add Linux

+[[_TOC_]]

+

+- [[Perl/ApacheErrorLogFormatter]]

+----

+# ドキュメント

+- [Apache HTTP Server Documentation](http://httpd.apache.org/docs/)

+ - [Version 2.2](http://httpd.apache.org/docs/2.2/)

+

+ - [mod_authz_host](http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html) ([mod_access](http://httpd.apache.org/docs/2.0/mod/mod_access.html))

+ - Allow, Deny, Order ディレクティブ

+

+ - [mod_setenvif](http://httpd.apache.org/docs/2.2/mod/mod_setenvif.html)

+

+ - [Apache の SSL/TLS 暗号化](http://httpd.apache.org/docs/2.2/ssl/)

+

+# Apache用モジュールをコンパイルできるようにする

+- httpd-devel (apxs) をインストールしておく。

+```

+# yum install httpd-devel

+```

+

+# バーチャルホスト設定

+- [バーチャルホスト説明書](http://httpd.apache.org/docs/2.2/vhosts/)

+

+## 設定

+- /etc/httpd/conf.d/VirtualHosts.conf

+```apache

+# Use name-based virtual hosting.

+NameVirtualHost *:80

+

+<VirtualHost *:80>

+ ServerName www.takeash.net

+ DocumentRoot /var/www/html/

+</VirtualHost>

+

+<VirtualHost *:80>

+ ServerName vh1.takeash.net

+ DocumentRoot /var/www/vh1-html/

+ <Directory "/var/www/vh1-html">

+# AllowOverride All

+ </Directory>

+</VirtualHost>

+```

+

+## エラー対策

+- バーチャルホストが表示されない。

+ - エラーメッセージ

+```

+[warn] _default_ VirtualHost overlap on port 80, the first has precedence

+```

+ - 原因<br />

+NameVirtualHost ディレクティブが設定されていない。

+ - 対処<br />

+NameVirtualHost ディレクティブを設定する。<br />

+httpd.conf を修正するより conf.d に VirtualHosts.conf として専用のファイルを作成しておく方が忘れなくていいかも。

+

+# Digest 認証

+- [認証、承認、アクセス制御](http://httpd.apache.org/docs/2.2/howto/auth.html)

+- [mod_auth_digest](http://httpd.apache.org/docs/2.2/mod/mod_auth_digest.html)

+ - レルム/ユーザ/パスワード追加

+```

+htdigest [-c] passwdfile <realm> <username>

+```

+ - /etc/httpd/conf.d/DigestAuth.conf

+```apache

+<Directory "/var/www/html/Download/<realm>">

+ AllowOverride AuthConfig

+ AuthType Digest

+ AuthName "<realm>"

+ AuthUserFile /var/www/passwd/passwords_digest

+ Require user <username>

+ Options None

+ Options Indexes

+ DirectoryIndex index.html index.htm index.php

+ Order allow,deny

+ Allow from all

+</Directory>

+```

+

+# mod_ssl

+- インストール

+```

+# yum install mod_ssl

+```

+

+## 自己署名証明書使用

+

+- SAN 項目を追加した設定ファイルを作成。

+```

+# cd /etc/pki/tls/

+# cp openssl.cnf openssl-san.cnf

+```

+

+- openssl.cnf と openssl-san.cnf の差分

+```

+--- openssl.cnf

++++ openssl-san.cnf

+@@ -104,7 +104,7 @@

+ ####################################################################

+ [ req ]

+ default_bits = 2048

+-default_md = sha1

++default_md = sha256

+ default_keyfile = privkey.pem

+ distinguished_name = req_distinguished_name

+ attributes = req_attributes

+@@ -222,6 +222,11 @@

+

+ basicConstraints = CA:FALSE

+ keyUsage = nonRepudiation, digitalSignature, keyEncipherment

++subjectAltName=@alt_names

++

++[ alt_names ]

++DNS.1=takeash.net

++DNS.2=*.takeash.net

+

+[ v3_ca ]

+

+```

+- 証明書フォルダへ移動

+```

+# cd certs/

+```

+

+- サーバー用秘密鍵作成 (server.key)

+```

+# openssl genrsa -aes128 2048 > server.key

+```

+

+- パスフレーズ削除<br />

+httpd 再起動時にパスフレーズが要求されないようにするため。

+```

+# openssl rsa -in server.key -out server.key

+```

+

+- サーバー用自己署名証明書作成 (server.crt)

+```

+# openssl req -utf8 -new -key server.key -x509 -days 3650 -out server.crt -set_serial 0 \

+ -subj '/C=JP/ST=Tokyo/L=Chuo-ku/O=TakeAsh.net/CN=takeash.net' -extensions v3_req -config ../openssl-san.cnf

+```

+ - サブジェクト例 (TakeAsh.net)

+| C | 国名コード | JP |

+| --- | --- | --- |

+| ST | 都道府県 | Tokyo |

+| L | 区市町村 | Chuo-ku |

+| O | 組織名 | TakeAsh.net |

+| CN | コモンネーム(ドメイン名) | takeash.net |

+ - 証明書確認<br />

+「X509v3 extensions - X509v3 Subject Alternative Name」項目が存在すれば SAN が含まれている。

+```

+# openssl x509 -in server.crt -text

+...

+ X509v3 Subject Alternative Name:

+ DNS:takeash.net, DNS:*.takeash.net

+...

+```

+

+- /etc/httpd/conf.d/ssl.conf (抜粋)

+```

+SSLCertificateFile /etc/pki/tls/certs/server.crt

+SSLCertificateKeyFile /etc/pki/tls/certs/server.key

+DocumentRoot "/var/www/html"

+SSLProtocol all -SSLv2 -SSLv3

+```

+

+- httpd 再起動

+ - CentOS 6

+```

+# service httpd restart

+```

+ - CentOS 7

+```

+# systemctl restart httpd

+```

+

+- 動作テスト

+ - https://takeash.net/cgi-bin/etc/PrintEnv.cgi

+ - https://www.takeash.net/cgi-bin/etc/PrintEnv.cgi

+

+- [OpenSSL CSR with Alternative Names one-line - End Point Blog](http://blog.endpoint.com/2014/10/openssl-csr-with-alternative-names-one.html)

+- [SAN対応 x.509 証明書を取得するためのCSRを作成する - Qiita](http://qiita.com/saitara/items/eda74ac6a950122b5f31)

+- [subjectAltNameでバーチャルホスト - Kung Noi Blog](http://www.goodnai.com/blog/2010/05/07/subjectaltname%E3%81%A7%E3%83%90%E3%83%BC%E3%83%81%E3%83%A3%E3%83%AB%E3%83%9B%E3%82%B9%E3%83%88/)

+- [Webサーバー間通信内容暗号化(Apache+mod_SSL) - CentOSで自宅サーバー構築](http://centossrv.com/apache-ssl.shtml)

+- [SSL Server Test (Powered by Qualys SSL Labs)](https://www.ssllabs.com/ssltest/)

+- [ssl certificate - how to add subject alernative name to ssl certs? - Stack Overflow](https://stackoverflow.com/questions/%38%37%34%34%36%30%37)

+ - keytool -certreq -ext SAN=dns:example.com,ip:192.168.0.1

+ - [keytool(ja)](https://docs.oracle.com/javase/jp/8/docs/technotes/tools/windows/keytool.html) / [keytool(en)](http://docs.oracle.com/javase/8/docs/technotes/tools/windows/keytool.html)

+

+## Certbot 使用

+- Certbot 使用前準備

+ - ホスト名が正引きできること。(ワイルドカード不可)

+ - バーチャルホストのサーバ名と要求するドメイン名のどれかが一致すること。

+ - https でアクセス可能になっていること。

+ - https ポート解放

+```

+# firewall-cmd --add-service=https --permanent

+```

+

+- Certbot インストール (EPEL リポジトリ)

+```

+# yum install python-certbot-apache

+```

+

+- 証明書取得<br />

+取得に成功すると「/etc/letsencrypt/live/<ドメイン1>/」に証明書が作成される。

+```

+# certbot --apache certonly -m <メールアドレス> -d <ドメイン1> [-d <ドメイン2> ...] --agree-tos

+```

+

+- /etc/httpd/conf.d/ssl.conf (抜粋)

+```

+SSLCertificateFile /etc/letsencrypt/live/<ドメイン1>/cert.pem

+SSLCertificateKeyFile /etc/letsencrypt/live/<ドメイン1>/privkey.pem

+SSLCertificateChainFile /etc/letsencrypt/live/<ドメイン1>/chain.pem

+```

+

+- 自動更新スクリプト /etc/cron.monthly/certbot.sh

+```bash

+#!/bin/bash

+/bin/certbot renew

+```

+

+- [Certbot](https://certbot.eff.org/)

+- [Webサーバー間通信内容暗号化（Apache+mod_SSL+Certbot） - CentOSで自宅サーバー構築](http://centossrv.com/apache-certbot.shtml)

+

+## Certbot 使用(ワイルドカード)

+- Certbot インストール (EPEL リポジトリ)

+```

+# yum -y install yum-utils

+# yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

+# yum install certbot-apache

+```

+

+- 証明書取得(手動)<br />

+途中HTTPへのテキストファイルの配置とDNSへのTXTレコードの追加を指示されるので、追加してからEnterを押して先へ進む。<br />

+取得に成功すると「/etc/letsencrypt/live/<ドメイン>/」に証明書が作成される。

+```

+# certbot certonly --manual --server https://acme-v02.api.letsencrypt.org/directory -d "*.example.com" -d example.com

+```

+

+- /etc/httpd/conf.d/ssl.conf (抜粋)

+```

+SSLCertificateFile /etc/letsencrypt/live/<ドメイン>/cert.pem

+SSLCertificateKeyFile /etc/letsencrypt/live/<ドメイン>/privkey.pem

+SSLCertificateChainFile /etc/letsencrypt/live/<ドメイン>/chain.pem

+```

+

+- apache 再起動

+```

+# systemctl restart httpd.service

+```

+

+- 証明書更新<br />

+「--manual」で取得した場合は「renew」による自動更新ができないので、既存の証明書を削除し同名で取得し直す。

+```

+# certbot delete

+```

+

+- 証明書の有効期限を表示<br />

+getExpireDate.sh

+```bash

+#!/bin/bash

+

+CommonName=example.net

+

+NotAfter=`openssl x509 -noout -dates -in /etc/letsencrypt/live/${CommonName}/fullchain.pem | \

+ grep notAfter | \

+ sed -e "s/notAfter=//" | \

+ date -f - --iso-8601`

+echo ${NotAfter}

+```

+

+# mod_security

+## インストール

+- EPELリポジトリ

+```

+# yum install mod_security mod_security_crs

+```

+

+## 設定

+- /etc/httpd/conf.d/mod_security.conf (抜粋)

+```apache

+ # Maximum request body size we will

+ # accept for buffering

+ #SecRequestBodyLimit 131072

+ SecRequestBodyLimit 5242880

+ SecRequestBodyNoFilesLimit 51200

+```

+

+- /etc/httpd/modsecurity.d/modsecurity_localrules.conf

+```apache

+# Drop your local rules in here.

+

+# White List IP

+SecRule REMOTE_ADDR "@pmFromFile /etc/httpd/modsecurity.d/whitelist_ip.txt" \

+ "phase:1,id:'1000001',nolog,allow,ctl:ruleEngine=Off,ctl:auditEngine=Off"

+

+# White List URI

+SecRule REQUEST_URI "@pmFromFile /etc/httpd/modsecurity.d/whitelist_uri.txt" \

+ "phase:1,id:'1000002',nolog,allow,ctl:ruleEngine=Off,ctl:auditEngine=Off"

+

+# White List URI 2

+SecRule REQUEST_URI "@rx ^\/Etc\/" \

+ "phase:1,id:'1000003',nolog,allow,ctl:ruleEngine=Off,ctl:auditEngine=Off"

+

+ # White List Sub-Domain

+ SecRule REQUEST_HEADERS:Host "@pmFromFile /etc/httpd/modsecurity.d/whitelist_subdomain.txt" \

+ "phase:1,id:'1000004',nolog,allow,ctl:ruleEngine=Off,ctl:auditEngine=Off"

+

+# ZmEu Attack / phpMyAdmin

+SecRule REQUEST_URI "@rx (?i)\/(php-?My-?Admin[^\/]*|mysqlmanager|myadmin|pma2005|pma\/scripts|w00tw00t[^\/]+)\/" \

+ "severity:alert,id:'0000013',deny,log,status:400,msg:'Unacceptable folder.',severity:'2'"

+```

+ - mod_security-2.7.1 でエラーが出るから適当にid追加したけど、idの振り方のルールってどこにあるのかな？

+```

+ModSecurity: No action id present within the rule

+```

+

+- /etc/httpd/modsecurity.d/whitelist_ip.txt<br />

+mod_security による制限を行わない IP アドレスを列挙する。<br />

+コメントは行頭から「#」で始める。

+```

+# localhost

+127.0.0.1

+

+# example.com

+xxx.xxx.xxx.xxx

+

+# example.net

+yyy.yyy.yyy.yyy

+```

+

+- /etc/httpd/modsecurity.d/whitelist_uri.txt<br />

+mod_security による制限を行わない URI を列挙する。

+```

+/cgi-bin/etc/PrintEnv.cgi

+/cgi-bin/etc/PrintEnv_txt.cgi

+/cgi-bin/etc/index.cgi

+/cgi-bin/etc/testCGI.cgi

+```

+

+- /etc/httpd/modsecurity.d/whitelist_subdomain.txt<br />

+mod_security による制限を行わないホスト名を列挙する。

+```

+# WebApp1

+vh1.takeash.net

+```

+

+- /etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_20_protocol_violations.conf

+ - id:958291 "Range: 0-", mp4 等のストリーミングや分割ダウンロードが行われるファイルのダウンロードで引っかかる。

+

+## リンク

+- http://modsecurity.org/

+ - [Reference Manual](https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual)

+ - [The Open Web Application Security Project](https://www.owasp.org/)

+- [hashdos攻撃をmod_securityで防御する(CentOS+yum編) - 徳丸浩の日記](http://blog.tokumaru.org/2012/01/hashdosmodsecuritycentosyum.html)

+- [Attack by ZmEu - The Linux Page](http://linux.m2osw.com/zmeu-attack) phpMyAdmin 脆弱性スキャンスクリプト対策

+- [黒ぶちメガネのblog » mod_securityのホワイトリスト、ブラックリストの書き方メモ](http://www.kurobuti.com/blog/?p=3775)

+- [禁煙できないSEの独り言: ModSecurity 2.5.12の導入](http://hiro-system.blog.ocn.ne.jp/blog/2010/04/modsecurity_251.html)

+- [(続)spammer対策 - ねこ様にもてあそばれる日々(2006-05-03)](http://m9841.info/?date=20060503#p02)

+- [mod_securityでWebサーバを守る(第1回) - ソフテック](http://www.softek.co.jp/Sec/mod_security1.html)

+- Webアプリケーションに潜むセキュリティホール

+ - [Webアプリケーションファイアウォールによる防御](http://www.atmarkit.co.jp/fsecurity/rensai/webhole11/webhole01.html)

+ - [mod_securityのXSS対策ルールを作成する](http://www.atmarkit.co.jp/fsecurity/rensai/webhole12/webhole01.html)

+- [UNIX的なアレ：gihyo.jp出張所](http://gihyo.jp/admin/serial/01/unix)

+ - [第19回 知っておきたいApacheの基礎知識 その15](http://gihyo.jp/admin/serial/01/unix/0019)

+

+# mod_geoip

+## インストール

+- EPELリポジトリ

+```

+yum install mod_geoip

+```

+

+## 設定

+- /etc/cron.monthly/updateGeoIP<br />

+データベースの自動更新スクリプト

+```bash

+wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz

+gunzip GeoIP.dat.gz

+mv -f GeoIP.dat /usr/share/GeoIP/GeoIP.dat

+/sbin/restorecon -v /usr/share/GeoIP/GeoIP.dat

+```

+- GeoIP が表示されない場合は、SELinux のラベルを確認。

+```

+# ls -Z /usr/share/GeoIP/

+Good) unconfined_u:object_r:usr_t:s0

+NG) unconfined_u:object_r:admin_home_t:s0

+```

+ラベルが正しくない場合は下記コマンドで修正する。

+```

+# sealert -a /var/log/audit/audit.log

+# /sbin/restorecon -v /usr/share/GeoIP/GeoIP.dat

+```

+ラベル修正後、httpd を再起動すること。

+```

+# service httpd restart

+```

+

+## リンク

+- [MaxMind](http://www.maxmind.com/)

+ - [mod_geoip2 Apache module](http://dev.maxmind.com/geoip/mod_geoip2)

+ - [GeoLite Free Downloadable Databases](http://dev.maxmind.com/geoip/geolite)

+- [Apache2 mod_geoip CentOS うざい国を弾くモジュール « ORBIT SPACE](http://www.orsx.net/blog/archives/2510)

+

+# Apacheでhttp-equiv属性値を反映させる

+- [META要素「http-equiv属性値とHTTPヘッダー」について考える](http://www.infoaxia.com/tools/blog/archives/cat3/)

+- [Apache mod_xml_charset](http://www.yoshidam.net/XML_ja.html)

+

+- デフォルトでは、LastModifiedしか反映されない。

+- apxsはhttpd-devel-xxx.rpmをインストールすることで使用できるようになる。

+- うちの Fedora Core 3 環境だとmod_html_metaのコンパイルでエラーが出るんでまだ使えていない。引き続き検討。

+

+# Apache に DoS 攻撃対策 mod_evasive

+- [mod_evasive](http://www.zdziarski.com/blog/?page_id=442) @ [Jonathan Zdziarski's Domain](http://www.zdziarski.com/)

+- [Apache DoS攻撃対策 mod_evasiveインストール＆設定 &#8211; Linux](http://www.makizou.com/archives/1341) @ [MAKIZOU.COM](http://www.makizou.com/)

+

+# cgi-bin ディレクトリでファイル名を省略したときに index.cgi を実行する設定

+- httpd.conf に ScriptAliasMatch を追加する。

+

+- 修正前

+```apache

+ScriptAlias /cgi-bin/ /var/www/cgi-bin/

+```

+

+- 修正後

+```apache

+ScriptAliasMatch ^/cgi-bin/(.*)\.cgi /var/www/cgi-bin/$1.cgi

+ScriptAliasMatch ^/cgi-bin/(.*)/? /var/www/cgi-bin/$1/index.cgi

+ScriptAliasMatch ^/cgi-bin$ /var/www/cgi-bin/index.cgi

+ScriptAlias /cgi-bin/ /var/www/cgi-bin/

+```

+

+- index.cgi の例

+```perl

+#!/usr/local/bin/perl

+

+use strict;

+use warnings;

+use utf8;

+use CGI::Pretty;

+

+my $q = new CGI;

+my $host = $q->url(-base => 1);

+print $q->redirect( $host . '/' );

+

+# EOF

+```

+

+- [Apacheで、http://hoge.hoge/cgi-bin/foo/にアクセスできるようにする方法](http://blogs.dion.ne.jp/fit_si/archives/5941241.html)

+

+# Apache で外部からの直リンクを禁止する

+- [404 Blog Not Found:Apache - ホットリンクを禁止する](http://blog.livedoor.jp/dankogai/archives/50804992.html)

+

+# Basic認証にタイムアウトを設定する

+- [mod_auth_timeout](http://secure.linuxbox.com/tiki/tiki-index.php?page=mod_auth_timeout)

+- [サードパーティー製認証モジュール](http://www.thinkit.co.jp/article/120/3/2.html)

+[[_TOC_]]

+

+# nautilus設定

+- フォルダを開くたびに新しいウィンドウを開かないようにする

+```

+gconftool-2 --type bool --set /apps/nautilus/preferences/always_use_browser true

+```

+- ツールバーの設定

+ 1. 「システム - 設定 - ルック＆フィール - 外観の設定」を起動

+ 1. 「インターフェース」タブで、「アイコンの下にラベル」から「アイコンの横にラベル」へ変更

+

+# DynamicDNSの自動更新

+

+- [DiCE](http://www.hi-ho.ne.jp/yoshihiro_e/dice/)

+- [[updateEarth>Perl/updateEarth]]

+

+# Apache

+- [[Linux/Apache]]へ移動。

+

+# NICの冗長化

+- [[Linux/NIC_Bonding]]へ移動。

+

+# ユーザにシェルを使わせない

+- useradd でユーザを追加する際にシェルとして存在しないものを指定することで、メールやftp等は使用できるがコマンド操作はできないユーザを作成することができる。

+```

+# useradd -s /bin/nologin ユーザ名

+```

+- 各ユーザの現在のシェル設定は /etc/password に記録されている。

+```

+# grep "ユーザ名" /etc/password | awk -F":" '{print $7}'

+```

+- 既存ユーザの設定変更は usermod で行う。

+```

+# usermod -s /bin/nologin ユーザ名

+```

+- useradd の -D オプションで既定値の確認、変更ができる。

+```

+# useradd -D

+GROUP=100

+HOME=/home

+INACTIVE=-1

+EXPIRE=

+SHELL=/bin/bash

+SKEL=/etc/skel

+CREATE_MAIL_SPOOL=yes

+# useradd -D -s /bin/nologin

+# useradd -D

+GROUP=100

+HOME=/home

+INACTIVE=-1

+EXPIRE=

+SHELL=/bin/nologin

+SKEL=/etc/skel

+CREATE_MAIL_SPOOL=yes

+```

+

+# 言語設定

+- "C" だと漢字が表示されない。"ja_JP.UTF-8" に変更する。

+- /etc/sysconfig/i18n

+```

+#LANG="C"

+LANG="ja_JP.UTF-8"

+SYSFONT="latarcyrheb-sun16"

+```

+- [日本語文字化け（UTF-8）](http://www.nina.jp/server/redhat/fedora/utf-8.html)

+

+# crontab からのメールの文字化け対策

+- メールの charset 指定が不適切。

+```

+Content-Type: text/plain; charset=ANSI_X3.4-1968

+```

+- 環境変数 CONTENT_TYPE を指定する。

+- 必要ならば環境変数 LANG も追加。

+- crontab 実行時に設定されている環境変数はメールヘッダ X-Cron-Env で確認できる。

+```

+CONTENT_TYPE=text/plain; charset=UTF-8

+LANG=ja_JP.UTF-8

+30 3 * * * /usr/bin/command

+```

+- [Man page of CRONTAB](http://linuxjm.sourceforge.jp/html/cron/man5/crontab.5.html)

+- anacron の場合は /etc/anacrontab で設定。

+- /etc/environment でも環境変数設定ができる。こちらで設定した場合は crontab に記述する必要はない。設定後、crond の再起動が必要。

+```

+service crond restart

+```

+

+# ディスクイメージ書き込み

+- K3b http://www.k3b.org/ <br />

+base リポジトリ

+```

+# yum install k3b

+```

+

+- ISO Master http://littlesvr.ca/isomaster/ <br />

+epel リポジトリ

+```

+# yum install isomaster

+```

+

+# USBメモリをマウント

+```

+mount -t vfat /dev/sdc1 /mnt/usbfm

+```

+- [murasaki (another HotPlug)](http://www.dotaster.com/~shuu/linux/murasaki/index_ja.html)

+

+# USB-HDD (NTFS) をマウント

+- NTFS のファイルシステムタイプをインストール。(epelリポジトリ)

+```

+# yum install ntfs-3g ntfsprogs

+# ln -s /bin/ntfsfix /sbin/fsck.ntfs-3g

+```

+- ディスク情報確認。<br />

+システムが「HPFS/NTFS」になっているデバイスがマウントすべきパーティション。

+```

+# fdisk -l

+```

+- マウントポイント作成。

+```

+# mkdir /mnt/usbhdd

+```

+- マウント。<br />

+マウントすべきパーティションが /dev/sdc5 だった場合。

+```

+# mount -t ntfs-3g /dev/sdc5 /mnt/usbhdd

+```

+- 取り外し。

+```

+# umount /mnt/usbhdd

+```

+- ディスクの UUID 確認。

+ - blkid コマンドまたは「ls -l /dev/disk/by-uuid/」で確認。

+- UUID を基にマウント。

+```

+# mount -t ntfs-3g UUID=xxxxxxxx /mnt/usbhdd

+```

+- /etc/fstab を設定することで起動時に自動でマウントできる。

+```

+UUID=xxxxxxxx /mnt/usbhdd ntfs-3g defaults 1 2

+```

+- 初期化順序が悪くて(?)自動マウントができない場合は、/etc/rc.d/rc.local に mount コマンドを書くといいかも。

+

+- [How to Mount an NTFS Filesystem](http://wiki.centos.org/TipsAndTricks/NTFS)

+

+- [LinuxでUSB外付けディスクを快適にマウントする - Colspan Blog](http://colspan.net/blog/2008/11/15222550.html)

+

+- [WikiPedia.ja:NTFS-3G](http://ja.wikipedia.org/wiki/%4e%54%46%53%2d%33%47)

+ - NTFS-3G はNTFSジャーナリングを部分的にサポートしているだけなので、コンピュータのクラッシュや電源断が発生すると、ファイルシステムが一貫していない状態になってしまう。これが発生したときにはWindowsで立ち上げて、NTFSにジャーナルを再実行させる必要がある。

+

+- [Ext2Fsd Project](http://www.ext2fsd.com/) Windows に Ext2/Ext3/Ext4 なドライブをマウント

+

+- [CentOS GPTディスクの追加方法](http://www.unix-power.net/linux/gpt.html) @ [UnixPower on Networking](http://www.unix-power.net/)

+

+# Windows ネットワーク共有フォルダをマウント

+| ファイル共有サーバのUNC名 | winsrv |

+| --- | --- |

+| 共有フォルダ名 | sharedfolder |

+| ファイル共有サーバのアカウント名 | user1 |

+| ファイル共有サーバのパスワード | secret |

+| マウントポイント | /mnt/winfolder |

+```

+# mount -t cifs -o username=user1,password="secret" //winsrv/sharedfolder /mnt/winfolder

+```

+

+# リモートデスクトップ接続

+## FreeRDP のインストール

+```

+yum install freerdp

+```

+

+## Gnome パネルにショートカットを追加

+1. パネル上で右クリックし、「パネルへ追加」を選択。

+1. 「カスタム・アプリケーションのランチャ」をダブルクリック。

+1. ランチャの作成

+| 種類 | 端末内で起動する |

+| --- | --- |

+| 名前 | <PC名> |

+| コマンド | /usr/bin/xfreerdp -g 800x600 -u <ユーザ名> <PC名> |

+| コメント | <任意> |

+

+- 「引き出し」を使って階層化できる。

+- Windows をアップグレードすると、「host key」が変わりアクセスできなくなる。<br />

+「~/.freerdp/known_hosts」から古いキーをコメントアウトしてからアクセスすることで現在のキーを追加できる。

+

+# mv でプログレスバーを表示

+- &#x7e;/.bashrc

+```

+alias rsynccopy="rsync --partial --progress --append --rsh=ssh -r -h"

+alias rsyncmove="rsync --partial --progress --append --rsh=ssh -r -h --remove-sent-files"

+```

+- 設定を即座に反映。

+```

+$ source ~/.bashrc

+```

+

+- [mv with progress bar](http://www.linuxquestions.org/questions/linux-general-1/mv-with-progress-bar-428705/)

+

+# 古いカーネルの削除

+- /boot の空き容量が不足してカーネルのアップデートができない場合に古いカーネルを削除する。

+- 使用容量の確認

+```

+# df -h

+```

+- インストール済みカーネルの確認

+```

+# rqm -q kernel

+```

+- yum-utils のインストール

+```

+# yum -y install yum-utils

+```

+- 古いカーネルの削除, --count は残す世代数

+```

+# package-cleanup --oldkernels --count 2

+```

+

+- [Yum と Yum リポジトリの設定 - 導入ガイド](https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html-single/Deployment_Guide/index.html#sec-Configuring_Yum_and_Yum_Repositories)

+: installonly_limit=value|value は、installonlypkgs 指示文に表示されている単一のパッケージに同時にインストール可能なバージョンの最大数を表す整数です。<br />デフォルト値は、installonly_limit=3 です。また、この値を低く、特に 2 より下に設定することは推奨されません。

+[[_TOC_]]

+

+[[_TOC_]]

+~~#ls2~~

+

+# インストールのトラブル

+

+## 変なパーティションが作成されてしまって、インストーラが進まない

+~linux rescue で boot し、fdisk コマンドで不要なパーティションを削除する。

+

+# セキュリティ・レベルの設定

+ファイアウォールのオプション/ポートの開放

+```

+vnc:tcp, swat:tcp, netbios-ssn:tcp, netbios-dgm:udp, netbios-ns:udp, ntp:udp, 53:tcp, 53:udp

+```

+SELinux/Samba

+```

+[v] Sambaがユーザーのホームディレクトリを共有することを許可する。

+```

+

+# ポート番号の割り当て

+- [Internet Assigned Numbers Authority](http://www.iana.org/)

+ - [Well Known Ports](http://www.iana.org/assignments/port-numbers)

+ - [MIME Media Types](http://www.iana.org/assignments/media-types/)

+

+# 不要なポートが開いていないか確認

+- [Sygate Online Services](http://scan.sygate.com/)

+

+# 回線速度測定

+- [BBエキサイト スピードテスト](http://speedtest.excite.co.jp/) (Flash)

+- [通信速度測定システム Radish Network Speed Testing](http://netspeed.studio-radish.com/) (Java)

+

+# オープンリゾルバ確認

+- [オープンリゾルバ確認サイト](http://www.openresolver.jp/)

+- [コマンドラインからの確認方法](https://www.jpcert.or.jp/pr/2013/pr130002.html#cli)

+```

+$ wget -qO - http://www.openresolver.jp/cli/check.html

+```

+

+# ディストリビューション名/バージョンの確認

+- コマンドラインから次のコマンドをタイプ。

+```

+$ cat /etc/issue

+```

+- また、/etc/ 下に「(ディストリビューション名)-release」というファイルがあるのでこちらを cat しても良い。

+```

+$ cat /etc/redhat-release

+$ cat /etc/fedora-release

+```

+- [インストールした Linux ディストリビューション名とバージョンを確認するには](http://d.hatena.ne.jp/PRiMENON/20080119/1200750903)

+

+# カーネルバージョンの確認

+- コマンドラインから次のコマンドをタイプ

+```

+$ uname -a

+```

+

+# 電源遮断

+- poweroff コマンドまたは shutdown コマンドを使う。

+```

+# poweroff

+# shutdown -h now

+```

+- shutdown コマンドの -h オプションを付けないと、シングルユーザモードになるだけで電源は切れない。

+[[_TOC_]]

+----

+# 言語設定

+- /etc/sysconfig/i18n

+```

+LANG="ja_JP.UTF-8"

+SYSFONT="latarcyrheb-sun16"

+SUPPORTED="ja_JP.UTF-8:ja_JP:ja"

+```

+- &#x7e;/.bashrc に追加

+```

+export LANG=ja_JP.UTF-8

+```

+- 日本語サポートパッケージ追加

+```

+# yum groupinstall "Japanese Support"

+```

+

+# IPv6 無効化

+1. /etc/sysctl.conf に追加。

+```

+net.ipv6.conf.all.disable_ipv6 = 1

+net.ipv6.conf.default.disable_ipv6 = 1

+```

+1. /etc/sysconfig/network に以下を追加。

+```

+NETWORKING_IPV6=no

+```

+1. /etc/modprobe.d/disable-ipv6.conf を新規作成。

+```

+options ipv6 disable=1

+```

+1. OS から再起動。

+ - 「service network restart」では反映されない。

+

+- [How do I disable IPv6?](http://wiki.centos.org/FAQ/CentOS6#head-d47139912868bcb9d754441ecb6a8a10d41781df) @ [Questions about CentOS 6](http://wiki.centos.org/FAQ/CentOS6)

+- [CentOS 6でIPv6を無効にするには « smilemark blog](http://www.smilemark.net/blog/archives/2011/08/disable-ipv6-centos6.php)

+

+## Postfix エラー対応

+- /etc/postfix/main.cf 修正。(all だと IPv4,IPv6 の両方を有効にしようとするので、IPv4 のみ有効にする)

+```

+#inet_protocols = all

+inet_protocols = ipv4

+```

+

+- [Postfix IPv6 Support - Configuration](http://www.postfix.org/IPV6_README.html#configuration)

+- [Postfix IPv6サポート - 設定](http://www.postfix-jp.info/trans-2.3/jhtml/IPV6_README.html#configuration)

+

+## Dovecot 起動失敗対応

+- /etc/dovecot/dovecot.conf に追加。(IPv4のみ有効)

+```

+listen = *

+```

+

+# スケルトン設定

+- ssh

+```

+# mkdir /etc/skel/.ssh

+# chmod 700 /etc/skel/.ssh

+```

+- ftp

+```

+# mkdir /etc/skel/etc

+# cp /etc/localtime /etc/skel/etc/

+```

+- dovecot

+```

+# mkdir -p /etc/skel/Maildir/{new,cur,tmp}

+# chmod -R 700 /etc/skel/Maildir/

+```

+

+# ssh

+- 公開鍵, 秘密鍵作成 (該当ユーザとして作業する)

+```

+# su anyone

+$ cd ~/.ssh/

+$ ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

+Enter file in which to save the key (/home/anyone/.ssh/id_dsa): [Enter](変更なし)

+Enter passphrase (empty for no passphrase): <パスフレーズ>を入力

+Enter same passphrase again: <パスフレーズ>確認

+...

+$ ls -l (id_dsa, id_dsa.pub の２つができていることを確認)

+$ mv id_dsa.pub authorized_keys

+$ cat id_dsa (秘密鍵をローカルに保存するため表示)

+$ rm id_dsa (TeraTerm等でログインできることを確認した後削除)

+$ exit

+```

+

+# ブートメッセージ表示

+- /etc/grub.conf<br />

+「kernel」行の中の「rhgb quiet」を削除すると、ブート時にメッセージが表示されるようになる。

+

+# プロキシ設定

+- [プロキシ下でLinuxを使う際のメモ](http://lambdalisue.hatenablog.com/entry/2013/06/25/140630) @ [Λlisue's blog](http://lambdalisue.hatenablog.com/)

+- [CentOSでのproxy設定](https://sites.google.com/site/mine1868/Home/centos/centosde-no-proxysettei) @ [明鏡止水のメモ](https://sites.google.com/site/mine1868/)

+

+# postfix

+

+## リレー設定

+- /etc/postfix/isp_passwd

+```

+[mail.example.com] isp_acount:isp_password

+```

+- パスワードDB作成

+```

+# postmap /etc/postfix/isp_passwd

+```

+- /etc/postfix/main.cf

+```

+relayhost = [mail.example.com]

+smtp_sasl_auth_enable = yes

+smtp_sasl_password_maps = hash:/etc/postfix/isp_passwd

+smtp_sasl_security_options = noanonymous

+smtp_sasl_mechanism_filter = plain, login

+```

+

+- [OP25B対策(Outbound Port 25 Blocking対策)](http://www.aconus.com/~oyaji/mail2/op25b.htm) @ [パ ソコンおやじ](http://www.aconus.com/~oyaji/)

+

+# ディスプレイ設定

+

+## Out of Range

+- CPU切替器(KVM)は高解像度に対応しているのにモニタがその解像度に対応していないため、「Out of Range」となり画面が映らない場合、Xorgでモニタの対応周波数を指定する。ブート途中は画面が映らないが、Xorg 起動後は正常に表示される。

+

+1. /etc/inittab を編集し、Run Level を 5 から 3 に変更。

+1. Reboot

+1. xorg.conf の雛形を作成。

+```

+# Xorg -configure

+```

+1. 雛形を既定のディレクトリへ移動

+```

+# mv /root/xorg.conf.new /etc/X11/xorg.conf

+```

+1. SELinux が有効の場合はラベルし直し

+```

+# restorecon -v /etc/X11/xorg.conf

+```

+1. /etc/X11/xorg.conf の Section "Monitor" にモニタがサポートしている走査周波数(水平/垂直)を追加する。

+```

+Section "Monitor"

+ Identifier "Monitor0"

+ VendorName "Monitor Vendor"

+ ModelName "Monitor Model"

+ HorizSync 40-70

+ VertRefresh 48-85

+EndSection

+```

+1. /etc/X11/xorg.conf の SubSection "Display" にモニタがサポートしている解像度を追加する。

+```

+Section "Screen"

+ Identifier "Screen0"

+ Device "Card0"

+ Monitor "Monitor0"

+ SubSection "Display"

+ Viewport 0 0

+ Depth 1

+ EndSubSection

+(中略)

+ SubSection "Display"

+ Viewport 0 0

+ Depth 16

+ Modes "1280x1024" "1024x768" "800x600"

+ EndSubSection

+ SubSection "Display"

+ Viewport 0 0

+ Depth 24

+ Modes "1280x1024" "1024x768" "800x600"

+ EndSubSection

+EndSection

+```

+1. /etc/inittab を編集し、Run Level を 3 から 5 に戻す。

+1. Reboot

+

+## nouveau ドライバ障害

+- 共有ライブラリが正しくインストールされず、X の画面が映らない。

+```

+# grep "(EE)" /var/log/Xorg.0.log

+(EE) AIGLX error: dlopen of /usr/lib64/dri/nouveau_dri.so failed (/usr/lib64/dri/nouveau_dri.so: cannot open shared object file: No such file or directory)

+(EE) AIGLX: reverting to software rendering

+```

+- nouveau ドライバをアンインストールし、ELRepo から nVidia ドライバをインストールする。

+```

+# yum erase xorg-x11-drv-nouveau

+# yum install nvidia-detect

+# yum install $(nvidia-detect)

+```

+- 上記「Out of Range」と同様に xorg.conf を更新する。<br />

+「Section "Device"」の「Driver "nv"」が「Driver "nvidia"」になっていれば成功。

+- /etc/modprobe.d/blacklist.conf に「blacklist nouveau」を追加する必要があるかも。

+

+# SELinux

+- [[Linux/SELinux]]参照。

+

+# リポジトリ追加

+- yum-plugin-priorities のインストール

+```

+# yum -y install yum-plugin-priorities

+```

+- /etc/yum.repos.d/CentOS-Base.repo<br />

+標準リポジトリを優先するため、「priority=1」を追加。

+```

+[base]

+name=CentOS-$releasever - Base

+mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os

+#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/

+gpgcheck=1

+gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-6

+priority=1

+

+#released updates

+[updates]

+name=CentOS-$releasever - Updates

+mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates

+#baseurl=http://mirror.centos.org/centos/$releasever/updates/$basearch/

+gpgcheck=1

+gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-6

+priority=1

+

+#additional packages that may be useful

+[extras]

+name=CentOS-$releasever - Extras

+mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras

+#baseurl=http://mirror.centos.org/centos/$releasever/extras/$basearch/

+gpgcheck=1

+gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-6

+priority=1

+```

+- EPELリポジトリのインストール<br />

+最新版を確認すること。<br />

+http://ftp.riken.jp/Linux/fedora/epel/6/x86_64/

+```

+# rpm -ivh http://ftp.riken.jp/Linux/fedora/epel/6/x86_64/epel-release-6-8.noarch.rpm

+# yum -y update epel-release

+```

+- RPMforgeリポジトリのインストール<br />

+最新版を確認すること。<br />

+http://pkgs.repoforge.org/rpmforge-release/

+```

+# rpm -ivh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el6.rf.x86_64.rpm

+# yum -y update rpmforge-release

+```

+- Adobe リポジトリのインストール

+```

+# rpm -ivh http://linuxdownload.adobe.com/adobe-release/adobe-release-x86_64-1.0-1.noarch.rpm

+# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-adobe-linux

+```

+ - Flash Player のインストール

+```

+# yum install flash-plugin nspluginwrapper alsa-plugins-pulseaudio libcurl

+```

+- ELRepo のインストール<br />

+http://elrepo.org/

+```

+# rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

+# rpm -Uvh http://www.elrepo.org/elrepo-release-6-6.el6.elrepo.noarch.rpm

+```

+ - nVidia ドライバの検出とインストール<br />

+[nvidia-detect](http://elrepo.org/tiki/nvidia-detect)

+```

+# yum install nvidia-detect

+# yum install $(nvidia-detect)

+```

+

+- [EPELリポジトリ導入(EPEL) - CentOSで自宅サーバー構築](http://centossrv.com/epel.shtml)

+- [RPMforgeリポジトリ導入(RPMforge) - CentOSで自宅サーバー構築](http://centossrv.com/rpmforge.shtml)

+- [Adobe Flash Player 11.2 on Fedora 19/18, CentOS/RHEL 6.4/5.9](http://www.if-not-true-then-false.com/2010/install-adobe-flash-player-10-on-fedora-centos-red-hat-rhel/)

+

+# fail2ban

+- インストール (epel リポジトリ)

+```

+# yum install fail2ban jwhois

+```

+- /etc/fail2ban/jail.conf<br />

+「example.com」を自ドメインに変更。

+```

+vi で一括置換

+:%s/you@example\.com/root@TakeAsh.net/g

+:%s/example\.com/svr1.TakeAsh.net/g

+```

+必要なら ssh 以外についても「enabled = true」にする。

+```

+[ssh-iptables]

+enabled = true

+filter = sshd

+action = iptables[name=SSH, port=ssh, protocol=tcp]

+ sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]

+logpath = /var/log/secure

+maxretry = 5

+```

+「アクセス禁止時間」は「bantime」で指定。(秒単位)

+```

+# "bantime" is the number of seconds that a host is banned.

+bantime = 3600

+```

+- サービス設定

+```

+# chkconfig --list fail2ban

+# chkconfig fail2ban on

+# chkconfig --list fail2ban

+# service fail2ban start

+```

+

+# tripwire

+## インストール (EPELリポジトリ)

+```

+# yum install tripwire

+# tripwire-setup-keyfiles

+```

+

+## Suckit誤検知

+- エラーメッセージ

+```

+for Suckit rootkit... Warning: /sbin/init INFECTED

+```

+- 原因<br />

+upstart パッケージの更新により、/sbin/init のメモリマップに「(deleted)」が付加される。

+- 改竄されていないことの確認<br />

+下記を実行して何も表示されなければ、パッケージと実行ファイルとの差は無い。

+```

+# rpm -V `rpm -qf /sbin/init`

+```

+- /usr/lib64/chkrootkit-0.49/chkrootkit

+```

+--- chkrootkit.2014-02-26 2014-02-26 02:51:45.000000000 +0900

++++ chkrootkit_Suckit_patched 2014-03-18 09:21:41.458943399 +0900

+@@ -983,7 +983,10 @@

+ if [ ${SYSTEM} != "HP-UX" ] && ( ${strings} ${ROOTDIR}sbin/init | ${egrep} HOME || \

+ cat ${ROOTDIR}/proc/1/maps | ${egrep} "init." ) >/dev/null 2>&1

+ then

+- echo "Warning: ${ROOTDIR}sbin/init INFECTED"

++ if ! rpm -V `rpm -qf /sbin/init` >/dev/null 2>&1;

++ then

++ echo "Warning: ${ROOTDIR}sbin/init INFECTED"

++ fi

+ else

+ if [ -d ${ROOTDIR}/dev/.golf ]; then

+ echo "Warning: Suspect directory ${ROOTDIR}dev/.golf"

+```

+- [chkrootkit のSuckit誤検知の修正](http://vogel.at.webry.info/201306/article_22.html) @ [パソコン鳥のブログ](http://vogel.at.webry.info/)

+

+# vsftpd

+- vsftpd は chroot 下では、シンボリックリンクを辿れない。

+- 「mount --bind」なら chroot 下でも動作する(rebootすると設定が失われる)。

+```

+# mount --bind /var/www/html/somefolder /home/user1/somefolder

+```

+- /etc/fstab で設定すると、reboot しても設定が失われない。

+```

+/var/www/html/somefolder /home/user1/somefolder none bind 0 0

+```

+

+- [vsftpdのログに日本語を表示するKIYO* to Works - KIYO* to Works](http://www.k2w.jp/expression-japanese-on-log-of-vsftpd/)

+

+# lftp

+- FTP client

+- インストール

+```

+# yum install lftp

+```

+

+- [LFTP - sophisticated file transfer program](https://lftp.yar.ru/)

+

+# ClamAV

+- [アンチウィルスソフト導入(Clam AntiVirus)](http://centossrv.com/clamav.shtml) @ [CentOSで自宅サーバー構築](http://centossrv.com/)

+- [clamscanのオプション](http://clamav-jp.sourceforge.jp/jdoc/clamav.html#c4.1.1) @ [Clam Antivirusに関するメモ](http://clamav-jp.sourceforge.jp/jdoc/clamav.html)

+- 検出した感染ファイルを削除ではなく隔離するには、「--remove」ではなく「--move=DIRECTORY」オプションを使用する。

+- ログファイルから検出と隔離の両方を grep する。

+ - /etc/cron.daily/clamscan

+```

+grep -e "FOUND$" -e "moved to '[^']\+'$" $CLAMSCANTMP

+```

+

+- 隔離されたファイルを元の場所に戻す bash スクリプトを出力する perl スクリプト<br />

+ファイルのオーナーは root に変わっちゃってるけど、これはどうしたもんか。<br />

+[letUnjail.zip](letUnjail.zip)

+```perl

+#!/usr/bin/perl

+# ClamAV で隔離されたファイルを元に戻す bash スクリプトを出力する。

+

+use strict;

+use warnings;

+use utf8;

+use Encode;

+

+my $charsetConsole = 'UTF-8';

+#my $charsetConsole = 'CP932';

+my $charsetFile = 'UTF-8';

+

+binmode( STDIN, ":encoding($charsetConsole)" );

+binmode( STDOUT, ":encoding($charsetConsole)" );

+binmode( STDERR, ":encoding($charsetConsole)" );

+

+my $fileNameIn = shift or die("usage: letUnjail.pl <jail.log>\n");

+my $fileNameOut = 'unjail.sh';

+

+open( my $fhIn, '<', $fileNameIn ) or die( "$fileNameIn: $!\n" );

+binmode( $fhIn, ":encoding($charsetFile)" );

+

+open( my $fhOut, '>', $fileNameOut ) or die( "$fileNameOut: $!\n" );

+binmode( $fhOut, ":encoding($charsetFile)" );

+print $fhOut "#!/bin/bash\n\n";

+

+my %virusNames = ();

+while( my $line = <$fhIn> ){

+ if ( $line =~ m{^([\s\S]+):\s([\s\S]+)\sFOUND\s*$} ){

+ $virusNames{$1} = $2;

+ } elsif ( $line =~ m{^([\s\S]+):\smoved\sto\s'([\s\S]+)'\s*$} ){

+ if ( my $virusName = $virusNames{$1} ){

+ print $fhOut "# $virusName\n";

+ }

+ print $fhOut "mv -v '$2' '$1'\n";

+ }

+}

+

+close( $fhIn );

+close( $fhOut );

+

+chmod( 0700, $fileNameOut );

+

+# EOF

+```

+

+- データベースとログのオーナが一致していないと正常に更新されない。

+ - エラーメッセージ

+ - その1

+```

+/etc/cron.daily/clamscan:

+

+ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

+/etc/cron.daily/freshclam:

+

+ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

+ERROR: Can't open /var/log/clamav/freshclam.log in append mode (check permissions!).

+```

+ - その2

+```

+No updates detected in the log for the freshclam daemon (the ClamAV update process).

+If the freshclam daemon is not running, you may need to restart it.

+Other options:

+

+A. If you no longer wish to run freshclam, deleting the log file

+ (default is freshclam.log) will suppress this error message.

+

+B. If you use a different log file, update the appropriate configuration file.

+ For example:

+ echo "LogFile = log_file" >> /etc/logwatch/conf/logfiles/clam-update.conf

+ where log_file is the filename of the freshclam log file.

+

+C. If you are logging using syslog, you need to indicate that your log file uses the syslog format.

+ For example:

+ echo "*OnlyService = freshclam" >> /etc/logwatch/conf/logfiles/clam-update.conf

+ echo "*RemoveHeaders" >> /etc/logwatch/conf/logfiles/clam-update.conf

+```

+ - その3

+```

+Clamd was NOT notified: Can't connect to clamd through /var/run/clamav/clamd.sock

+LOCAL: Socket file /var/run/clamav/clamd.sock could not be bound: Permission denied

+Can't unlink the socket file /var/run/clamav/clamd.sock

+LOCAL: Socket file /var/run/clamav/clamd.sock could not be removed: Permission denied

+```

+ - /etc/clamd.conf

+```

+User clamav

+```

+ - /etc/freshclam.conf

+```

+DatabaseOwner clamav

+```

+ - /etc/logrotate.d/clamav

+```

+create 644 clamav clamav

+```

+ - /etc/logrotate.d/freshclam

+```

+create 644 clamav clamav

+```

+ - /var/clamav/ <br />

+/var/lib/clamav/ <br />

+/var/log/clamav/ <br />

+/var/run/clamav/

+| owner | clamav |

+| --- | --- |

+| group | clamav |

+ - &#x7e;/fixClamavOwner.sh

+```bash

+#!/bin/bash

+chown clamav. -R /var/clamav/ /var/lib/clamav/ /var/log/clamav/ /var/run/clamav/

+```

+

+# 追加パッケージ

+## ベース, 開発環境

+```

+# yum -y groupinstall "Base" "Development tools"

+```

+

+## Perl/CGI

+```

+# yum install gcc gcc-cpp gcc-c++

+# yum install openssl-devel mysql-devel expat-devel

+# yum install perl-YAML-Syck perl-libwww-perl perl-CPAN mod_perl

+```

+

+## FontForge

+- [FontForge](http://sourceforge.net/projects/fontforge/)

+- FontForge 自体は yum でインストール可能だがバージョンが古い。

+- ソースから configure する際、X11 の開発環境がないと警告が表示される。

+```

+# tar jxvf fontforge_*.tar.bz2

+# cd fontforge-

+# ./configure

+...

+*******************************************************************

+* This version of fontforge will only run scripts. No X libraries *

+* (or X include files or some such) were found so there is NO user*

+* interface!!!!! If you want a UI try installing X11 on your *

+* system. *

+* Caveat: You will probably need to install two packages, the *

+* base X11 package and the developer SDK package *

+*******************************************************************

+```

+- GUI有りでコンパイルするには X11 の開発環境をインストールする。

+```

+# yum install libX11-devel libICE-devel libSM-devel libXi-devel freetype-devel libxml2-devel gettext-devel

+# yum install gcc-gfortran python-devel libpng-devel libjpeg-devel libtiff-devel libspiro-devel

+```

+- コンパイル & インストール

+```

+# ./configure

+# make

+# make install

+```

+- [cidmaps.tgz](http://fontforge.sourceforge.net/cidmaps.tgz)をダウンロードしインストールする。

+```

+# cd /usr/local/share/fontforge/

+# wget http://fontforge.sourceforge.net/cidmaps.tgz

+# tar xzvf cidmaps.tgz

+```

+- serif フォントのインストール

+```

+# yum install liberation-serif-fonts

+```

+- gnome メニューに追加<br />

+/usr/share/applications/fontforge.desktop

+```

+[Desktop Entry]

+Name=FontForge

+Comment=An outline font editor

+Exec=fontforge

+Icon=fontforge

+Terminal=false

+Type=Application

+Categories=Application;Graphics;X-Fedora;

+Encoding=UTF-8

+MimeType=application/vnd.font-fontforge-sfd;

+X-Desktop-File-Install-Version=0.15

+```

+ - [＠IT：GNOMEメニューを編集するための基礎知識](http://www.atmarkit.co.jp/flinux/rensai/linuxtips/714gnomemenu.html)

+

+# logwatch

+## インストール

+```

+# yum install logwatch

+```

+- [logwatchのインストール](http://ja.528p.com/linux/centos6/SN006-logwatch.html)

+

+## メールの文字化け対応

+- /usr/share/logwatch/scripts/logwatch.pl

+```

+--- logwatch_1.pl 2012-05-10 21:13:58.150740082 +0900

++++ logwatch.pl 2012-05-10 21:15:29.666734718 +0900

+@@ -1050,12 +1050,12 @@

+ if ( $Config{encode} == 1 ) {

+ $out_mime .= "Content-transfer-encoding: base64\n";

+ } else {

+- $out_mime .= "Content-Transfer-Encoding: 7bit\n";

++ $out_mime .= "Content-Transfer-Encoding: 8bit\n";

+ }

+ if ( $outtype_html ) {

+- $out_mime .= "Content-Type: text/html; charset=\"iso-8859-1\"\n\n";

++ $out_mime .= "Content-Type: text/html; charset=\"utf-8\"\n\n";

+ } else {

+- $out_mime .= "Content-Type: text/plain; charset=\"iso-8859-1\"\n\n";

++ $out_mime .= "Content-Type: text/plain; charset=\"utf-8\"\n\n";

+ }

+

+ if (($Config{'splithosts'} eq 1) && ($Config{'multiemail'} eq 0)) {

+```

+

+## sendmail 失敗

+- エラーメッセージ

+```

+Can't exec "sendmail": No such file or directory at /usr/sbin/logwatch line 1040, <TESTFILE> line 2.

+Can't execute sendmail -t: No such file or directory

+```

+- /etc/logwatch/conf/logwatch.conf

+```

+mailer = "/usr/sbin/sendmail -t"

+```

+- [へっぽこサーバ管理もろもろ: Can't exec "sendmail" - logwatchで](http://serverkanri.blogspot.jp/2011/05/cant-exec-sendmail-logwatch.html)

+

+# Log Rotate

+## duplicate log entry

+- エラーメッセージ

+```

+/etc/cron.daily/logrotate:

+error: freshclam duplicate log entry for /var/log/clamav/freshclam.log

+error: found error in /var/log/clamav/freshclam.log , skipping

+```

+- /etc/logrotate.d/ 内で複数の設定から同一のログファイルを更新しようとしている。別ファイルに割り当てるように変更する。

+

+# vnc

+- [[Linux/VNC]] へ移動。

+

+# GNOME

+

+## キーボード設定

+- キーボードを英語設定から日本語設定に切り替えられない。

+- /home/(ユーザ名)/.gconf/desktop/gnome/peripherals/keyboard/kbd/%gconf.xml <br />

+「model」の値を「pc105」から「jp106」に設定する。

+

+# 自動起動するアプリ

+- 「自動起動するアプリの設定」で「PackageKit 更新アプレット」にチェックが入っていると、GDMからログインする毎に root パスワードを求められるのでチェックを外す。

+- 「システム - 設定 - 自動起動するアプリ - PackageKit 更新アプレット」

+

+# BIND

+## root hint 更新スクリプト

+- /etc/cron.monthly/named.root_update

+```bash

+#!/bin/bash

+

+new=`mktemp`

+errors=`mktemp`

+roothint=/var/named/chroot/var/named/named.ca

+

+dig . ns @198.41.0.4 +bufsize=1024 > $new 2> $errors

+

+if [ $? -eq 0 ]; then

+ sort_new=`mktemp`

+ sort_old=`mktemp`

+ diff_out=`mktemp`

+ sort $new > $sort_new

+ sort $roothint > $sort_old

+ diff -u --ignore-matching-lines=^\; $sort_old $sort_new > $diff_out

+ if [ $? -ne 0 ]; then

+ (

+ echo '-------------------- old named.root --------------------'

+ cat $roothint

+ echo '-------------------- new named.root --------------------'

+ cat $new

+ echo '---------------------- difference ----------------------'

+ cat $diff_out

+ ) | mail -s 'named.root updated' root

+ cp -f $new $roothint

+ chown named. $roothint

+ chmod 644 $roothint

+ service named restart > /dev/null

+ fi

+ rm -f $sort_new $sort_old $diff_out

+else

+ cat $errors | mail -s 'named.root update check error' root

+fi

+rm -f $new $errors

+```

+- [DNSサーバー構築(BIND)](http://centossrv.com/bind.shtml)との差

+ - root hint のパスを変数化。

+ - diff を unified 形式に、From と To を入れ替え。

+ - service コマンド。

+

+## ゾーン転送

+- /var/named/chroot/etc/named.conf

+ - 許可

+```

+allow-transfer {

+ host1;

+ host2;

+};

+```

+ - 禁止

+```

+allow-transfer { none; };

+```

+

+- ゾーン転送動作確認(slave側で読み込めるかどうか確認する)

+ - Linuxの場合

+```

+# dig @<masterのホスト名> <確認したいドメイン名> axfr

+```

+ - Windowsの場合

+```

+> nslookup

+> server <masterのホスト名>

+> ls -d <確認したいドメイン名>

+```

+

+## 監視スクリプト

+- named デーモンを監視し、必要ならば再起動する。

+ - bind ソースに含まれる nanny.pl を使用する。

+ - [nanny_tak.zip](nanny_tak.zip) 再起動時に root 宛にメールする機能を追加。

+

+## エラー対応

+- 外部ドメインの名前解決できない場合の対策(検索結果のキャッシュに失敗している)

+ - SELinuxの「Allow BIND to write the master zone files. Generally this is used for dynamic DNS.(named_write_master_zones)」にチェックを入れる。

+```

+# setsebool -P named_write_master_zones 1

+```

+- 「named: the working directory is not writable」対応

+```

+# chmod 770 /var/named/chroot/var/named

+```

+

+- dnssec エラー対応

+```

+dlv.isc.org SOA: no valid signature found

+dlv.isc.org SOA: got insecure response; parent indicates it should be secure

+```

+ - 原因: forwarders で指定した DNS が dnssec に対応していない。

+ - 確認: dig コマンドを実行し、ANSWER SECTION に RRSIG レコードが含まれていることを確認する。

+```

+# dig +dnssec dlv.isc.org @(DNSのIPアドレス)

+```

+&#x20;

+```

+# dig +dnssec dlv.isc.org @8.8.8.8

+(省略)

+;; ANSWER SECTION:

+dlv.isc.org. 102 IN A 149.20.16.8

+dlv.isc.org. 102 IN RRSIG A 5 3 300 2012...

+(省略)

+```

+ - 対策: forwarders には [Google Public DNS](http://code.google.com/intl/ja/speed/public-dns/) など dnssec に対応した DNS のみを指定する。

+

+- empty zones 警告対応

+```

+Warning: view LAN: 'empty-zones-enable/disable-empty-zone' not set: disabling RFC 1918 empty zones: 1 Time(s)

+```

+ - 原因: empty-zones-enable が指定されていない。

+ - 対策: empty-zones-enable を追加。

+```

+empty-zones-enable yes;

+```

+ - [Automatic empty zones (including RFC 1918 prefixes) - Internet Systems Consortium Knowledge Base](https://deepthought.isc.org/article/AA-00800/0/Automatic-empty-zones-including-RFC-1918-prefixes.html)

+

+## リンク

+- [DNSサーバー構築(BIND)](http://centossrv.com/bind.shtml) @ [CentOSで自宅サーバー構築](http://centossrv.com/)

+- [実用 BIND 9で作るDNSサーバ](http://www.atmarkit.co.jp/flinux/index/indexfiles/index-linux.html#bind9)

+- [Internet Systems Consortium](http://www.isc.org/)

+- [オープンリゾルバ確認サイト](http://www.openresolver.jp/)

+ - [オープンリゾルバ確認サイト公開のお知らせ](https://www.jpcert.or.jp/pr/2013/pr130002.html)

+

+# OpenVPN

+## Bonding

+- 複数の NIC で冗長化を行っている状態で proto udp を指定すると「Replay-window backtrack occurred [x]」が大量に発生し接続が切れてしまう。

+ - ボンディングモードを「0(round-robin)」ではなく「6(Active Load Balancing)」に変更する。

+- [[NICの冗長化>Linux/NIC_Bonding]]

+

+## Tunneling

+- OpenVPN パッケージに更新があった場合は、トンネル設定を再度行う必要がある。

+ - /etc/rc.d/init.d/openvpn<br />

+行頭の # を削除し、有効化する。

+```

+echo 1 > /proc/sys/net/ipv4/ip_forward

+```

+

+- 仮想ネットワーク上のパケットを VPN サーバに転送するために

+ - スタティックルーティングを設定する必要がある。

+| 宛先IPアドレス | 10.8.0.0/24 |

+| --- | --- |

+| ゲートウェイ | VPN サーバの IP アドレス |

+ - ファイアウォールで、同一インターフェース内のパケット転送を許可しなければならない場合がある。<br />

+例) VPN サーバが DMZ に配置されている場合

+| アクション | 許可 |

+| --- | --- |

+| 受信インターフェース | DMZ |

+| 送信インターフェース | DMZ |

+| 送信元IPアドレス | すべて |

+| 宛先IPアドレス | すべて |

+| プロトコル | 全て |

+| ポート | 全て |

+

+# Apache

+- [[Linux/Apache]]へ移動。

+[[_TOC_]]

+

+# ホスト名設定

+- hostnamectl コマンドで設定する。

+```

+# hostnamectl set-hostname <ホスト名>

+```

+

+# ネットワーク設定

+- nmtui/nmcli コマンドで設定する。

+- デバイス確認

+```

+# nmcli dev

+```

+- デバイス詳細確認

+```

+# nmcli dev show <デバイス名>

+```

+- 接続確認

+```

+# nmcli con

+```

+- 接続詳細確認

+```

+# nmcli con show <接続名>

+```

+

+# パッケージ管理システム更新

+- インストール

+```

+# yum -y update

+# yum -y install yum-cron

+```

+- /etc/yum/yum-cron.conf

+```

+#apply_updates = no

+apply_updates = yes

+```

+- サービス起動 & 自動起動サービス登録

+```

+# systemctl start yum-cron

+# systemctl enable yum-cron

+```

+

+# リポジトリ追加

+- [EPEL](https://fedoraproject.org/wiki/EPEL/ja) の追加。<br />

+libmp4v2(mp4tags)

+```

+# yum install epel-release

+```

+

+- [Software Collections](https://www.softwarecollections.org/)<br />

+https://wiki.centos.org/SpecialInterestGroup/SCLo <br />

+プライオリティ=10 に設定

+```

+# yum install centos-release-scl centos-release-scl-rh

+# sed -i -e "s/\]$/\]\npriority=10/g" /etc/yum.repos.d/CentOS-SCLo-scl.repo

+# sed -i -e "s/\]$/\]\npriority=10/g" /etc/yum.repos.d/CentOS-SCLo-scl-rh.repo

+```

+

+- [CentOS 7 : 初期設定 : リポジトリ追加 ： Server World](https://www.server-world.info/query?os=CentOS_7&p=initial_conf&f=6)

+

+- [Nux Dextop](http://li.nux.ro/repos.html)<br />