~クラウドサービス 時 代 を 支 えるOSS/Linux 人 材 育 成 ~ ス キ ル ブ レ イ ン 株 式 会 社 LPICレベル2 技 術 解 説 無 料 セミナー LPI-Japanアカデミック 認 定 校 スキルブレイン 株 式 会 社 インストラクター 三 浦 一 志 LPI-Japan 2015. All rights reserved.
LPIC レベル2の 概 要 小 規 模 から 中 規 模 のネットワークシステムを 管 理 できること Linux UNIX Windowsが 混 在 する 小 規 模 なネットワークの 設 計 運 用 保 守 ができ 安 定 かつ 安 全 な 稼 働 を 維 持 し トラブルシューティングがで きること アシスタントを 管 理 できること 自 動 化 および 購 入 に 関 して 管 理 者 に 助 言 できること 2014 年 1 月 1 日 よりver4の 新 試 験 範 囲 が 提 供 されている http://www.lpi.or.jp/lpic2/range/ LPI-Japan 2015. All rights reserved. 2
レベル2 試 験 の 概 要 201 試 験 のポイント サーバのスケーリング メンテナンス そしてトラブ ルシューティングに 焦 点 を 当 てている 202 試 験 のポイント 主 要 なネットワークサービスのほかに システムと ネットワークのセキュリティにも 焦 点 を 当 てている レベル1の 試 験 範 囲 もかなり 出 題 される 復 習 が 必 要 レベル1より 深 い 内 容 が 問 われる LPI-Japan 2015. All rights reserved. 3
使 用 する 環 境 各 主 題 のポイントとなる 部 分 を 紹 介 仮 想 環 境 を 利 用 し デモで 確 認 を 行 う Windows(ホストOS) 仮 想 環 境 VirtualBox sda:linux システム ssh TeratermやPuttyを 利 用 してsshで 接 続 CentOS6.6(ゲストOS) sdb:raid 用 sdc:lvm 用 LPI-Japan 2015. All rights reserved. 4
201 試 験 ver3.5の トラブルシューティング は 各 主 題 に 分 配 された LPI-Japan 2015. All rights reserved. 5
主 題 200:キャパシティプランニング 200.1 リソースの 使 用 率 の 測 定 とトラブルシューティング 6 200.2 将 来 のリソース 需 要 を 予 測 する 2 collectd:システムの 各 種 情 報 を 定 期 的 に 収 集 するデーモン Nagios:オープンソースのシステム 監 視 ネットワーク 監 視 を 行 う MRTG:ネットワーク 機 器 のトラフィックをグラフ 化 するプログラム Cacti:MRTGの 代 替 となるソフトウェア 過 去 のグラフを 参 照 できる LPI-Japan 2015. All rights reserved. 6
vmstatコマンドの 見 方 vmstat 表 示 間 隔 ( 秒 ) 回 数 r 実 行 待 ちプロセス 数 bo 送 られたブロック b 割 り 込 み 不 可 能 なプロス 数 in 1 秒 当 たりの 割 り 込 み swpd スワップサイズ cs 1 秒 当 たりのコンテキストスイッチ free 空 きメモリ us ユーザ 時 間 buff バッファメモリ sy システム 時 間 cache キャッシュメモリ id アイドル 時 間 si スワップイン wa 入 出 力 待 ち 時 間 so スワップアウト st ゲストOSがCPUを 割 り 当 ててもらえなかった 時 間 bi 受 け 取 ったブロック LPI-Japan 2015. All rights reserved. 7
リソース 利 用 率 の 把 握 top システムリソースの 使 用 状 況 やプロセスの 実 行 状 態 iostat sar free CPUの 利 用 状 況 とディスクの 入 出 力 ディスク 関 連 ネットワーク 関 連 メモリとスワップ 関 連 の 情 報 sysstatパッケージに 含 まれている メモリの 使 用 率 LPI-Japan 2015. All rights reserved. 8
主 題 201:Linuxカーネル 201.1 カーネルの 構 成 要 素 2 201.2 Linuxカーネルのコンパイル 3 201.3 カーネル 実 行 時 における 管 理 とトラブルシューティング 4 LPI-Japan 2015. All rights reserved. 9
Active kernel releases カーネルの 情 報 およびソースダウンロード 先 http://www.kernel.org カーネルのバージョン Prepatch メインラインカーネルプレリリース 版 Mainline メインラインツリー すべての 新 機 能 が 導 入 される Stable メインラインカーネルが 解 放 された 後 それを 安 定 と する Longterm 長 期 保 守 のカーネルリリース 重 要 なバグが 修 正 さ れる LPI-Japan 2015. All rights reserved. 10
カーネルの 再 構 築 1. 必 要 なパッケージをインストール yum install gcc kernel-devel kernel-headers ncurses-devel 2. カーネルソースを 入 手 cd /usr/src wget ftp://ftp.kernel.org/pub/linux/kernel/v3.x/linux-3.19.3.tar.xz xz dv linux-3.19.3.tar.xz tar xvf linux-3.19.3.tar 3. カーネルのカスタマイズ cp /boot/config-2.6.18-308.el5./.config make menuconfig 3. コンパイル make bzimage 4. カーネルモジュールのインストール make modules_install 5. カーネルのインストール make install 現 在 のカーネルソース 新 しい 設 定 を 組 み 込 む menuconfigを 起 動 す るため 必 要 以 前 のカーネルの 設 定 を 引 き 継 ぐ LPI-Japan 2015. All rights reserved. 11
主 題 202:システムの 起 動 202.1 SysV-initシステムの 起 動 をカスタマイズする 3 202.2 システムのリカバリ 4 202.3 その 他 のブートローダ 2 SYSLINUX:FATファイルシステムからカーネルを 起 動 する ISOLINUX:ISO9660ファイルシステムからカーネルを 起 動 する PXELINUX:PXEを 使 用 してネットワークブートをする (Preboot execution Environment) LPI-Japan 2015. All rights reserved. 12
起 動 スクリプト /etc/ /etc/init.d/ httpd /etc/rc[0-6].d/ ( 起 動 スクリプト) ランレベルごとに ディレクトリがある シンボリックリンク S85httpd Sで 始 まる:ランレベルのときサービスがスタート Kで 始 まる:ランレベルのときサービスが 終 了 数 字 : 小 さい 数 字 から 順 に 実 行 LPI-Japan 2015. All rights reserved. 13
サービスの 制 御 現 状 のサービスを 制 御 /etc/init.d/ - /etc/init.d/httpd start Apacheの 起 動 次 回 起 動 時 のサービスを 制 御 (CentOS) chkconfig httpd on chkconfig --list httpd Debianの 場 合 Linux 起 動 時 にApacheの 起 動 サービスの 起 動 確 認 update-rc.d (Debian6からはupdate-rc.dに 代 わってinsservコマンドを 使 用 ) LPI-Japan 2015. All rights reserved. 14
主 題 203:ファイルシステムとデバイス 203.1 Linuxファイルシステムを 操 作 する 4 203.2 Linuxファイルシステムの 保 守 3 S.M.A.R.T.(Self-Monitoring,Analyis and Rporting Technology System) ハードディスクに 組 み 込 まれている 自 己 診 断 機 能 のこと Btrfs(B-tree file system):linux 向 けに 開 発 中 のファイルシステム 203.3 ファイルシステムを 作 成 してオプションを 構 成 する 2 LPI-Japan 2015. All rights reserved. 15
オートマウント オートマウントとは? 指 定 したディレクトリにアクセスすると 自 動 的 にマウントする 設 定 ファイル /etc/auto.master 1 2 1マウントベース(ディレクトリがないときは 作 成 する) /mnt/auto /etc/auto.sdb2 2マップファイルのパス マップファイル(/etc/auto.sdb2) 1 sdb2 2 3 -fstype=ext4,rw :/dev/sdb2 1マウントベースの 下 に 置 かれるディレクトリ 2マウントオプション 3デバイスファイル 名 オートマウントの 実 行 #/etc/init.d/autofs start (auto.masterを 変 更 したらautomountデーモンを 再 起 動 する) 確 認 :/mnt/auto/sdb2に 移 動 する LPI-Japan 2015. All rights reserved. 16
主 題 204: 高 度 なストレージ 管 理 204.1 RAIDを 構 成 する 3 204.2 記 憶 装 置 へのアクセス 方 法 を 調 整 する 2 iscsi(internet Small Computer System Interface) TCP/IP 上 でSCSIプロトコルを 利 用 可 能 にする 仕 組 み 安 価 にSANを 構 築 できる 204.3 論 理 ボリュームマネージャ 3 LPI-Japan 2015. All rights reserved. 17
論 理 ボリュームマネージャ(LVM) 物 理 ボリューム (PV) ボリューム グループ (VG) 論 理 ボリューム (LV) 250MB sdc1 束 ねる sdc1 切 り 出 す 200MB 250MB 論 理 ボリューム 名 :lv01 sdc2 sdc2 ボリュームグループ 名 :vg01 LPI-Japan 2015. All rights reserved. 18
LVMの 構 成 # pvcreate /dev/sdc1 /dev/sdc2 物 理 ボリューム 作 成 # vgcreate vg01 /dev/sdc1 /dev/sdc2 ボリュームグループ 作 成 # lvcreate -L 200M -n lv01 vg01 論 理 ボリューム 作 成 # mkfs -t ext4 /dev/vg01/lv01 ファイルシステム 作 成 # mount -t ext4 /dev/vg01/lv01 /mnt マウント 論 理 ボリュームの 確 認 #lvdisplay /dev/vg01/lv01 LPI-Japan 2015. All rights reserved. 19
RAID ソフトウェアRAID(LinuxがRAIDを 管 理 ) /dev/sdb3 /dev/sdb4 /dev/sdb5 250MB 250MB 250MB /dev/md0 (RAID 1) 250MB 予 備 LPI-Japan 2015. All rights reserved. 20
RAIDの 構 成 # mdadm -C /dev/md0 --level=1 --raid-devices=2 --spare-devices=1 /dev/sdb3 /dev/sdb4 /dev/sdb5 mdadm: array /dev/md0 started. # cat /proc/mdstat Personalities : [raid1] md0 : active raid1 sdb5[2](s) sdb4[1] sdb3[0] 248896 blocks [2/2] [UU] RAID1を 作 成 RAIDアレイmd0 RAIDアレイを 確 認 unused devices: <none> # mdadm --query /dev/md0 RAIDアレイmd0の 状 態 を 確 認 /dev/md0: 243.06MiB raid1 2 devices, 1 spare. Use mdadm --detail for more detail. /dev/md0: No md super block found, not an md component. LPI-Japan 2015. All rights reserved. 21
主 題 205:ネットワーク 構 成 205.1 基 本 的 なネットワーク 構 成 3 205.2 高 度 なネットワーク 構 成 4 205.3 ネットワークの 問 題 を 解 決 する 4 LPI-Japan 2015. All rights reserved. 22
tcpdumpの 実 行 例 # tcpdump icmp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 01:50:45.701512 IP 192.168.56.1 > 192.168.56.128: ICMP echo request, id 1, seq 1, length 40 01:50:45.798984 IP 192.168.56.128 > 192.168.56.1: ICMP echo reply, id 1, seq 1, length 40 192.168.56.1から192.168.56.128 宛 にpingを 実 行 し ている echo requestを 行 い echo replyが 返 ってくる LPI-Japan 2015. All rights reserved. 23
主 題 206:システムの 保 守 206.1 ソースからプログラムをmakeしてインストールする 2 206.2 バックアップ 操 作 3 206.3 システム 関 連 の 問 題 をユーザに 通 知 する 1 LPI-Japan 2015. All rights reserved. 24
ソースからインストール Apacheソースのダウンロード $wget http://ftp.riken.jp/net/apache/httpd/httpd-2.2.26.tar.gz 1. $tar xzvf httpd-2.2.26.tar.gz 2. $cd httpd-2.2.26 3. $./configure 4. $make 5. #make install インストール 時 は root 権 限 が 必 要 インストール 環 境 の 調 査 Makefileの 生 成 コンパイル インストール LPI-Japan 2015. All rights reserved. 25
ユーザへの 通 知 ユーザーへの 通 知 /etc/issue ログイン 前 にシステム 情 報 やメッセージを 表 示 /etc/motd ログイン 後 にメッセージを 表 示 wall ログイン 中 のユーザへ 通 知 /etc/issue CentOS release 6.6 Kernel 2.6.18-308.8.2.el5 on an i686 centos login: root Password: /etc/motd Last login: Wed Sep 30 20:54:51 2011 from 192.168.56.1 System maintenance: Jun 30 22:00-23:00 LPI-Japan 2015. All rights reserved. 26
202 試 験 LPI-Japan 2015. All rights reserved. 27
主 題 207:ドメインネームサーバ 207.1 DNSサーバの 基 本 的 な 設 定 3 207.2 DNSゾーンの 作 成 と 保 守 3 207.3 DNSサーバを 保 護 する 2 LPI-Japan 2015. All rights reserved. 28
DNSの 基 本 名 前 解 決 の 種 類 正 引 き:ホスト 名 IPアドレス 逆 引 き:IPアドレス ホスト 名 BIND ver9 DNSサーバーのアプリケーション ゾーン DNSサーバーが 管 理 する 名 前 空 間 の 範 囲 ( 例 :example.net) FQDN(Fully Qualified Domain Name: 完 全 修 飾 ドメイン 名 ) ホスト 名 +ドメイン 名 の 形 式 で 表 す インストール #yum install bind bind-chroot centos.example.net 192.168.56.128 192.168.56.128 centos.example.net chrootを 使 用 する 場 合 LPI-Japan 2015. All rights reserved. 29
BINDの 設 定 ファイル / (ルート) chrootを 使 用 すると /var/named/chrootがルートになる /etc/ named.conf 管 理 するゾーン BINDの 基 本 設 定 な どを 記 述 /var/named ゾーンファイルの 置 き 場 所 example.net.zone 正 引 き 設 定 56.168.192.in-addr.arpa 逆 引 き 設 定 そのほか ループバック 用 ファイル ルートDNSサーバ 用 ファイルが 必 要 LPI-Japan 2015. All rights reserved. 30
named.confの 設 定 例 /etc/namedの 基 本 設 定 と 管 理 するゾーンを 記 述 設 定 例 options { directory "/var/named"; }; zone "example.net" { type master; 管 理 するゾーン file "example.net.zone"; }; zone 56.168.192.in-addr.arpa" { type master; file 56.168.192.in-addr.arpa"; }; ゾーンファイルのディレクトリ 正 引 きゾーンファイルの 名 前 逆 引 きゾーンファイルの 名 前 LPI-Japan 2015. All rights reserved. 31
ゾーンファイル( 正 引 き) 設 定 例 :/var/named/example.net.zone $TTL 86400 @ IN SOA centos.example.net. root.example.net. ( ゾーン 名 time-to-refresh time-to-retry time-to-expire DNSサーバのホスト 2014022301 86400 21600 864000 86400 ) 管 理 者 のメールアドレス シリアル 値 スレーブサーバに 対 する 設 定 minimum-ttl IN NS centos.example.net. IN MX 10 mail.example.net. DNSサーバ メールサーバ プリファレンス 値 : 優 先 度 centos IN A 192.168.56.128 www IN CNAME centos.example.net. ホストのIPアドレスを 指 定 別 名 LPI-Japan 2015. All rights reserved. 32
ゾーンファイル( 逆 引 き) 設 定 例 :/var/named/56.168.192.in-addr.arpa $TTL 86400 @ IN SOA centos.example.net. root.example.net. ( 2014022301 86400 21600 864000 86400 ) IN NS centos.example.net. 128 IN PTR centos.example.net. 逆 引 き 設 定 128.56.168.192.in-addr.arpa となる LPI-Japan 2015. All rights reserved. 33
主 題 208:Webサービス 208.1 Apacheの 基 本 的 な 設 定 4 208.2 HTTPS 向 けのApacheの 設 定 3 208.3 キャッシュプロキシとしてのSquidの 実 装 2 208.4 WebサーバおよびリバースプロキシとしてのNginxの 実 装 2 LPI-Japan 2015. All rights reserved. 34
Apache httpd Webサーバー 用 アプリケーション 設 定 ファイル /etc/httpd/conf/httpd.conf ディレクティブ 名 値 という 形 で 設 定 設 定 例 :/etc/httpd/conf/httpd.conf ServerRoot /etc/httpd 設 定 ファイルの 起 点 となるディレクトリ Listen 80 待 ち 受 けポート 番 号 ServerAdmin webmaster@example.net 管 理 者 のメールアドレス DocumentRoot /var/www/html htmlファイルを 置 く 場 所 LPI-Japan 2015. All rights reserved. 35
ディレクトリごとの 設 定 情 報.htaccessというファイルに 設 定 を 記 述 し ディレクトリごと 設 定 を 上 書 き することができる 設 定 可 能 な 範 囲 はAllowOverrideで 許 可 されている 範 囲 /etc/httpd/conf/httpd.confに 記 述 <Directory /home/*/public_html/> /home/centuser(ホームディレクトリ) AllowOverride AuthConfig Indexes </Directory> AccessFileName.htaccess public_html.htaccess AuthConfig: 認 証 を 有 効 にする Indexes:DirectoryIndexを 有 効 基 本 認 証 DirectoryIndex index.html index.htm AuthType Basic AuthName Enter Password AuthUserFile /etc/httpd/conf/.htpasswd Require valid-user LPI-Japan 2015. All rights reserved. 36
HTTPSの 設 定 opensslを 利 用 する 事 前 の 設 定 1 公 開 鍵 と 暗 号 鍵 を 作 成 2 証 明 書 発 行 要 求 書 を 認 証 局 (CA)へ 送 る 3 認 証 局 からサーバ 証 明 書 を 受 け 取 る 4 サーバ 証 明 書 をWebサーバに 設 定 する 自 分 自 身 でCAを 作 成 して 自 分 自 身 で 証 明 書 を 発 行 することもでき る( 自 己 署 名 証 明 書 ) SSLのモジュールをインストールしておく #yum install mod_ssl LPI-Japan 2015. All rights reserved. 37
SSLの 設 定 /etc/httpd/conf.d/ssl.confに 設 定 LoadModules ssl_module modules/mod_ssl.so Listen 443 <VirtualHost _default_:443> ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on SSLProtocol all -SSLv2 SSLでアクセスするとき のポート 番 号 SSLCertificateFile /etc/pki/tls/certs/localhost.crt SSLCertificateKeyFile /etc/pki/tls/private/localhost.key </VirtualHost> サーバ 証 明 書 サーバ 秘 密 鍵 LPI-Japan 2015. All rights reserved. 38
squid Webプロキシ キャッシュサーバー 設 定 ファイル:/etc/squid/squid.conf http_accessディレクティブで 許 可 されていないと 接 続 できない aclディレクティブで 接 続 元 アドレスなどを 指 定 設 定 例 acl mynetwork src 192.168.56.0/255.255.255.0 http_access allow mynetwork aclで 自 身 のネットワークを 設 定 自 身 のネットワークから 接 続 を 許 可 squidの 起 動 /etc/init.d/squid start LPI-Japan 2015. All rights reserved. 39
Nginx Webサーバおよびリバースプロキシサーバ 等 の 機 能 がある Apacheよりパフォーマンスが 高 い Apacheほど 高 機 能 ではない Apacheは 高 機 能 だが 使 用 しない 機 能 が 多 いとも 言 える リバースプロキシとは サイト HTTPリクエスト HTTPレスポンス 要 求 転 送 クライアント リバース プロキシサーバ Webサーバ (バックエンド) LPI-Japan 2015. All rights reserved. 40
Nginxの 設 定 例 Webサーバとして 動 作 させる 場 合 設 定 ファイル:/etc/nginx/conf.d/default.conf 設 定 例 server { listen 80; 待 ち 受 けポート 番 号 server_name centos.example.net; http://centos.example.netでアクセス } location / { root /usr/share/nginx/html; index index.html index.htm; } DirectoryIndexと 同 じ http://cnetos.example.net/に 適 用 DocumentRootと 同 じ LPI-Japan 2015. All rights reserved. 41
Nginxの 設 定 例 リバースプロキシとして 動 作 させる 場 合 設 定 ファイル:/etc/nginx/conf.d/default.conf 設 定 例 server{ server_name.example.net; root /home/eample.com/www; ( 省 略 ) location / { proxy_pass http://192.168.56.129:8080; } } バックエンドのWebサーバ LPI-Japan 2015. All rights reserved. 42
主 題 209:ファイル 共 有 209.1 Sambaサーバの 設 定 5 209.2 NFSサーバの 設 定 3 LPI-Japan 2015. All rights reserved. 43
Samba Windowsネットワークにおけるファイルサーバー 機 能 を 提 供 サービス smbd nmbd winbindd 設 定 ファイル /etc/samba/smb.conf smb.confの 構 文 にミスがないか 確 認 testparm Sambaユーザの 追 加 #pdbedit a centuser smbclientで 接 続 を 確 認 する #smbclient U centuser //samba01/public //netbios 名 / 公 開 ディレクトリ LPI-Japan 2015. All rights reserved. 44
Sambaの 設 定 例 設 定 例 :/etc/smb.conf workgroup = workgroup netbios name = samba01 ワークグループ 名 netbios 名 hosts allow = 127. 192.168.56. 192.168.0. アクセス 制 御 [public] comment = Public Stuff browseable = Yes path = /home/samba/public public = yes writable = yes 共 有 するディレクトリの 設 定 LPI-Japan 2015. All rights reserved. 45
NFS UNIX / Linuxネットワークにおけるファイルサーバー 機 能 を 提 供 インストール #yum install nfs-utils nfs-utils-lib rpcbind サービス portmap nfsd mountd サーバ 側 起 動 1 /etc/init.d/rpcbind start 2 /etc/init.d/nfslock start 3 /etc/init.d/nfs start 設 定 ファイル /etc/exports クライアント 側 起 動 /etc/init.d/rpcbind start portmap 起 動 ファイルのロックをクライアントに 許 可 する nfsdの 起 動 クライアントはportmapのみ 起 動 NFSv2 NFSv3のみ LPI-Japan 2015. All rights reserved. 46
NFSの 設 定 と 接 続 設 定 例 :/etc/exports /home/public 192.168.56.0/255.255.255.0(rw) 公 開 するディレクトリ 公 開 するクライアントのネットワーク クライアントからの 接 続 #mount t nfs centos:/home/public /mnt/nfs/public centos /home/public /mnt nfs NFSクライアント NFSサーバ マウントする share LPI-Japan 2015. All rights reserved. 47
主 題 210:ネットワーククライアントの 管 理 210.1 DHCPの 設 定 2 210.2 PAM 認 証 3 210.3 LDAPクライアントの 利 用 方 法 2 210.4 OpenLDAPサーバの 設 定 4 LPI-Japan 2015. All rights reserved. 48
DHCPサーバ1 設 定 ファイル:/etc/dhcpd.conf ファイルは/usr/share/doc/dhcp*/dhcp.conf.sampleをコピーして 使 用 ddns-update-style interim; ignore client-updates; subnet 192.168.0.0 netmask 255.255.255.0 { option routers 192.168.0.1; option subnet-mask 255.255.255.0; option domain-name example.net"; option domain-name-servers 192.168.0.1; デフォルトゲートウェイ サブネットマスク ドメイン 名 DNSサーバ } range 192.168.0.128 192.168.0.254; default-lease-time 21600; max-lease-time 43200; デフォルトリース 期 間 最 大 リース 期 間 割 当 て 可 能 な IPアドレスの 範 囲 LPI-Japan 2015. All rights reserved. 49
DHCPサーバ2 固 定 のIPアドレスを 割 当 てる subnet 192.168.0.0 netmask 255.255.255.0 { host debian7 { hardware ethernet 00:0C:29:96:EE:5D; fixed-address 192.168.0.129; } } MACアドレス 固 定 のIPアドレス DHCPサーバの 起 動 /etc/init.d/dhcpd start LPI-Japan 2015. All rights reserved. 50
PAM PAM(Pluggable Authentication Modules) 各 アプリケーションに 認 証 機 能 を 提 供 /etc/pam.d/ディレクトリに 各 種 アプリケーション 用 の 設 定 ファイルが 用 意 されている su FTP SSH POP3 IMAP PAMライブラリー モジュール モジュール モジュール モジュール モジュール ユーザ 情 報 LPI-Japan 2015. All rights reserved. 51
PAMの 設 定 設 定 例 :/etc/pam.d/su auth sufficient pam_rootok.so 1 auth required pam_wheel.so use_uid 2 auth include system-auth 3 モジュールタイプ コントロール モジュールのパス 引 数 コントロール sufficient:モジュールの 実 行 に 成 功 すると 上 位 でrequiredがすべて 成 功 であれば 認 証 成 功 required:モジュールの 実 行 に 失 敗 したら 同 じタイプのモジュールの 実 行 がすべて 完 了 した 時 点 で 認 証 を 拒 否 1 rootユーザは 認 証 なしでsuできる 2 wheelグループに 所 属 するユーザはsuでrootになるとき 認 証 する その 他 のユーザはrootになるのを 認 証 が 拒 否 3 wheelのユーザだけsystem-authが 認 証 する 1から3まで 順 に 実 行 していく LPI-Japan 2015. All rights reserved. 52
LDAP 標 準 仕 様 のディレクトリサービス 識 別 名 (DN:Distinguished Name) 例 dn: cn=suzuki Ichiro, ou=people, dc=example, dc=net 相 対 識 別 名 (RDN:Relative Distinguished Name) 例 cn=suzuki Ichiro 設 定 ファイル : /etc/openldap/slapd.conf dc=net dc:ドメイン 要 素 dc=example ou=people ou=develop cn: 組 織 単 位 名 cn=suzuki Ichiro cn=yamada Taro cn: 一 般 名 LPI-Japan 2015. All rights reserved. 53
LDIF 形 式 とエントリの 追 加 LDIF(LDAP Data Interchange Format) 形 式 : sample.ldif dn: cn=takahashi Jiro, ou=people, dc=example, dc=net objectclass: person cn: Takahashi Jiro sn: Takahashi telephonenumber: +81 3 1234 5678 sample.ldif エントリの 追 加 #ldapadd x D cn=manager, dc=example, dc=net W f sample.ldif LPI-Japan 2015. All rights reserved. 54
LDAPのコマンド クライアントコマンド ldapadd エントリの 追 加 ldapsearch ldapmodify ldapdelete ldappasswd エントリを 検 索 する エントリを 変 更 する エントリを 削 除 する エントリのパスワードを 変 更 する 管 理 コマンド slapadd エントリの 追 加 slapcat slappasswd slapindex slaptest データをLDIF 形 式 で 出 力 パスワード 値 を 生 成 する インデックスを 再 構 築 する slapd.confを 構 文 テスト LPI-Japan 2015. All rights reserved. 55
主 題 211: 電 子 メールサービス 211.1 電 子 メールサーバの 使 用 4 211.2 ローカルの 電 子 メール 配 信 を 管 理 する 2 211.3 リモートの 電 子 メール 配 信 を 管 理 する 2 Sendmailの 比 率 が 減 LPI-Japan 2015. All rights reserved. 56
メールシステム MTA (Mail Transfer Agent) : メールの 転 送 Sendmail, Postfix, qmail MDA (Mail Delivery Agent) : メールの 配 信 Procmail MUA (Mail User Agent) : メールクライアント mailコマンド MRA( Mail Retrieval Agent ) : メール 受 信 サービス dovecot, courrier IMAP MTA MTA MDA ユーザの メールボックスへ MRA MUA MUA LPI-Japan 2015. All rights reserved. 57
postfix sendmailとの 互 換 性 と 意 識 しながら sendmail, qmailの 長 所 を 採 用 して 作 られたMTA 主 な 設 定 ファイル /etc/postfix/main.cf /etc/postfix/master.cf 関 連 ディレクトリ メールスプール - /var/spool/mail/ (メールボックス 形 式 1ユーザーにつき1ファイル) - ~/Maildir/ (メールディレクトリ 形 式 1 通 につき1ファイル) メールキュー - /var/spool/postfix/ (postfix) LPI-Japan 2015. All rights reserved. 58
postfixの 設 定 設 定 例 :/etc/postifx/main.cf myhostname = centos.example.net ホスト 名 mydomain = example.net ドメイン 名 myorigin = $mydomain @ 以 降 に 補 完 する 名 前 inet_interfaces = all 接 続 を 待 ち 受 けるインターフェース mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain 宛 先 の@ 以 降 につく 名 前 を 許 可 mynetwork = 192.168.56.0/24, 127.0.0.0/8 メールを 中 継 するクライアント home_mailbox = Maildir/ メールディレクトリ 形 式 の 配 送 先 mailbox_command = /usr/bin/procmail MDAの 設 定 LPI-Japan 2015. All rights reserved. 59
Procmail 定 義 したレシピに 従 い メール 配 送 を 行 うMDA レシピファイル ~/.procmailrc /etc/procmailrc ~/.procmailrcの 記 述 例 PATH=/bin:/usr/bin:/usr/sbin MAILDIR=$HOME/Maildir/ LOGFILE=$HOME/.procmaillog DEFAULT=$MAILDIR ユーザごとに 設 定 システム 全 体 に 設 定 レシピの 記 述 ルール :0 フラグ * 条 件 アクション :0 * ^Subject:.*SPAM.* /dev/null レシピ (フィルタリングのルール) Subjectに SPAM という 記 述 があると メールを 破 棄 する LPI-Japan 2015. All rights reserved. 60
主 題 212:システムのセキュリティ 212.1 ルータを 構 成 する 3 212.2 FTPサーバの 保 護 2 212.3 セキュアシェル (SSH) 4 212.4 セキュリティ 業 務 3 212.5 OpenVPN 2 LPI-Japan 2015. All rights reserved. 61
FTPサーバの 保 護 vsftpdの 設 定 /etc/vsftpd/vsftpd.conf 設 定 例 local_enable=yes write_enable=yes ローカルユーザのログインを 許 可 書 き 込 みを 許 可 anonymous_enable=yes anon_upload_enable=yes anon_mkdir_write_enable=yes 起 動 /etc/init.d/vsftpd start 匿 名 FTPを 許 可 匿 名 FTPのアップロードを 許 可 匿 名 FTPによるディレクトリ 作 成 を 許 可 LPI-Japan 2015. All rights reserved. 62
OpenVPNの 種 類 VPN(Virtual Private Network)とは 拠 点 間 の 仮 想 的 なネットワーク 接 続 を 可 能 にする OpenVPNの 種 類 トンネルモード(L3)VPN - ルーティング 設 定 が 必 要 - プロトコルはTCP/IPのみ - フィルタリングによるアクセス 制 御 が 可 能 ブリッジモード(L2)VPN - ルーティング 設 定 が 不 要 - TCP/IP 以 外 のプロトコルを 使 用 可 能 拠 点 A 拠 点 B OpenVPN 暗 号 化 された 通 信 経 路 - 通 常 の 内 部 ネットワークと 同 様 に NetBIOSによるファイル 転 送 が 可 能 LPI-Japan 2015. All rights reserved. 63
OpenVPN 通 信 するホスト 間 を 暗 号 化 して セキュアな 通 信 を 実 現 デフォルトのポート 番 号 :1194 サーバ 用 設 定 ファイル /etc/openvpn/server.conf 設 定 例 dev tap0(ブリッジモード) または dev tun(トンネルモード) push route 192.168.1.0 255.255.255.0 push dhcp-options DNS 192.168.56.128 事 前 にSSLの 設 定 をする 必 要 があります クライアントに 経 路 情 報 を 設 定 クライアントにDNSサーバを 設 定 クライアント 用 設 定 ファイル /etc/openvpn/client.conf 設 定 例 remote 192.168.56.128 1194 サーバのIPアドレス ポート 番 号 を 指 定 LPI-Japan 2015. All rights reserved. 64
参 考 資 料 Linux 教 科 書 LPICレベル2 version4 対 応 リナックスアカデミー 中 島 能 和 ( 著 ), 濱 野 賢 一 朗 ( 監 修 ) 2014/5/10 発 行 出 版 社 : 翔 泳 社 597ページ 定 価 4,320 円 ISBN-10: 4798137510 / ISBN-13: 978-4798137513 徹 底 攻 略 LPI 問 題 集 Level2/Version 4 対 応 中 島 能 和 ( 著 ), ソキウス ジャパン ( 編 集 ) 2014/4/4 発 行 出 版 社 :インプレスジャパン 360ページ 定 価 3,456 円 ISBN-10: 4844335758 / ISBN-13: 978-4844335757 Linux 教 科 書 LPIC レベル3 中 島 能 和 ( 著 ), 高 橋 基 信 ( 著 ), 濱 野 賢 一 朗 ( 著 ) 単 行 本 (ソフトカバー): 480ページ 出 版 社 : 翔 泳 社 (2010/2/19) 言 語 : 日 本 語 ISBN-10: 4798116556 ISBN-13: 978-4798116556 徹 底 攻 略 LPI 問 題 集 Level3 中 島 能 和 ( 著 ), ソキウス ジャパン ( 編 集 ) 単 行 本 : 256ページ 出 版 社 : インプレスジャパン (2008/4/24) 定 価 3,360 円 ISBN-10: 4844325647 ISBN-13: 978-4844325642 Linuxサーバー 構 築 標 準 教 科 書 (Ver2.0.1) 詳 しくは 下 記 URLで http://www.lpi.or.jp/linuxservertext/ 発 行 :エルピーアイジャパン LPI-Japan 2015. All rights reserved. 65
質 疑 応 答 についてはお 気 軽 にお 声 掛 けください ご 清 聴 ありがとうございました LPI-Japan 2015. All rights reserved. 66
スキルブレインは 法 人 向 けに 各 種 研 修 をご 提 供 しています LPI-Japan 2015. All rights reserved. 67
経 験 スキルともに 豊 富 な 講 師 陣 が 技 術 や 資 格 取 得 をサポート 三 浦 一 志 サーバ 管 理 者 として8 年 以 上 の 実 務 経 験 を 積 み 講 師 としても10 年 以 上 のキャリアを 持 つ 法 人 向 けにLPIC 研 修 Linuxサーバ 構 築 セキュリティ 研 修 やITIL 研 修 を 主 として 担 当 ITIL 認 定 講 師 情 報 セキュリティスペシャリスト 担 当 講 習 Linux/UNUX LPIC 試 験 対 策 セキュリティ Java PHP OSS-DB HTML5 河 原 木 忠 司 Linux Windowsを 使 ったインフラ 環 境 の 構 築 運 用 セキュアなインターネットサーバーの 構 築 など 企 業 官 公 庁 向 けの 技 術 研 修 を 担 当 MCT(マイクロソフト 認 定 トレーナー) VoIP 認 定 講 師 担 当 講 習 Linux Windows VoIP セキュリティ 仮 想 化 LPIC 試 験 対 策 OSS-DB 大 崎 茂 OSS 研 修 専 任 講 師 として 大 手 電 機 メーカー 通 信 キャリア 大 手 プロバイダー 等 IT 企 業 の LPIC 対 策 研 修 ならびにOSSを 中 心 とした 技 術 研 修 などを 専 門 に 担 当 担 当 講 習 Linux C 言 語 PHP Jaxa Ajax LAMP 関 連 LPIC 試 験 対 策 木 村 祐 ITILV3 Expert ITILV2 Manager ITILV2 OSA RCV SOA PPO EXIN 認 定 インストラクター ISO20000 Consultant/Manager 担 当 講 習 ITILファウンデーション ITILエキスパート ITILプラクティショナー LPI-Japan 2015. All rights reserved. 68