてテープ装置を使うとすると、リブート無しでSCSI接続のテープ装置の取り外しと追加できると便利です。
新しいカーネルと/procファイルシステムが走っているならば、使用されていない装置をシステム稼働中に取り外したり導入することができます。

（１)SCSI 装置を取り外すには：

echo "scsi remove-single-device a b c d" > /proc/scsi/scsi

(2)同様にして、SCSI 装置を追加するには、

echo "scsi add-single-device a b c d" > /proc/scsi/scsi

とします。

ここで

a == ホストアダプタの番号 (最初のものが 0)
b == ホストアダプタ上の SCSI チャネル (最初のものが 0)
c == ID
d == LUN (最初のものが 0)

参考資料
http://www.linux.or.jp/JF/JFdocs/SCSI-Programming-HOWTO-4.html

上記コマンドの確認は

mt -f /dev/st0 status

で行えます。

サーバを運用していると稼動しているかが心配になります。
公開用サーバでは、

を無料で使用できます。
しかし、内部の監視は、「Nagios」を利用しています。
ホストやサービスを監視できる管理ツールです。設定はLinuxで行っていますが、状況の監視はWebブラウザで行います。システムの障害を検知すると、メールや通知してくれるので、非常に役に立っています。ログも見やすく表示されますので対策に有効です。
(0)本家
　http://www.nagios.org/
(1)nagios RPM packages for Red Hat/Fedora
　http://dag.wieers.com/packages/nagios/
(2)Nagiosのコンフィグ
　http://www.atmarkit.co.jp/fnetwork/rensai/netman06/netman01.html
(3)いろいろ
　http://nagios.x-trans.jp/naija/