Microsoft PowerPoint - 20111123-LPIC2.pptx

LPICレベル2 技 術 解 説 セミナー リナックスアカデミー WORLD BIZNet 株 式 会 社 2011 年 11 月 23 日 矢 越 昭 仁

LPIC 試 験 のレベル 分 け LPIC 試 験 各 レベルの 概 要 と その 対 象 者 を 整 理 すると 下 記 のよう に3 段 階 +αとなる ITSS *1 レ ベ ル 3 レ ベ ル 2 レベル Linuxシステム ネットワーク の 設 計 と 構 築 ができる インターネットおよびイントラ ネット 上 で 提 供 する 各 種 サービスをLinuxサーバで 構 築 できる 301:Core Linuxプロフェッショナル 大 規 模 システム 管 理 分 野 別 専 門 家 Linux 上 級 エンジニア サーバのシステム 管 理 (インターネットサーバ) 上 級 システム 管 理 者 302:Mixed Envrionment 異 機 種 混 在 環 境 の 管 理 (ヘテロジニアス) 303:Security セキュリティ 304: Virtualization i & High Availability クラウドコンピューティング レ ベ ル 1 LPIC 試 験 の 第 一 関 門 基 本 操 作 と 基 本 的 なシステム 管 理 (スタンドアロンシステム) Linux ユーザ 初 級 管 理 者 *1) IT Skill Standard : ITスキル 標 準 経 済 産 業 省 が 示 したIT 関 連 スキルの 習 熟 度 http://www.ipa.go.jp/ 2

LPIC Leve2 試 験 範 囲 LPIC Level 2 Version 3 Release 2 の 主 題 一 覧 (2009 年 4 月 ) 201 試 験 :Linux 応 用 管 理 202 試 験 :Linuxネットワーク 管 理 201 Linuxカーネル(2.0) 208 Webサービス(2.0) 202 システムの 起 動 (4.0) 209 ファイル 共 有 (4.0) 203 ファイルシステムとデバイス(2.5) 210 ネットワーククライアントの 管 理 (2.3) 204 高 度 なストレージ 管 理 (2.0) 211 電 子 メールサービス(2.3) 205 ネットワーク 構 成 (3.3) 3) 212 システムのセキュリティ(2.6) 206 システムの 保 守 (3.5) 213 トラブルシューティング(4.8) 207 ドメインネームサーバ(2.0) 1.Linuxシステムの 企 画 導 入 維 持 トラブルシューティングができる 2.カーネルからネットワークに 関 する 事 まで 構 築 管 理 修 正 ができる * 各 主 題 の 末 尾 にある( 数 字 )は そこに 含 まれる 主 題 の 重 要 度 平 均 3

LPIC Leve2 試 験 重 要 度 分 析 主 題 を 重 要 度 により 並 びかえると 以 下 の 傾 向 が 読 み 取 れる 試 験 課 題 ID 課 題 重 201 205.3 ネットワークの 問 題 を 解 決 する 5 202 213.2 一 般 的 な 問 題 を 解 決 する 5 202 213.3 システムリソースの 問 題 を 解 決 する 5 202 213.4 環 境 設 定 の 問 題 を 解 決 する 5 201 202.1 システムの 起 動 とブートプロセスのカスタマイズ 4 201 202.2 システムを 回 復 する 4 201 203.1 Linuxファイルシステムを 操 作 する 4 201 205.2 高 度 なネットワーク 構 成 とトラブルシューティング 4 201 206.1 ソースからプログラムをmakeしてインストールする 4 202 209.1 Sambaサーバの 設 定 4 202 209.2 NFSサーバの 設 定 4 202 212.3 セキュアシェル(SSH) 4 202 213.1 ブート 段 階 の 識 別 とブートローダの トラブルシューティング 4 201 実 行 時 におけるカーネルおよび 201.5 カーネルモジュールの 管 理 / 照 会 3 201 203.2 Linuxファイルシステムの 保 守 3 201 204.3 論 理 ボリュームマネージャ 3 201 205.1 基 本 的 なネットワーク 構 成 3 201 206.2 バックアップ 操 作 3 202 208.1 Webサーバの 実 装 3 202 210.2 PAM 認 証 3 202 211.1 電 子 メールサーバの 使 用 3 トラブル シューティング 201 OS 基 本 機 能 202 主 要 サーバ 試 験 課 題 ID 課 題 重 202 212.1 ルータを 構 成 する 3 202 212.5 セキュリティ 業 務 3 201 201.1 カーネルの 構 成 要 素 2 201 201.2 カーネルのコンパイル 2 201 201.4 カスタムカーネルおよびカーネルモジュールの カスタマイズ 構 築 インストール 2 201 203.3 ファイルシステムを 作 成 してオプションを 構 成 する 2 201 204.1 RAIDを 構 成 する 2 201 207.1 DNSサーバの 基 本 的 な 設 定 2 201 207.2 DNSゾーンの 作 成 と 保 守 2 201 207.3 DNSサーバを 保 護 する 2 202 208.2 Webサーバの 保 守 2 202 210.1 DHCPの 設 定 2 202 210.3 LDAPクライアントの 利 用 方 法 2 202 211.2 ローカルの 電 子 メール 配 信 を 管 理 する 2 202 211.3 リモートの 電 子 メール 配 信 を 管 理 する 2 202 212.2 FTPサーバの 保 護 2 201 201.3 カーネルへのパッチ 適 用 1 201 203.4 udevでのデバイス 管 理 1 201 204.2 記 憶 装 置 へのアクセス 方 法 を 調 整 する 1 201 205.4 システム 関 連 の 問 題 をユーザに 通 知 する 1 202 208.3 プロキシサーバの 実 装 1 202 212.4 TCPラッパー 1 実 践 的 な システム 管 理 4

201 試 験 のポイント 201 試 験 の 主 題 201 Linuxカーネル 202 システムの 起 動 203 ファイルシステムとデバイス 204 高 度 なストレージ 管 理 205 ネットワーク 構 成 206 システムの 保 守 207 ドメインネームサーバ 以 降 特 に 指 定 のない 限 り 実 行 例 は CentOS 5.6 を 採 用

201 Linuxカーネル 201 主 題 一 覧 201.1 カーネルの 構 成 要 素 (2,A) 201.22 カーネルのコンパイル(2,A) 201.3 カーネルへのパッチ 適 用 (1,D) 201.4 カスタムカーネルおよびカーネルモジュールのカスタマイズ 構 築 インストール(2,A) 201.5 実 行 時 におけるカーネルおよびカーネルモジュールの 管 理 / 照 会 (3,A) 概 要 カーネルおよびモジュールの 仕 組 みと カーネル 再 構 築 方 法 の 手 順 * 各 主 題 の 末 尾 にある( 数 字 )は そこに 含 まれる 主 題 の 重 要 度 英 字 は 実 務 での 難 易 度 B: 基 本 (Basis) A: 応 用 (Application) D: 詳 細 (Details) 6

201(1) カーネルモジュール カーネルの 追 加 機 能 をカーネル モジュールと 呼 ぶ OS 起 動 後 に 追 加 削 除 可 能 な 物 と 予 め 組 込 んだ 物 がある 前 者 はモジュール 操 作 コマンド 後 者 はカーネル 構 築 で 行 う Kernel rmmod モジュール 操 作 lsmod モジュール 一 覧 insmod modprobe depmod モジュール 間 依 存 関 係 /lib/modules vga16fb.ko vfat.ko jdb.ko etc modinfo モジュール 情 報 カーネル 再 構 築 Kernel 仮 想 化 Kernel メモリ 拡 張 Kernel カーネルのバージョンは ジョンは uname a で 確 認 ( 構 築 時 に 指 定 可 ) 2.6.18-238 2.6.18-238-xen 2.6.18-238-PAE バージョンの 内 訳 : 左 より メジャー(2) パッチレベルまたはマイナー(6) サブレベルまたはリリース(18) 最 後 がエキストラ 7

201(2) カーネルの 再 構 築 カーネル 構 築 手 順 カーネル 構 築 (OS 本 体 のコンパイル)は 各 ディストリビューションによりディレクトリや 関 連 コマンドの オプションが 若 干 異 なるが 手 順 はほぼ 同 じ 試 験 でも 手 順 に 関 する 出 題 が 多 い カーネルバージョン ン24 2.4 系 と 26 2.6 系 では 下 図 のように 大 きく 異 なる( 試 験 範 囲 は2.6) /usr/src/linux にカーネルのソースコードが 配 置 されている 事 を 前 提 とする 2.4 系 2.6 系 1. 環 境 初 期 化 make mrproper make mrproper 2. カーネル 設 定 make config make config 3. コンパイル make dep make make clean make bzimage make modules 4. インストール make modules_install make modules_install 2.4では 手 作 業 でカーネル 本 体 やSystem.mapを/bootへコピー cp bzimage vmlinuz installkernel cp System.map 5. RAMディスク 作 成 mkinitrd mkinitrd 6. ブートローダ 調 整 vi grub.conf vi grub.conf カーネル 構 築 環 境 をインストール 直 後 状 態 にリセット 前 回 の 設 定 内 容 なども 消 去 この 後 ブートローダを 調 整 し 作 成 したカーネルを 起 動 する パラメータ 設 定 make config は 項 目 数 が 非 常 に 多 く(CentOS 5.6, 2.6.18で 約 2,200) 普 通 は make menuconfig, xconfig などの 階 層 メニュー 形 式 を 選 択 する ディストリビュータにより 前 提 ソフトウエア 制 限 事 項 が 異 なるため 実 際 の 構 築 にあたっては 必 ずリリースノートを 参 照 すること 8

202 システムの 起 動 202 主 題 一 覧 202.1 システムの 起 動 とブートプロセスのカスタマイズ(4,B) 202.22 システムを 回 復 する (4,A) 概 要 電 源 投 入 ~ 起 動 ~シャットダウンまでの 流 れ サーバ 起 動 手 順 ブートローダ ダ(GRUB)の 仕 組 み ラン レベル inittabファイルに 関 しては 必 須 9

202(1)システムの 起 動 順 序 システムへの 電 源 投 入 から サービスが 開 始 されまるまでの 流 れ OSを 起 動 するブートローダプログラムは2 段 階 必 要 (Stage1,2)である カーネルはHWを 初 期 化 し initプロセスを 生 成 する initが 全 プロセスの 親 となり サービスを 次 々に 起 動 する Linux の 起 動 順 序 BIOS Step-1 HWの 診 断 *1 と 設 定 起 動 デバイス 選 択 MBR Step-2 MBR *2 読 込 (Stage1) GRUB ブートローダ カーネル Step-3 ブートローダ 読 込 (Stage2) カーネル 読 込 カーネル Step-4 Step-5 サービス 開 始 HW 検 出 init 起 動 initが 各 種 メモリ 初 期 化 (pid=1) サーバを 起 動 初 期 RAMディスク*3 (deamon) (initrd)マウント init /etc/inittab *1 POST : Power On Self Test *2 MBR: Master Boot Record OS を 探 し それに 制 御 を 渡 すためのプログラム *3 初 期 RAMディスク カーネル 起 動 時 に 用 いられる 暫 定 的 なルートファイルシステム Ubuntu は /etc/event.d/rc default 10

202(2)/etc/inittab initの 動 作 を 定 義 したもの システム 起 動 時 のランレベル( 後 述 )の 指 定 システム 起 動 時 に init が 生 成 するプロセスを 定 義 形 式 ) ID:ランレベル:アクション:コマンド /etc/inittab ( 抜 粋 ) # システム 起 動 時 のランレベル id:3:initdefault: # 起 動 時 に 実 行 si::sysinit:/etc/rc.d/rc.sysinit # ランレベル 毎 の 処 理 指 定 l0:0:wait:/etc/rc.d/rc 0 :( 中 略 ) l6:6:wait:/etc/rc.d/rc 6 アクション initdefault sysinit 意 味 システム 起 動 時 のランレベル システム 起 動 時 の 初 期 化 プロセス once ランレベル 移 行 時 1 回 だけ 実 行 #CTRL-ALT-DELETE で 再 起 動 完 了 を 待 たずに 次 を 実 行 ca::ctrlaltdel:/sbin/shutdown -t3 -r now # 電 源 異 常 時 wait ランレベル 移 行 時 1 回 だけ 実 行 pf::powerfail:/sbin/shutdown -f -h +2 完 了 してから 次 の 処 理 を 実 行 Power Failure; System Shutting Down # コンソールの 起 動 respawn プロセスが 終 了 したら 再 び 実 行 1:2345:respawn:/sbin/mingetty /dev/tty1 powerfail 電 源 異 常 (UPSバッテリ 低 下 ) boot bootwait 起 動 時 プロセス 完 了 を 待 たずに 次 の 処 理 を 実 行 起 動 時 完 了 を 待 って 次 を 実 行 crtlaltdel [Ctrl] + [Alt ]+ [ Delete ] キーボード 割 り 込 み 11

202(3)ラン レベル システム 起 動 停 止 の 挙 動 を 定 義 したもの Linuxの 動 作 :シングルユーザ(1)/マルチユーザモード 起 動 または 停 止 するサービスの 割 り 当 て chkconfig (RedHat), update rc.d(debian), insserv(suse) 起 動 停 止 は /etc/init.d 下 にある 制 御 用 シェルスクリプトによる 各 ランレベル(/etc/rcN.d)にひもづくディレクトリへシンボリックリンク (S: 起 動 or K: 停 止 )( 番 号 )(スクリプト 名 ) 例 ) /etc/rc3.d/s95atd [root@server1 ~]# /bin/ls l /etc/rc?.d/*atd lrwxrwxrwx 1 root root 13 May 14 12:36 /etc/rc0.d/k05atd >../init.d/atd lrwxrwxrwx 1 root root 13 May 14 12:36 /etc/rc1.d/k05atd >../init.d/atd lrwxrwxrwx 1 root root 13 May14 12:36 /etc/rc2.d/k05atd > >../init.d/atd lrwxrwxrwx 1 root root 13 May 14 12:36 /etc/rc3.d/s95atd >../init.d/atd : [root@server1 ~]# chkconfig list atd 0:off 1:off 2:off 3:on 4:on 5:on 6:off auditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off autofs 0:off 1:off 2:off 3:on 4:on 5:on 6:off : [root@server1 ~]# chkconfig level 2345 auditd off [root@server1 ~]# chkconfig list auditd auditd 0:off 1:off 2:off 3:off 4:off 5:off 6:off : ランレベル Cent OS の 例 0 停 止 1s 1,s シングルユーザモード 2 NFSなしマルチユーザ 3 CUIマルチユーザ 4 未 使 用 5 GUIマルチユーザ 6 再 起 動 *) Debianの 場 合 ランレベル2, 4とも GUIマルチユーザ 12

202(4)ブートローダ ブートローダ GRUB について デファクトスタンダードでWindows など 複 数 のOSに 対 応 している (64bit 未 対 応 だったためLILOも 多 い) /boot/grub/grub.conf または/etc/grub.conf にて 設 定 MBRへの 登 録 は grub install コマンドによる 例 ) # grub install /dev/hda /boot/grub.grub.conf title CentOS (2.6.18 238.9.1.el5) root (hd0,0) kernel /vmlinuz 2.6.18 238.9.1.el5 ro root=/dev/hda1 initrd /initrd 2.6.18 238.9.1.el5.img hda ha ディスクの 最 初 のパーティション /vmlinuz - カーネル 本 体 /initrd - 初 期 RAMディスク 対 話 モードで 起 動 パラメータの 修 正 や パスワード 確 認 等 可 能 パラメータ title 意 味 起 動 メニューのタイトル root ブートデバイス 名 ( 物 理 名 ) Kernel カーネル 名 称 と 起 動 オプション single root Initrd シングユーザモード ブートデバイス 名 ( 論 理 名 ラベル 名 ) 初 期 RAMディスク 名 称 13

203 ファイルシステムとデバイス 203 主 題 一 覧 203.1 Linuxファイルシステムを 操 作 する(4,A) 203.22 Linuxファイルシステムの 保 守 (3,A) 203.3 ファイルシステムを 作 成 してオプションを 構 成 する(2,A) 203.4 udevでのデバイス 管 理 (1,A) 概 要 ファイルシステム 全 体 の 管 理 ( 作 成 整 合 性 チェック チューニング 等 ) 複 数 のファイルシステムが 出 題 (ext2/3, RaiserFS, XFS) 今 後 は ext4 も 重 要 視 される G.Matthew Rice 談 2011/7 マウント アンマウントに 関 するコマンドとオプション SWAPファイルの 操 作 (mkswap, swapon, swapoff) ) 14

203(1)ファイルシステム 管 理 ファイルシステムの 構 造 に 関 するキーワード ジャーナリング:ファイル 操 作 状 況 ( 追 加 削 除 変 更 など)を 記 録 し 整 合 性 チェック 対 象 を 必 要 最 小 限 に 留 める ext3 は ext2のジャーナル 追 加 版 スーパーブロック:ファイルシステム 全 体 の 管 理 情 報 格 納 場 所 シリンダグル ープごとに 同 じ 内 容 を 保 持 i node:ファイルの 管 理 情 報 ( 操 作 許 可 所 有 者 大 きさ 更 新 日 時 等 ) データブロック:データその 物 の 格 納 先 格 納 単 位 ファイルシステムの 作 成 ( 初 期 フォーマット) 不 整 合 チェック その 他 操 作 に 関 するコマンド ファイルシステム Ext2/3 RaiserFS XFS Dir01 FileA FileB i node Data 初 期 化 mkfe2fs ( j で ext3) mkreiserfs mkfs.xfs #01 rwxrwxrwx 01 02 03 04 05 06 07 08 09 10 #08 rw-rw-rw- 11 12 13 14 15 16 17 18 19 20 #25 rw------- 21 22 23 24 25 26 27 28 29 30 : 31 32 33 34 35 36 37 38 チェック e2fsck reiserfsck xfs_check 管 理 tune2fs reiserfstune xfs_admin その 他 debugfs debugreiserfs xfs_info ( 情 報 表 示 ) 15

203(2)マウント 起 動 時 にマウントするファイルシステムは /etc/fstabに 記 載 ファイルシステム 種 別 は( t)オプション 動 作 オプションは( o) 複 数 指 定 する 場 合 はカンマ()で はカンマ(,)で 区 切 る mount [ t FStype ] [ o opt1,opt2 ] デバイス マウントポイント 主 なファイルシステム 主 なマウントオプション FStype 解 説 Opt 解 説 ext2 Linux 標 準 ファイルシステム async ディスクへの 非 同 期 入 出 力 ( 高 速 アクセス) ext3 ext2にジャーナル 機 能 追 加 sync ディスクへの 同 期 入 出 力 ( 確 実 な 入 出 力 ) ext4 次 期 標 準 ( 大 容 量 高 速 化 ) atime / noatime i nodeアクセス 時 間 の 更 新 (no: 更 新 しない) reiserfs xfs 小 容 量 多 数 ファイル 向 き 大 容 量 ファイル 向 き auto / noauto mount a オプションでマウント 対 象 (no: 対 象 外 ) exec / noexec ファイルの 実 行 許 可 (no: 実 行 禁 止 ) udf DVD(CDのiso9660の 拡 張 ) suid / nosuid SUID, SGID を 有 効 とする(no: 無 効 化 ) vfat nfs Windows / USBメモリ UNIX のファイル 共 有 ro Read only ( 書 込 み 禁 止 ) rw Read Write ( 書 込 み 許 可 ) smb Windowsのファイル 共 有 uid = xxx/ gid =xxx UID GID を 指 定 した 番 号 に 付 け 替 え proc カーネル 情 報 users/nousers 一 般 ユーザによるマウント 許 可 (no: 禁 止 ) * 利 用 可 能 なファイルシステムは/proc/filesystems に 記 載 dev / nodev 物 理 装 置 (no: 論 理 装 置 proc など) default async,auto,dev,exec,nouser,rw,suid と 同 義 16

204 高 度 なストレージ 管 理 204 主 題 一 覧 204.1 RAIDを 構 成 する(2,A) 204.22 記 憶 装 置 へのアクセス 方 法 を 調 整 する(1,D) 204.3 論 理 ボリュームマネージャ(3,A) 概 要 RAID : Redundant Array of Inexpensive /Independent Disks 複 数 のHDDを1つに 見 せるRAID 技 術 の 種 類 (RAIDレベル) OSの 機 能 でRAIDを 実 現 する(ソフトウエアRAID) LVM: Logical Volume Manager HDDを 仮 想 化 し 柔 軟 なデバイスを 実 現 17

204(1)RAID RAIDのレベルと ベ と 概 要 RAID 0:1データを 分 散 配 置 冗 長 性 は 無 いが 高 パフォーマンス RAID 1:1データを 冗 長 配 置 読 取 が 若 干 速 いが 高 コスト RAID 4:1データを 分 散 配 置 データからパリティを 算 出 し 冗 長 性 ( 回 復 )を 確 保 パリティ 専 用 ディスクがボトルネック RAID 5:データとパリティを 分 散 配 置 冗 長 性 とコスト 両 面 に 対 応 RAID 管 理 は mdadm による( 作 成 構 成 変 更 状 態 表 示 など) 作 成 ( create, C ) 追 加 削 除 ( manage, M) その 他 ( misc) RAID 0 ストライピング 1 2 3 4 RAID 1 RAID 4 ミラーリング パリティディスク 1 2 3 4 1 2 3 4 RAID 5 分 散 パリティ 1 2 3 4 5 6 A B 1 3 2 4 A B 1 2 3 4 1 2 3 4 A B 1 3 2 4 a C b A B C 1 4 c 2 5 b 3 6 a パリティ 計 算 データ[1] +[2] a ディスクAが 故 障 した 時 は 逆 算 して 回 復 [1] = [a] [2] 18

204(2)LVM LVMは は 複 数 の 物 理 ディスクをボリュームグループに 束 ね 物 理 的 容 量 の 制 限 に 関 係 なく 必 要 な 量 を 論 理 ボリュームとして 利 用 多 くのディストリビューションでシステム 標 準 として 採 用 PV(Physical Volume) : ハードディスクドライブやパーティション VG(Volume Group) : PV の 集 合 LV(Logical Volume) : VGから 切 出 した 仮 想 的 なパーティション PE(Physical Extent): 仮 想 的 なブロックサイズ(LVの 構 成 単 位 ) VG: ボリュームグループ PV 物 理 ボリューム HDD RAID HDD LV 論 理 ボリューム PE PE PE PE PE PE PE PE PE PE PE PE PE PE PE PE PE PE PE PE PE PE HDD HDD ファイル システム ファイルシステム 側 からは HDD RAID LVMの 違 い なく 操 作 (mkfs mount) 主 なLVMコマンド PVの 作 成 pvcreate デバイス VGの 作 成 vgcreate VG 名 デバイス LVの 作 成 lvcreate L サイズ n LV VG 名 情 報 の 表 示 pvdisplay, pvs vgdisplay, vgs lvdisplay, lvs 19

205 ネットワーク 構 成 205 主 題 一 覧 205.1 基 本 的 なネットワーク 構 成 (3,B) 205.22 高 度 なネットワーク 構 成 とトラブルシューティング(4,D) 205.3 ネットワークの 問 題 を 解 決 する(5,A) 205.4 システム 関 連 の 問 題 をユーザに 通 知 する(1,D) (, ) 概 要 ネットワークの 基 礎 知 識 (IPアドレス ネットマスクなどの 用 語 ) OpenVPNやIPエイリアスといった 高 度 な 利 用 ネットワーク 設 定 ファイルと 設 定 コマンド 繋 がらない ことに 関 するトラブルシューティング ( 現 状 知 りえる 情 報 を 元 に 対 処 法 を 考 える) 20

205(1)ネットワーク 設 定 1 ネットワークに 関 連 するコマンドと 定 義 ファイル 群 NIC 設 定 # ifconfig NIC 名 IPアドレス/プリフィクス ( 又 は netmask マスク 値 ) up / down # iwconfig NIC 名 essid ESSID key s:パスワード ルーティングテーブル 設 定 # route add df default gw IPアドレス # route add net ネットワークアドレス/プリフィクス gw ゲートウェイIP 主 な 定 義 ファイル /etc/hosts ローカルでの 名 前 解 決 /etc/hostname ホスト 名 (RedHat 系 は networkのhostname 値 ) /etc/resolv.confconf レゾルバ 定 義 DNSサーバIP /etc/sysconfig/network ネットワークの 共 通 設 定 (RedHat) /etc/sysconfig/network scripts/ifcfg NIC 名 NIC 個 別 設 定 (RedHat) /etc/network/interfaces NIC 設 定 (Debian) 主 なサービスとポート 番 号 (ssh=22, smtp=25など)や IPアドレス 計 算 21

205(2)ネットワーク 設 定 2 IPエイリアシング シ グ 1つのNICに 複 数 の 仮 想 IPアドレスを 付 与 する 仮 想 NIC(NIC 名 : 番 号 )を 定 義 する 例 ) 既 存 のNIC(192.168.78.129)に 別 のIPアドレスを 付 与 # ifconfig eth0:1 192.168.78.130/24 up # ip addr show eth0 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000 link/ether 00:0c:29:62:21:55 brd ff:ff:ff:ff:ff:ff ルータの 設 定 inet 192.168.78.129/24 brd 192.168.78.255 scope global eth0 inet 192.168.78.130/24 brd 192.168.78.255 scope global secondary eth0:1 プロトコル RIP, OSPF, BGPによる 動 的 ルーティング(routed, t d Quagga) 動 的 ルーティングを 使 うにはカーネルのパラメータの 修 正 が 必 要 例 ) # echo 1 > /proc/sys/net/ipv4/ip_forward その 他 カーネルパラメータ 213.トラブルシューティング 参 照 /proc/sys/net/ipv4/icmp_echo_ignore_broadcast echo ignore ブロードキャスト ping を 無 視 /proc/sys/net/ipv4/icmp_echo_ignore_all 全 ての ping を 無 視 22

205(3)ネットワーク 管 理 ネットワーク 情 報 を 表 示 するコマンド 群 netstat ネットワーク 関 連 の 情 報 を 表 示 ( 種 々のオプションあり) lsof i:ポート 特 定 のリソース(ポート)を 使 用 しているプロセスを 表 示 tcpdump NICの 監 視 (パケットのダンプ 出 力 ) arp ARPテーブル(MACアドレス 表 )の 表 示 トラブルシューティング 例 ) 下 記 の 状 態 で 192.168.0.1 に 接 続 できない なにが 原 因 と 考 えられるか? # netstat -rn Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.78.0 * 255.255.255.0 U 0 0 0 eth0 192.168.67.128 * 255.255.255.0 U 0 0 0 eth1 127.0.0.0 * 255.0.0.0 U 0 0 0 lo 23

206 システムの 保 守 206 主 題 一 覧 206.1 ソースからプログラムをmakeしてインストールする (4,A) 206.22 バックアップ 操 作 (3,D) 概 要 OSS(Open Source Software)の 入 手 生 成 インストールまで 一 連 の 処 理 システムのバックアップ 方 式 とそのコマンド 24

206(1)ソースからのインストール ソースプログラムを 入 手 しインストールするまでの 手 順 ソースプログラムをインターネット 上 やメディアにて 入 手 圧 縮 されたアーカイブ 形 式 は TARボール と 呼 ばれる 慣 例 的 に 拡 張 子 を 元 にツールを 選 定 し 展 開 する ~.tar( 非 圧 縮 ) ~.tar.gz /.tgz(gzip 圧 縮 ) ~.tar.bz2(bzip2 圧 縮 ) GNU 系 の 環 境 設 定 configure スクリプトを 実 行 (gccなど 開 発 ツール 要 ) コンパイルまでは 一 般 ユーザで 実 施 可 能 ($ make) インストールは 管 理 者 による(# make install) $ wget http://core.ring.gr.jp/pub/gnu/help2man/help2man 1.40.4.tar.gz : $ tar xzvf makhelp2akman 1.40.4.tar.gz help2man 1.40.4/ help2man 1.40.4/NEWS : $ cd help2man 1.40.4 $./configure checking for perl... perl : config.status: creating Makefile $ make perl help2man.pl Extracting help2man (with variable substitutions) $ su Password: # make install./mkinstalldirs /usr/local/bin $ tar xzvf makhelp2akman 1.40.4.tar.gz tarball ファイル 展 開 例 $ tar xzvf tarballファイル.tar.gz $ tar xjvf tarballファイル.tar.bz2 または 解 凍 してから tar 展 開 $ gunzip tarballファイル.tar.gz $ bunzip2 tarballファイル.tar.bz2 $ tar xvf tarballファイル.tar 25

206(2)バックアップ システム 障 害 災 害 操 作 ミスに 備 え ある 時 点 のデータをシステ ムと 切 り 離 された 記 憶 装 置 に 保 存 蓄 積 すること( 逆 はリストア) 完 全 (Full ) 差 分 (Differential) 増 分 (Incremental)がある 主 なコマンドとして tar, cpio, dd, dump/restore, rsync がある データ 量 コマンド 解 説 Full Backup ( 月 ) ( 火 ) ( 水 ) 増 分 2 増 分 1 差 分 1 差 分 2 時 間 tar cpio dd ディレクトリ 単 位 でバックアップ(アーカイブ) 同 時 に 圧 縮 も 可 能 $ tar cvf アーカイブ 対 象 ディレクトリ $ tar xvf アーカイブ 標 準 入 力 にファイル 名 を 指 定 し 個 別 にバックアップ $ ls cpio o > アーカイブ $ cat アーカイブ cpio id 装 置 を 含 め 丸 ごとコピー $ddif= 入 力 ファイル of= 出 力 ファイル 完 全 バックアップ: dump / ファイルシステム 単 位 rootのみ 実 行 可 能 ( 増 分 ) 取 得 時 点 で 全 データを 記 録 データ 量 が 多 いと 取 扱 時 間 restore # dump 0uf アーカイブ 対 象 ファイルシステム がかかる # restore rf アーカイブ 差 分 バックアップ: 過 去 のフルバックアップからの 差 分 全 てを 回 復 するに rsync 2つのディレクトリを 同 期 ( 差 分 ネットワーク 可 ) はフルバックアップデータも 必 要 $ rsync auv delete ディレクトリ1 ディレクトリ2 増 分 バックアップ: 最 も 取 扱 時 間 が 短 いが 回 復 に 手 間 と 時 間 がかかる *) オプションの 詳 細 はマニュアル 参 考 のこと コマンド 例 上 段 がバックアップ 下 段 がリストア 26

207 ドメインネームサーバ 207 主 題 一 覧 207.1 DNSサーバの 基 本 的 な 設 定 (2,B) 207.22 DNSゾーンの 作 成 と 保 守 (2,B) 207.3 DNSサーバを 保 護 する(2,D) 概 要 名 前 解 決 とネームサーバ(BIND Ver9) ゾーン 情 報 の 定 義 と 冗 長 性 の 確 保 (ゾーン 転 送 ) セキュリティへの 配 慮 (chroot jail dnskeygen) 27

207(1)DNSメカニズム DNS (Domain Name Server) ホスト 名 とIPアドレスの 相 互 変 換 ( 名 前 解 決 )を 行 う ネット 上 のネームサーバ 相 互 接 続 による 分 散 DBである 各 サーバは 自 分 の 担 当 区 画 (ドメイン)の 名 前 を 管 理 する 知 らない 内 容 は 上 位 のサーバに 問 い 合 わせる( 再 帰 問 い 合 わせ) 正 副 (プライマリ/セカンダリ)による 冗 長 化 が 可 能 FQDN: www.yahoo.co.jp.? 3 2 root ドメイン( 世 界 に13サイト) au jp cn com biz TLD: Top Level Domain 4 1 ne co go ac ed ISPのNS yahoo yahooのnsの sony sharp NS: Name Server 5 www weather ドメイン ドメイン ドメイン: NSが 管 理 する 名 前 finance ゾーンはNSが 管 理 する 全 ドメイン headlines loco 多 くはゾーン=ドメイン honyaku バックアップ chiebukuro sony プロバイダ 等 は 複 数 ドメインを 管 理 (セカンダリ) sharp xxxx ゾーン 情 報 28

207(2)ゾーン 情 報 DNS 設 定 ファイル DNSサーバ はBINDの Ver 9 が 試 験 範 囲 サーバ 自 身 の 定 義 と ゾーン 情 報 定 義 の2 種 類 の 定 義 ファイルを 持 つ /etc/named.conf でサーバ 自 体 の 動 作 や ゾーンファイルの 所 在 を 定 義 /var/named/ / / 下 にゾーンファイルを 配 置 クライアント(リゾルバ)は /etc/resolv.conf でNSサーバを 定 義 する /etc/named.conf /var/named/mydomain.zone options { $TTL 1D directory /var/named ; xxx.com. IN SOA xxx.com. root.xxx.com. ( : 20110101 1D 12H 1W 10D ) IN NS ns.xxx.com }; IN MX 10 mail1.xxx.com. IN MX 20 mail2.xxx.com. zone xxx.com { ns IN A 192.168.0.10168 10 type master; mail1 IN A 192.168.0.11 file mydomain.zone ; mail2 IN A 192.168.0.12 } h101 IN A 192.168.0.101 : www IN A 192.168.0.100 www IN A 192.168.0.110168 110 host IN CNAME h101 /etc/resolv.conf search xxx.com ゾーン 情 報 : nameserver 192.168.0.10 情 報 の 管 理 者 (サーバ 名 連 絡 先 メアド) nameserver 202.192.xx.212 212 有 効 期 限 (キャッシュパラメータ) ドメインに 関 する 名 前 情 報 (RR:リソースレコード) A PTR NS MX RR CNAME SOA 意 味 名 前 問 合 せに 対 する IPv4アドレス( 正 引 き) IP 問 合 せに 対 する ホスト 名 ( 逆 引 き) ドメインのネームサー バ ドメインのメールサー バと 優 先 順 位 別 名 (エイリアス) ドメイン 定 義 情 報 29

30

202 試 験 のポイント 202 試 験 の 主 題 208 Webサービス 209 ファイル 共 有 210 ネットワーククライアントの 管 理 211 電 子 メールサービス 212 システムのセキュリティ 213 トラブルシューティング

208 Webサービス 208 主 題 一 覧 208.1 Webサーバの 実 装 (3,B) 208.22 Webサーバの 保 守 (2,B) 208.3 プロキシサーバの 実 装 (1,D) 概 要 Webサーバは Apache 2.x プロキシーサーバは squid が 範 囲 基 本 的 な Web サーバ 設 定 認 証 仮 想 化 セキュリティ 対 応 プロキシーサーバはアクセス 制 限 の 設 定 (squid.confの acl, http_access allow/deny など) 32

208(1)Apache Webサーバ 概 要 Apache の 設 定 と 動 作 メカニズム Apacheソフトウエア 財 団 が 無 償 提 供 している (http://www.apache.org, http://www.apache.jp ) httpd.conf に 設 定 設 定 名 はディレクティブ( 指 令 )と 呼 ぶ ディレクトリ 単 位 で 切 り 出 し 個 別 管 理 が 可 能 ( 外 部 設 定 ファイル) サーバ 単 体 で 認 証 (ユーザ 名 パスワード) 仮 想 化 が 可 能 httpd.conf DocumentRoot /web/html <Directory /web/html/xxx > AuthType Basic AuthName Staff only AuthUserFile /web/html/xxx/.htpasswd Require valid-user </Directory> DirectoryIndex index.html index.htm index.php Alias /images /web/images ErrorDocument 404 /notfound.html http://www.uso800.com/xxx/ www.uso800.com /web/html/ XXX/index.html.htpasswd ユーザ 名 パスワード htpasswd 又 は htdigest httpd.conf AccessFile.htaccess <Directory /web/html/yyy > AllowOverride AuthConfig : </Directory> 特 定 のディレクトリに 関 する 設 定 を 別 ファイルとして 切 り 離 す ( 別 ファイル 修 正 時 再 起 動 不 要 ) /web/html/ YYY/.htaccess AuthType Digest AuthName Admin user : 33

208(2)バーチャルホスト バーチャルホスト 一 つのWebサーバで 複 数 のWebサーバがあるかのように 処 理 IPベース: 同 じホスト 名 を 複 数 のサーバで 負 荷 分 散 DNSで 一 つの 名 前 に 複 数 IPアドレスを 割 り 当 て アクセス 毎 にIPが 切 り 替 わる ラウンドロビン 設 定 が 必 要 名 前 ベース: 複 数 のサイトを 一 つのサーバで 一 括 処 理 を 行 う IPベース バーチャルホスト httpd.conf <VirtualHost 192.168.0.100> www.xxx.com DocumentRoot /web/xxx/html </VirtualHost> <VirtualHost 192.168.0.101>.100.101 DocumentRoot /web/xxx/html </VirtualHost>.102 Document <VirtualHost 192.168.0.102> Root DocumentRoot /web/xxx/html </VirtualHost> 192.168.0.0168 0 ゾーン 情 報 ( 抜 粋 ) www.xxx.com. IN A 192.168.0.100 www.xxx.com. IN A 192.168.0.101 www.xxx.com. IN A 192.168.0.102 名 前 ベース バーチャルホスト httpd.conf NameVirtualHost 192.168.0.100 <VirtualHost 192.168.0.100> ServerName www.uso800.com DocumentRoot /web/uso800 </VirtualHost> <VirtualHost 192.168.0.100> ServerName www.dema.com DocumentRoot /web/dema </VirtualHost> uso800 dema 34

208(3)リソースパラメータ Apacheの 性 能 に 係 るパラメータ StartServers 起 動 時 に 立 ち 上 げる (Apache 窓 口 )プロセス 数 Min/MaxSpareServers リクエスト 増 大 減 少 時 の 待 機 プロセス 数 MaxClients 最 大 プロセス 数 ( 受 付 窓 口 上 限 ) KeepAlive は 一 度 接 続 したTCP 経 路 を 保 持 する(= 繋 ぎっぱなし) ( 接 続 に 係 るオーバーヘッドを 省 略 しパフォーマンスを 向 上 させる) 負 荷 サーバ 子 プロセス 関 連 パラメータ キープアライブ 接 続 確 認 (SYN) MaxClients(256) Client Server MinSpareServers(5) StartServers (8) MaxSpareServers(30) 準 備 完 了 (ACK/SYN) 通 信 開 始 (ACK) データ 通 信 : (リクエスト 回 数 上 限 ) MaxKeepAliveRequests (リクエスト 待 ち 時 間 ) KeepAliveTimeout Apache プロセス 数 リクエスト 数 時 間 終 了 要 求 (FIN) 終 了 確 認 (ACK/FIN) 終 了 (FIN) 終 了 完 了 (ACK) : Time out ( 強 制 終 了, RST) オーバーヘッド 35

209 ファイル 共 有 209 主 題 一 覧 209.1 Sambaサーバの 設 定 (4,B) 209.22 NFSサーバの 設 定 (4,A) 概 要 Samba はWindows Network に 対 しファイルとプリンタを 提 供 NFSはUNIX 間 でファイルシステムを 共 有 出 題 範 囲 設 定 ファイル コマンド 利 用 方 法 など 広 範 囲 TCP Wrapper によるアクセス 制 限 も 含 まれる 36

209(1) Windows とのファイル 共 有 1 Microsoft Windows Network とファイルを 共 有 する サーバプログラムは smbd(ファイル 共 有 :TCPポート 139,445) nmbd( 名 前 解 決 :UDPポート ト137, 138) winbind( 認 証 連 携 )の3 種 類 Linux, Windows 間 でファイルとプリンタを 共 有 /etc/samba/smb.conf により 設 定 [セクション]と 呼 ばれる 領 域 に 分 割 [global]は Samba 全 体 の 設 定 で 変 更 後 サーバ 再 起 動 が 必 要 WORKGROUP # Sample smb.conf [global] workgroup = MYGROUP server string = Samba %v ; netbios name = MYSERVER log file = /var/log/samba/log.%m max log size = 50 security = user passdb backend = tdbsam [homes] comment = Home Directories browsable = no writable = yes [public] comment = Public apace path = /tmp read only = yes write list = @users testparmで 設 定 内 容 確 認 Samba smbd workgroup 主 な Global パラメータ 所 属 するワークグループ 名 Windows はコンピュータを ワークグループ 単 位 で 管 理 os level ブラウザ 選 定 の 優 先 度 ( 大 きいほど 高 ) 32:Domain controller 20:Samba 16:NT 1:Win9x/Me domain master security ドメインマスタブラウザの 指 定 認 証 方 法 (SHARE,USER,SERVER,DOMAIN,ADS) 37

209(2) Windows とのファイル 共 有 2 共 有 の 提 供 ユーザ 認 証 は 大 きく Windows 依 頼 方 式 固 有 データ 方 式 に 分 かれる share: 共 有 個 別 user:samba 固 有 server:windows 依 頼 domain/ads:win / 認 証 サーバ 固 有 情 報 は/etc/passwdを 元 に 別 途 作 成 (pdbedit, smbpasswd) クライアント smbstatus SMBサーバの 接 続 状 況 表 示 nmblookup NetBIOS 名 前 解 決 smbclient SMBサーバに 接 続 し 対 話 式 で 処 理 を 行 う smbmount 共 有 ディスクのマウント mount t smbfs と 等 価 /etc/passwd / # pdbedit ユーザ 名 Samba ( 共 有 ) 用 ユーザ 作 成 passwd に 従 属 passdb # smbpasswd ユーザ 名 パスワード 変 更 # smbstatus Samba version 3.5.4 0.70.el5_6.1 PID Username Group Machine $ nmblookup MYGROUP querying MYGROUP on 172.16.255.255 7136 student student c010256901 (192.168.78.1) 172.16.0.100 MYGROUP<00> 172.16.0.200 MYGROUP<00> Service pid machine Connected at public 7136 c010256901 Thu Jul 7 11:45:38 2011 Locked files: Pid Uid DenyMode Access R/W Oplock SharePath Name Time 7136 500 DENY_NONE 0x100081 RDONLY NONE /tmp. Thu Jul 7 11:45:38 2011 38

209(3) UNIX とのファイル 共 有 1 Sun Microsystems 社 が 開 発 し 公 開 した NFS( Network File System) でUNIX 相 互 のファイルを 共 有 portmapper(rpc) による 動 的 なポート 番 号 管 理 を 行 う 相 互 にマウント(クロスマウント)はトラブルのもと( 要 注 意 ) (CentOS のランレベル2は これを 回 避 するために 設 けられている) /etc/export で 公 開 ディレクトリを 定 義 exportfs で 有 効 化 する ディレクトリ 許 可 クライアント/ネットワーク(オプション) [ 許 可 2 ] サーバ /etc/exports /work client(rw) File System nfsd (rpc.)mountd portmap mount # exportfs クライアント nfsiod portmap # mount server:/work /mnt/nfs ro rw root_squash, no_root_squash all_squash NFS サーバ 側 オプション 読 取 専 用 (デフォルト) 読 書 き 可 root アクセス 時 匿 名 ユーザ へマッピング (マッピングしない) 全 ユーザを 匿 名 ユーザへ マッピング サーバ クライアントとも portmap を 予 め 起 動 する 必 要 がある クライアントからは mount により 自 ディスクのように 扱 える 39

209(4) UNIX とのファイル 共 有 2 サーバ 側 作 業 portmap, nfsd を 起 動 必 要 に 応 じ 他 のサーバ(rquotad, lockd)も 起 動 する /etc/exports を 編 集 し exportfs コマンドで 反 映 確 認 する クライアント 側 作 業 portmap を 起 動 する マウントを 実 行 する mount -t nfs -o オプション サーバ 名 : 公 開 ディレクトリ マウントポイント サーバ File System root_squash 機 能 クライアント NFSマウント hard NFS クライアント 側 (mount)オプション NFSサーバの 反 応 があるまで 再 実 行 を 繰 り 返 す soft NFSサーバトラブル 時 はタイムアウトする inter rsize, wsize hard マウント 中 断 許 可 入 出 力 のブロックサイズ 調 整 UID = 匿 名 (nfsnobody) ユーザに 置 き 換 え UID=0でのアクセス UID=0でのアクセス 40

210 ネットワーククライアントの 管 理 210 主 題 一 覧 210.1 DHCPの 設 定 (2,D) 210.22 PAM 認 証 (3,A) 210.3 LDAPクライアントの 利 用 方 法 (2,D) 概 要 DHCPによる 設 定 PAMはローカルシステム(サーバ 自 身 )に 関 する 認 証 LDAPは 基 本 的 な 事 項 のみ(サーバ 構 築 は Level 3 の 範 囲 ) 41

210(1)DHCP 設 定 DHCP(Dynamic ( Host Configuration Protocol)サーバはクライアント イ ト に 対 し ネットワーク 定 義 情 報 を 一 定 期 間 提 供 する 提 供 する 情 報 IPアドレス サブネットマスク ネットワーク ブロードキャストアドレス(NIC 設 定 ) 参 照 先 DNSのIPアドレス ドメイン 名 デフォルトゲートウェイのIPアドレス dhcpd の 設 定 は /etc/dhcpd.conf による /var/lib/dhcp/dhcpd.leasesleases で 貸 出 中 の 情 報 を 確 認 /etc/dhcpd.conf default lease time 600; max lease time 7200; option subnet mask 255.255.255.0; ( option による 共 通 の 定 義 情 報 ) option routers 192.168.21.1; subnet 192.168.21.0 netmask 255.255.255.0 { range 192.168.21.10 192.168.21.200; host printer { hardware ethernetxx:xx:xx:xx:xx:xx; fixd address dd 192.168.21.5; } } /var/lib/dhcp/dhcpd.leases lease 192.168.21.34 { starts 2 2011/08/23 19:23:11; ends 3 2011/08/24 19:23:11; hardware ethernet 11:22:33:44:55:66; uid 11:22:33:44:55:66; client hostname h034 ; } 42

210(2)PAM PAM: Pluggable Authentication Module ユーザー 認 証 を 集 中 的 に 行 うLinuxの 機 能 アプリケーションの 修 正 をするこ となく 新 しい 認 証 サービスへの 移 行 や 情 報 の 一 元 管 理 が 可 能 /etc/pam.d 下 のアプリケーション(コマンドやデーモン)と 同 じ 名 称 のファイル で 定 義 する [タイプ] [コントロール] [モジュール 名 ] ( 引 数 ) 認 証 サービス UNIX LDAP AD PAM アプリ mod A mod B mod C PAM App A App C PAM 設 定 ファイル タイプ 解 説 auth ユーザー 認 証 (ユーザー 名 パスワード ICカード 等 で 本 人 確 認 ) account password 有 効 なユーザかを 判 定 ( 有 効 期 限 権 限 など) パスワードの 変 更 と 確 認 方 法 session ユーザー 認 証 の 前 後 に 行 う 処 理 App B App D コントロール 解 説 /etc/pam.d/system auth auth requisite モジュールがNGならば 即 プロセスを 中 止 し 認 証 失 敗 を 返 す #%PAM 1.0 required モジュールがNGなら 残 りの 同 タイプを 処 理 した 後 失 # This file is auto generated. 敗 を 返 す # User changes will be destroyed the next time authconfig is run. sufficient モジュールがOKかつ 上 記 がOKならば 成 功 を 返 す auth required pam_env.so optional 同 一 タイプが1つのみ( 自 分 自 身 ) 以 外 は 認 証 可 否 に 影 響 auth sufficient pam_unix.so nullok try_first_pass を 与 えない : include 続 くファイルの 定 義 を 読 み 込 む 43

211 電 子 メールサービス 211 主 題 一 覧 211.1 電 子 メールサーバの 使 用 (3,B) 211.22 ローカルの 電 子 メール 配 信 を 管 理 する(2,D) 211.3 リモートの 電 子 メール 配 信 を 管 理 する(2,B) 概 要 メールシステムに 係 る 複 数 のサーバの 役 割 と 設 定 メールシステム 特 有 の 用 語 やプロトコル メール 全 般 の 知 識 が 必 要 ( 多 様 なメールサーバ) 送 信 サーバ: sendmail, Postfix 受 信 サーバ:Dovecot, CurierIMAP/POP, procmail プロトコル:SMTP, POP3, IMAP4 44

211(1)メールサーバ 概 要 電 子 メールは 送 信 と 受 信 で 仕 組 みが 異 なり 単 純 なクライアントサ ーバではなく 関 連 プログラムが 多 数 存 在 する MTA (Message Transfer Agent) 外 部 とのメールのやり 取 りを 行 う いわゆる 送 信 サーバ MDA(Message Delivery Agent) 自 サーバ 内 へのメールの 配 信 (ユーザ 割 り 振 り)を 行 う サーバ 内 に 閉 じた Local MDAと クライアントへ 受 信 メールを 送 る remote MDAがある( 受 信 サーバ) MUA(Message User Agent)いわゆるメールソフト クライアント 側 のツール 役 割 主 なソフトウエア MTA MTA Sendmail, Postfix, qmail MDA local 他 のメールサーバへ MDA Procmail, Dovecot, Curier MDA MUA remote Mail Box MUA Thunderbird, Sylpeed, Outlook, Becky!, Eudola 注 ) 役 割 を 兼 任 したソフトも 多 い 45

211(2)メール 送 信 サーバ 基 本 的 には Postfix の 設 定 に 関 する 出 題 が 多 いが sendmail と 併 用 する 部 分 も 対 象 となる Postfix は /etc/postfix/main.cf cf にて 設 定 ( 機 能 拡 張 はmaster.cf)する sendmail と 共 通 部 分 ( newaliases, /etc/aliases, ~/.forward 等 )も 出 題 myhostname mydomain myorigin inet_interfaces 主 な postfix の 設 定 値 メールサーバホスト 名 ( 例 : smtp.my.com ) 所 属 するドメイン 名 (my.com) 差 出 人 の@ 以 下 が 省 略 時 に 補 完 する 値 (my.com) 受 信 する NIC (all) to: who@my.com = mydistination smtp.my.com @my.com To: bar@other.net From: who@my.com @other.net mydestination ローカル 配 信 するホスト 宛 先 (my.com) mynetworks 信 頼 し 中 継 するネットワーク (my.com, xx.xx.255.255 ) Mail Box mynetworks host.my.com postconfで 設 定 内 容 確 認 DNS 設 定 MX 10 smtp.my.com @ fishy.net 46

211(3)メール 受 信 サーバ Procmail 受 信 メールの 自 動 振 り 分 けや SPAMメール 対 策 に 利 用 レシピと 呼 ばれるルールに ルに 従 いメールの 保 存 転 送 プログラム 起 動 を 行 う Dovecot はPOP3/IMAP4に 対 応 /etc/dovecont.confconf で 設 定 protocols = pop3 pop3s imap imaps MDA (Local) SPAM ウイルス チェック ユーザ 毎 に 振 分 Mail Box レシピ (/etc/procmailrc, ~/.procmailrc) :0 [フラグ] [:ロックファイル] [* 条 件 ] アクション :0 * ^Subject:.*Info.* $MAILDIR/infomail :0 * > 20000000 /dev/null MDA (Remote) MUA フラグ 処 理 H ヘッダのみチェック( 規 定 ) B c 条 件 本 文 のみチェック! 条 件 否 定 続 くレシピへメッセージを 残 す 処 理 <, > メッセージサイズ? プログラム 正 常 終 了 アクション POP3 ファイル 名 指 定 ファイルへ 保 存 各 ユーザでの IMAP4!who@my.com メッセージ 転 送 自 動 振 り 分 け prog プログラムへ 引 き 渡 す 処 理 47

212 システムのセキュリティ 212 主 題 一 覧 212.1 ルーターを 構 成 する(3,A) 212.22 FTPサーバの 保 護 (2,A) 212.3 セキュアシェル(SSH) (4,B) 212.4 TCPラッパー(1,D) ッ 212.5 セキュリティ 業 務 (3,D) 概 要 ネットワークセキュリティに 関 する 知 識 と 関 連 サービス FTPの の 匿 名 ユーザ(Anonymouse) ) 設 定 iptables ルータ 設 定 OpenSSH 広 範 囲 なセキュリティ 知 識 ただし 概 要 レベル 48

212(1)iptables iptables (パケットフィルター ファイヤーウォール) ト タ ウ ) ポリシー( 方 針 )とルールによって パケットをOSレベルで 制 御 各 種 サーバに 依 存 しないセキュリティ 制 御 が 可 能 (TCP Wrapper は 依 存 ) NIC 毎 に3つのチェイン(データ 経 路 )を 定 義 (INPUT, OUTPUT, FORWARD) INPUT チェイン アプリ (サーバ) OS NIC FORWARD OUTPUT ターゲット ACCEPT DROP LOG syslog 主 なオプション L 設 定 内 容 表 示 F 全 設 定 削 除 P チェイン ターゲット ポリシー 定 義 A チェイン ルール( 以 下 ) ルール 定 義 p プロトコル Icmp, tcp, udp の 指 定 d / s アドレス 宛 先 / 差 出 IPアドレス dport / sport ポート 宛 先 / 差 出 Iポート ト 番 号 j ターゲット ルールのターゲット iptables 実 装 例 SMTP リクエスト サーバ Web ブラウザ リクエスト server1 25 80 レスポンス レスポンス iptables F iptables P INPUT DROP iptables P FORWARD DROP iptables A INPUT d 127.0.0.1 j ACCEPT iptables A INPUT p icmp d 自 IP j ACCEPT iptalbes A INPUT p tcp d 自 IP dport 25 j ACCEPT iptables A INPUT p tcp d 自 IP sport 80 J ACCEPT 49

212(2)OpenSSH 基 本 SSHについては その は そ 仕 組 みと 設 定 方 法 両 方 が 出 題 される 公 開 鍵 認 証 のメカニズム サーバ 設 定 (/etc/ssh/sshd_config) プロトコルには Ver.1 (RSA), Ver.2(RSA,DSA)があるが Ver.1は 使 わない 公 開 鍵 認 証 のメカニズム( 抜 粋 ) クライアント サーバ 1 鍵 ペア 作 成 2 公 開 鍵 登 録 秘 密 公 開 3アクセス 要 求 4 乱 数 生 成 5986243!?#$%&= 6 乱 数 送 信!?#$%&= /etc/ssh/sshd_config 主 な SSHD 設 定 項 目 ( 既 定 値 ) Port sshdの 待 ち 受 けポート 番 号 (22) Protocol SSHプロトコルのージョン 1, 2 を 指 定 (2) LoginGraceTime 認 証 のタイムアウト[ 秒 / 分 ](2m) PermitRootLogin sshを 利 用 したユーザーrootの 直 接 ログインを 許 可 (yes) Password パスワード 認 証 を 許 可 = 公 開 鍵 でなくてもログ Authentication インを 認 める (yes) ChallengeResponse SSH1のチャレンジ&レスポンス 認 証 の 有 無 (yes) Authentication AllowUsers 利 用 可 能 なLinuxユーザのリスト(なし) X11Forwarding X11 のポート 転 送 の 有 無 (yes) 5986243 7 複 合 パスフレーズ 8 乱 数 返 信 5 暗 号 化 5986243 9 照 合 その 他 ファイル ~/.ssh/id_xxx.. 秘 密 鍵 (xxxはrsa, dsa) ( 左 図 1) ~/ /.ssh/id_xxx.pub 公 開 鍵 ( 同 1) ~/.ssh/known_hosts... ホスト 認 証 鍵 一 覧 ~/.ssh/authorized_keys.. 公 開 鍵 一 覧 ( 同 2) 50

212(3)OpenSSH ポート 転 送 SSHの 応 用 例 としてポート 転 送 が 出 題 される SSHの 仕 組 みを 利 用 して 任 意 の 通 信 を 暗 号 化 (ポートフォワーディング) 一 旦 SSH セッションを 確 立 後 サーバ 側 で 転 送 を 行 う クライアントは 指 定 ポ ートに 接 続 する Before ポートフォワーディングによるPOP 通 信 の 防 御 クライアント 動 的 ポート 32,000~65535 ( 任 意 ) 通 信 経 路 MUA To:svc S サーバ POP3 ポート 110 ポートフォワーディング: 1.コネクションの 確 立 $ ssh -L [ 自 ポート]:[ 接 続 先 ホスト]:[ポート] 接 続 先 2. 自 ポートへの 接 続 (MUAの 設 定 を 変 更 サーバ:110 自 身 :ポート) 補 足 ) sshd は TCP Wrapper 対 応 After クライアント MUA ポート 転 送 サーバ POP3:110 /etc/hosts.deny sshd: アクセス 禁 止 リスト(ALL) ポート:8110 暗 号 化 経 路 SSH:22 /etc/hosts.allow sshd: アクセス 許 可 リスト 51

213 トラブルシューティング 213 主 題 一 覧 213.1 ブート 段 階 の 識 別 とブートローダのトラブルシューティング(4,B) 213.22 一 般 的 な 問 題 を 解 決 する(5,B) 213.3 システムリソースの 問 題 を 解 決 する(5,D) 213.4 環 境 設 定 の 問 題 を 解 決 する(5,D) (, ) 概 要 現 場 を 想 定 した 種 々のトラブルについての 原 因 究 明 と 対 策 方 法 LPICレベル1 2の 全 ての 知 識 が 必 要 最 も 頻 繁 に 出 題 も 変 わるため 常 に 情 報 収 集 が 必 要 52

213(1)ログファイル 種 々のトラブルについて 原 因 を 特 定 するためには ログファイルを 調 査 する 事 が 基 本 ログファイルの 種 類 と 概 要 関 連 コマンドの 操 作 ログの 仕 組 みは 出 題 範 囲 外 だが ファイル 名 やコマンドが 問 われる /var/log 下 の 主 なログファイル ファイル 名 概 要 関 連 コマンド messages(t) secure(t) システムに 関 する 全 般 的 な 情 報 認 証 に 関 するもの dmesg ブート 時 のメッセージ(HWチェック) dmesg cron(t) スケジュール 実 行 に 関 するもの lastlog(b) ユーザ 毎 の 最 終 ログイン 情 報 lastlog rpmpkgs(t) パッケージインストール 状 況 yum.log(t) wtmp(b) ログイン 履 歴 last utmp(b) ログイン 中 ユーザの 情 報 who, w xferlog(t) FTP ファイル 転 送 記 録 補 足 ) ファイル 名 : (t) テキスト 形 式 (b)バイナリ 形 式 HTTPD は /var/log/httpd/access_log, error_log, 他 にも samba, squied 等 dmesg /etc/ syslog.conf ログのメカニズム Ring Buffer /proc/kmsg klogd syslogd /va/log/xxx # tail -f /var/log/messages カーネル サーバ サーバ サーバ 53

213(2)ライブラリ 管 理 ライブラリの 追 加 導 入 時 におけるキャッシュ 情 報 の 再 作 成 以 外 に 実 際 のプログラム 動 作 について 追 跡 を 行 う 管 理 系 :ldd( 使 用 ライブラリ 表 示 ), ldconfig(ライブラリキャッシュ 管 理 ) 動 作 追 跡 : ltrace(ライブラリ 呼 び 出 し), strace(システムコール シグナル) ldd と ldconfig の 実 行 例 ltraceとと straceの 実 行 例 $ ldd /usr/sbin/sshd linux gate.so.1 => (0x00110000) libwrap.so.0 => /lib/libwrap.so.0 (0x007fb000) libpam.so.0 => /lib/libpam.so.0 (0x0038d000) : $ ldd /usr/sbin/rpc.mountd grep libwrap libwrap.so.0 => /lib/libwrap.so.0 (0x00744000) TCP Wrapper は libwrap # /sbin/ldconfig pp 561 libs found in cache `/etc/ld.so.cache' libz.so.1 (libc6) => /usr/lib/libz.so.1 libz.so (libc6) => /usr/lib/libz.so : # /sbin/ldconfig /lib /usr/lib /usr/local/lib # /sbin/ldconfig p 569 libs found in cache `/etc/ld.so.cache' libz.so.1 (libc6) => /usr/lib/libz.so.1 libz.so (libc6) => /usr/lib/libz.so : $ ltrace date libc_start_main(0x8049610, 1, 0xbfad4604, 0x80508a0, 0x8050890 <unfinished...> setlocale(6, ) = "C" bindtextdomain("coreutils", d " "/usr/share/locale") /h /l l") = "/usr/share/locale" /h /l l" textdomain( coreutils ) = "coreutils" cxa_atexit(0x804bea0, 0, 0, 0x8054920, 0xbfad4568) = 0 getopt_long(1, 0xbfad4604, "d:f:i::r:rs:u", 0x8054040, NULL) = 1 nl_langinfo(131180, 0xbfad4604, 0x8051a0d, 0x8054040, 0) = 0x8c23b9 clock_gettime(0, 0xbfad4548, 0x8527f1, 1, 0xbfad4604) = 0 localtime(0xbfad4444) = 0x8f4300 strftime( Sat, 1024, %a, 0x8f4300) = 4 fwrite( Sat, 3, 1, 0x8f14c0) = 1 $ strace date execve("/bin/date", ["date"] date], [/* 25 vars */]) = 0 brk(0) = 0x941e000 access("/etc/ld.so.preload", R_OK) = 1 ENOENT (No such file or directory) open("/etc/ld.so.cache", O_RDONLY) = 3 fstat64(3, {st_mode=s_ifreg 0644, st_size=43872,...}) = 0 mmap2(null, 43872, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb7f2a000 close(3) = 0 open( /lib/librt.so.1, O_RDONLY) = 3 54

213(3) システム 情 報 その 他 システムに 関 する 情 報 は /proc ファイルシステムによる 参 照 するときは cat less で 行 うこと 変 更 はリダイレクション(echo xxx > /proc/sys/yyyyを 用 い エディタ(vi 等 )は 用 いない 初 期 値 設 定 ファイル 群 も 要 チェック ログインに 関 連 (/etc/login.defs, / g, /etc/profile, /p,/etc/profile.d,/p ~/.bashrc) システム 状 況 表 示 系 コマンド 群 はトラブルの 原 因 究 明 に 必 要 /proc/mdstat /proc/modules /proc/mounts /proc/swaps 主 な /proc 下 のファイル 群 トラブルシュートに トに 役 立 つコマンド RAID 構 成 導 入 済 みモジュール 一 覧 マウント 済 みファイルシステムとオプション SWAP ファイル 状 況 /proc/version バージョン 情 報 (uname a 相 当 ) /proc/sys/kernel/h ostname /proc/sys/kernel/ modprobe ホスト 名 (ドメイン 名 は domainname) modprobe コマンドのパス 名 rdev lsdev, lsusb, lspci lsusb meminfo lsof strings setserial lsmod /proc/sys/net/ipv4 NICパケット 転 送 の 有 (1) 無 (0) 205(2) ネットワーク 設 定 2 /ip_forward 205(3) ネットワーク 管 理 参 照 ルートデバイス 表 示 カーネル 認 識 済 みデバイス 一 覧 マウント 済 みファイルシステムとオプション SWAP ファイル 状 況 使 用 中 リソース 表 示 バイナリファイルに 含 まれる 文 字 列 シリアルデバイス 表 示 ロード 済 みモジュール 一 覧 55

ご 参 考 参 考 文 献 Linux 専 門 スクール Linuxサーバ 構 築 標 準 教 科 書 (v1.0.2) 特 定 非 営 利 活 動 法 人 エルピーアイジャパ ン 135p / A4 判 http://www.lpi.or.jp/linuxtext/server.shtml Linux 教 科 書 LPICレベル2 ( 第 3 版 ) 中 島 能 和 著 濱 野 賢 一 朗 監 修 翔 泳 社 (2009/05/12 出 版 ) 554p / 21cm / A5 判 ISBN: 9784798119304 http://www.linuxacademy.ne.jp/ ビジネス 徹 底 攻 略 LPI 問 題 集 Level2/Release2 対 応 中 島 能 和 著 ソキウス ジャパン 編 インプレスジャパン インプレスコミュニケー ションズ 発 売 (2009/08/01 出 版 ) 286p / 21cm / A5 判 ISBN: 9784844327325 http://www.wbiznet.co.jp/ http://ycos.sakura.ne.jp 矢 越 サイト 56