Linux 一覧

さるお客様の、VPN環境を構築することになったのですが、お金の問題で、ルータを入れるとかはなしで、いう話になりました。

 

そこで、お客様のところに、使っていないWindowsVistaのPCがあったため、それにSoftetherVPNを入れて、設定することにしました。

 

今回のお客様は、拠点が少なく、拠点のPCの台数も少ない為に、これで十分と判断しました。

 

ただ、結構時間がたっている機器なので、Vistaで動かすと重たい・・・・・・ そこで、CentOSを入れて、そこにSoftetherVPNServerのソフトを入れて、各拠点からVPNを張れるように設定しました。

 

L3での接続も今回はしなかったため、結構すんなり各拠点がつながり、本社側のサーバとのアクセスも良好でした。よかった!

 

これから、金額的に難しく、PC台数が少ないお客様は、SoftetherVPNでの接続を提案していこうと思います。

 

 

やっと、CentOS7を触りましたが、ネットワーク設定からすっかりやり方が変わってしまいました。

 

しまった!! 全然知らなかった~~~ 乗り遅れた~~ 今のRedHatもそうみたいです(Redhatなんて、この3年ぐらい設定する機会はないですけど・・・・)

 

イカンな~~ 去年から結構みなマニュアルを出してくれているのに、全然しらなかった~~ 恥ずかしい(>_<)

 

 

CentOS7はネットワークひとつとっても、/etc/sysconfig/network-scripts/ifcfg-ethXXX って所を変更するのが非推奨になっているそうです。GUIか、「nmcli」ってコマンドを使った方が良いみたいです。

デバイス一覧を確認したかったら、以下の感じ

[root@localhost ~]# nmcli d
デバイス    タイプ    状態      接続
virbr0      bridge    接続済み  virbr0
enp0s25     ethernet  接続済み  enp0s25
virbr0-nic  tap       接続済み  virbr0-nic
lo          loopback  管理無し  --
wlp6s0      wifi      管理無し  --

 

この時点で、eth0とかじゃないんだ~って初めて気が付く(>_<)

 

本当にまずい・・・・もっとはやく情報をキャッチして、やっていかないと・・・

 

それと、普通にインストールしただけのつもりだけど、TAPが入っている? いつの間に・・・・

 

これは何をしたら入るかこれから調べます。

 

nmcli connection show   接続状態の確認

nmcli device show      各インターフェースの詳細

nmcli device show [インターフェース名]   決めうちで、あるインターフェースの状態が見たい場合

[root@localhost ~]# nmcli connection show
名前        UUID                                  タイプ          デバイス
virbr0-nic  881bbfab-b2b3-47f5-addd-ef9035299634  generic         virbr0-nic
virbr0      0c54539d-6617-484e-8421-e047173179f4  bridge          virbr0
enp0s25     f91146c3-9475-4e11-8fab-48ef5287f254  802-3-ethernet  enp0s25
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]# nmcli device show
GENERAL.デバイス:                       virbr0
GENERAL.タイプ:                         bridge
GENERAL.ハードウェアアドレス:           52:54:00:4F:6B:59
GENERAL.MTU:                            1500
GENERAL.状態:                           100 (接続済み)
GENERAL.接続:                           virbr0
GENERAL.CON パス:                       /org/freedesktop/NetworkManager/ActiveConnection/1
IP4.アドレス[1]:                        192.168.122.1/24
IP4.ゲートウェイ:
IP6.ゲートウェイ:

GENERAL.デバイス:                       enp0s25
GENERAL.タイプ:                         ethernet
GENERAL.ハードウェアアドレス:           00:0D:5E:D3:72:0F
GENERAL.MTU:                            1500
GENERAL.状態:                           100 (接続済み)
GENERAL.接続:                           enp0s25
GENERAL.CON パス:                       /org/freedesktop/NetworkManager/ActiveConnection/0
WIRED-PROPERTIES.キャリア:              オン
IP4.アドレス[1]:                        192.168.1.230/24
IP4.ゲートウェイ:                       192.168.1.254
IP4.DNS[1]:                             192.168.1.200
IP6.アドレス[1]:                        2001:a497:c004:0:20d:5eff:fed3:720f/64
IP6.アドレス[2]:                        fe80::20d:5eff:fed3:720f/64
IP6.ゲートウェイ:                       fe80::225:36ff:fe7c:60eb
IP6.ルート[1]:                          dst = 2001:a497:c004::/64, nh = ::, mt = 100
IP6.DNS[1]:                             2001:a497:c004:0:225:36ff:fe7c:60eb

GENERAL.デバイス:                       virbr0-nic
GENERAL.タイプ:                         tap
GENERAL.ハードウェアアドレス:           52:54:00:4F:6B:59
GENERAL.MTU:                            1500
GENERAL.状態:                           100 (接続済み)
GENERAL.接続:                           virbr0-nic
GENERAL.CON パス:                       /org/freedesktop/NetworkManager/ActiveConnection/2

GENERAL.デバイス:                       lo
GENERAL.タイプ:                         loopback
GENERAL.ハードウェアアドレス:           00:00:00:00:00:00
GENERAL.MTU:                            65536
GENERAL.状態:                           10 (管理無し)
GENERAL.接続:                           --
GENERAL.CON パス:                       --
IP4.アドレス[1]:                        127.0.0.1/8
IP4.ゲートウェイ:
IP6.アドレス[1]:                        ::1/128
IP6.ゲートウェイ:

GENERAL.デバイス:                       wlp6s0
GENERAL.タイプ:                         wifi
GENERAL.ハードウェアアドレス:           00:17:C4:97:9C:D6
GENERAL.MTU:                            1500
GENERAL.状態:                           10 (管理無し)
GENERAL.接続:                           --
GENERAL.CON パス:                       --
IP4.ゲートウェイ:
IP6.ゲートウェイ:
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]# nmcli device show enp0s25
GENERAL.デバイス:                       enp0s25
GENERAL.タイプ:                         ethernet
GENERAL.ハードウェアアドレス:           00:0D:5E:D3:72:0F
GENERAL.MTU:                            1500
GENERAL.状態:                           100 (接続済み)
GENERAL.接続:                           enp0s25
GENERAL.CON パス:                       /org/freedesktop/NetworkManager/ActiveConnection/0
WIRED-PROPERTIES.キャリア:              オン
IP4.アドレス[1]:                        192.168.1.230/24
IP4.ゲートウェイ:                       192.168.1.254
IP4.DNS[1]:                             192.168.1.200
IP6.アドレス[1]:                        2001:a497:c004:0:20d:5eff:fed3:720f/64
IP6.アドレス[2]:                        fe80::20d:5eff:fed3:720f/64
IP6.ゲートウェイ:                       fe80::225:36ff:fe7c:60eb
IP6.ルート[1]:                          dst = 2001:a497:c004::/64, nh = ::, mt = 100
IP6.DNS[1]:                             2001:a497:c004:0:225:36ff:fe7c:60eb

ReadyCloudは、自前のNetgearのNASのデータをネットからアクセスできる便利な機能。

 

NASとReadyCloudのサーバを暗号化で結び、インターネットの別端末も暗号化通信で、Readycloudに接続し、NASのデータを取り出せるというものです。

 

あるお客様のNASをNetgearのNASを使用して、構築した際ですが、アクセス権を厳密にして設定しました。

 

LAN側からは、まったく問題ないのですが、Readycloud越しにアクセスすると、フォルダ、ファイルが見えないとことに遭遇しちゃいました。

 

それで、ふと気づいたのが、ReadyCloudのシステム用のアクセス権をふっていないな~と気づきました。

 

要は、SSL通信を利用して、NASとReadycloudがアクセスするのですが、ReadyCloudからのアクセスを設定してあげないと、見えないのではないかと・・・・・

 

それで、Readycloudで使用するフォルダに、EveryoneのReadonly(読み取りのみ)を設定したら、見えなかったフォルダがちゃんと見えたうえで、ファイルのアップロード等がうまくいきました。

 

これからも、これを使用する機会もあると思うから、気を付けようっと・・・・

NetgearのNASを設定中 3

  • Linux

現在(2014/11)のReadyNASで使えるアプリっていうのがあまり公開されていないみたいですので、一応キャプチャした画像を載せます。

クリックしたら拡大画像が表示されます。

netgear_appl.png

 

アプリの役割、使い方等は、自分で調べてください。(さすがに全部の機能をしらべないし・・・・)。

 

それと、先日書いたスナップショットですが、設定すれば、Windows7からは、右クリックのプロパティで、以前のバージョンをクリックすれば、戻せることを確認しました。(毎時間のスナップショットは 48 時間保持。 毎日のスナップショットは 4 週間保持。毎週のスナップショットは 8 週間保持。毎月のスナップショットは無期限。 2時間毎とか、2日毎とかの細かい設定はできません)

 

 

NetgearのNASを設定中

  • Linux

NETGEARのNASを導入しようと思って、今構築中と、何ができるか確認中ですが、NASでも、ビジネス向けでなくどちらかというと、金額の都合でエンドユーザ向けのReadyNASというタイプで行っています。

 

エンドユーザ向けといっても、結構これはツカエル。というのは、ミラーリング(2台のHDDを同期させる)というのは当たり前としても、iscsiも使えて、スナップショットも使える(といってもスナップショットは、手動でやる必要があるっぽいです。ReadyDateってやつは違うと思いますが・・・・)

 

特筆すべきは、専用アプリ(Linuxで動作するオープンソースの物)が、導入できるってことです。ownCloudっていう、アプリを導入すると、要はWebDavですが、ポートを開けてやれば、インターネットから情報を見ることができるアプリや、Wordpress、MySQL、Radiusサーバ、OpenLDAPそれと、Asterisk(! IP-PBX)も入れれちゃうとってことで結構幅広く使えます。

 

中身がUnix系ってことで考えれば動いて良さそうですが、他の、メーカーで専用のもの以外でインストールできるものを見たことがなかったので、大変興味深い感じです。

 

お客様への納入前にいろいろ試せそうなことは試してみようと思っています。

 

 

追記:DisklessモデルはRAID構成を構築するのに2Tが4時間ぐらいかかります

9/25にニュースにも出ていて、

「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も

 

それで、継続の記事がこんなことも

危なすぎるBashの脆弱性「Shellshock」、深刻な事態になる前に対策を

 

『攻撃者に任意のコマンドの実行を許可してしまうおそれがある。』ってことなんで、大変なことです。今結構 ウェブサーバや、DNSサーバ、メールサーバ等は、Linuxで動いている物が多く、Bashも普通に使っているので、結構やばい話です。

パソコンでもMacは基本Unixなので、Bashが組みこまれています。(コンソール画面でも確認できます)

やばいっていう具体的な内容は、上記にも記述がありましたが、抜粋して

====================

悪用のシナリオとして、現在最も危ないとされているのが、公開用Webサーバーで動かしているCGIスクリプトである。CGIスクリプトはWebブラウ ザーから送信されたパラメータ(Webブラウザーの種類を表す「HTTP_USER_AGENT」など)を環境変数として格納する。このため、CGIスク リプトからbashが呼び出される場合には、環境変数にコマンドを仕込むことで攻撃が可能になる。

===================

 

うわ~~~ 本当にまずい・・・・一応 ネットには公開していない自分のサーバもアップデートは定期的にかけているのですが、手動でアップデートすぐにかけました。

 

ちょっと気になるのが、NASとかは、中身がFreeBSDか、Linux系のはずで、もちろんBashは乗っているのはずです。(中身を公開しているメーカーはあまりないので、わかりませんが・・・ソースを公開してくれてメーカーがいてみたことあるのと、代替Sambaを動作させているところからの想像ですが、ほぼあっているはずです)メーカー側の早急な対応があるのか、気になります。(お客様に迷惑がかかってもいけないので・・・・)

これまた上記からの抜粋ですが

===========================

問題は、ルーターなどのネットワーク機器に組み込まれている場合だ。「サーバー管理ツールなどに知らずに組み込まれていることもある」

===========================

 

NASを導入している人もアップデート情報はこまめにチェックしたほうがよいでしょう

最初に書いた、Linuxのインストール時に、Webサーバの機能をインストールされている前提で、MTをダウンロードしてインストールします。

 

これは、検証用ですので、各ユーザが、自分のディレクトリにインストールという形ではなく、/var/www/MTというディレクトリにインストールします。

/home/以下のユーザディレクトリに入れたい方は、置き換えて記述してください。ユーザ設定は、各ユーザグループにapacheが参加している形で動作すると思います。

 

 

下記のアクセスして、メールアドレスを登録すると、ダウンロードサイトに案内されます。(個人無料版です)

https://www.sixapart.jp/inquiry/movabletype/personal_download.html

 

ダウンロードをしたら、Linuxにダウンロードしたファイルをコピーします。(SCP、FTPで転送しても良いし、USBでコピーしてでもなんでも良いです)

 

ファイルを、root直下に置いたとします。(構築当時は、MTは5.2.3だったので、それで記述します)

[root@hori ~]# unzip MT-5_2_3.zip

[root@hori ~]#mv MT-5_2_3 /var/www/html/MT ←MTフォルダに移動

[root@hori ~]#cd /var/www/html

[root@hori html]#chown -R apache:apache MT/ ←ユーザをapacheに変更

 [root@hori html]# cd MT

[root@hori html]# chmod 755 *.cgi ←拡張子がcgiの権限を755に変更

[root@hori html]# chmod 777 MT ←ブログディレクトリ(ブログを設定するディレクトリ)権限を777に変更

 

 

 

これで、準備は完了で、また、apacheと、MySQLの設定があります。次は、apacheの設定をします。

 

必須ではありませんが、ソフトの管理上CPANモジュールからRPMを作成してくれるcpan2rpmをインストールします。

[root@hori ~]# wget ftp://arix.com/cpan2rpm-2.028-1.noarch.rpm 

                     ↑ダウンロード

[root@hori ~]#rpm -Uvh cpan2rpm-2.028-1.noarch.rpm ←インストール

 

基本的に、Movable Typeをインストールした後に、チェックはできますが、Perlをインストール又は、アップグレードします。(Linuxのインストール時に、パッケージを入れておいた方が把握はしやすいかもしれません)

 

Movable Type5のインストールする為のシステム要件は

Perl

        5.8.1 以上(5.14.x を推奨)

サーバー OS

        Linux、Solaris / Unix、BSD
            nginx + starman + Perl 5.14.x にて動作確認を行っております。
            apache2 Perl 5.8.8 にて動作確認を行っております。
        Mac OS X
        Windows Server 2008(R2)
            2008 R2 + Active Perl 5.14.x にて動作確認を行なっております。
        Windows Server 2012(MT 5.2.2 以上)
            2012 の動作確認環境は Windows Azure + Strawberry Perl で行なっております。
            2012+Strawberry Perl 5.14.x(32bit)にて動作確認を行なっております。Perl は exe 実行となります。

ウェブサーバー

        Apache HTTP Server 2.0 以上
        Microsoft Internet Information Server 7.5 以上
        nginx 1.2.0 以上(CGI もしくは PSGI 実行環境が別途必要となります)

データベース

        MySQL バージョン 5.0 以上

外部 (CPAN) Perl モジュール

    Movable Type は、Perl コミュニティによるオープンソースの土台の上に構築されており、外部の Perl モジュールを利用しています。これらのモジュールは、無料で入手できるオープンソースソフトウェアで Comprehensive Perl Archive Network (CPAN) からダウンロードできます。
Perl モジュール
    Movable Type を実行するには、以下の Perl モジュールが必要です。

        CGI
        Image::Size
        File::Spec (バージョン0.8以上)
        CGI::Cookie
        LWP::UserAgent

    また、データベース モジュールとして以下の Perl モジュールが必要です。

        DBI (バージョン1.21以上)
        DBD::mysql

この、Perlにモジュールを入れてあれば良いのですが、僕自身は、MTがうまく動作しませんでした。そこでmt-check.cgiで、確認しながら、後からモジュールを追加して行きました。

 

短いですが、今日はここまで

 

 

Movable TypeをLinuxで動作させる上で

Perl 5.8.1 以上

ウェブサーバー: Apache
       
データベースサーバ :MySQL バージョン5.0

が必要ですが、Perlで、標準パッケージ以外にも必要なものが多い為、標準リポジトリで提供されないパッケージをyumでインストールできるようにするrpmforgeをインストールします。

 

yumの設定変更

[root@hori ~]yum -y install yum-plugin-priorities

[root@hori ~]vi /etc/yum.repos.d/CentOS-Base.repo

[root@hori ~]# vi /etc/yum.repos.d/CentOS-Base.repo

# CentOS-Base.repo
#
# The mirror system uses the connecting IP address of the client and the
# update status of each mirror to pick mirrors that are updated to and
# geographically close to the client.  You should use this for CentOS updates
# unless you are manually picking other mirrors.
#
# If the mirrorlist= does not work for you, as a fall back you can try the
# remarked out baseurl= line instead.
#
#

[base]
name=CentOS-$releasever - Base
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
priority=1 

#released updates
[updates]
name=CentOS-$releasever - Updates
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates
#baseurl=http://mirror.centos.org/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
priority=1 

#additional packages that may be useful
[extras]
name=CentOS-$releasever - Extras
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo
=updates
#baseurl=http://mirror.centos.org/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
priority=1 

#additional packages that may be useful
[extras]
name=CentOS-$releasever - Extras
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo
=extras
#baseurl=http://mirror.centos.org/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

#additional packages that extend functionality of existing packages
[centosplus]
name=CentOS-$releasever - Plus
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=centosplus
#baseurl=http://mirror.centos.org/centos/$releasever/centosplus/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

#contrib - packages by Centos Users
[contrib]
name=CentOS-$releasever - Contrib
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=contrib
#baseurl=http://mirror.centos.org/centos/$releasever/contrib/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

 

gpgキーをダウンロードして、インポートします

[root@hori ~]# cd /etc/pki/rpm-gpg/
[root@hori rpm-gpg]# wget http://apt.sw.be/RPM-GPG-KEY.dag.txt
[root@hori rpm-gpg]# rpm --import RPM-GPG-KEY.dag.txt

 

Linuxを32bitのマシンに入れた為、32bitのパッケージをインストールします。CentOSのバージョンや時期によって、rpmforgeのバージョンは違いますが、これは、CentOS6の32bitマシンにインストールしようとしているところです。

[root@hori ~]#cd /root

[root@hori ~]# wget http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el6.rf.i686.rpm

[root@hori ~]# yum -y update rpmforge-release

これで、rpmforgeを完了です。

 

 

次は、rpmパッケージにして管理しやすくするために、capn2rpmを入れるやり方を記述します

連載ってわけではないですが、現在自分が、構築したMTとWordpressが動作するLinuxサーバの構築したやり方を書いていこうと思います。

 

間違っていたり、バージョン違いで、やり方が違う方もいるとは思いますが、ご容赦ください。

 

 

まず、Linuxを、パソコンか、サーバ機に入れます。これは、僕は、古いXPのノートパソコンを使用しています。ただ、古い為、Xサーバが起動させず、CUIのみで動作するようにします。

 

まず、CentOSをダウンロードします。(ちなみ僕は、CentOS6.4です)

http://www.centos.org/

 

自分のパソコン、サーバが、32bitでしか動作しないか、64備tで動作するかを確認して、それに合うものをダウンロードします。

 

ちなみは、僕は32bitのISOをダウンロードして、CDに焼きました。(古い機種だったので、DVDがついてないので・・・・)

 

それから、CDを入れて、パソコンを起動させます。その際は、もちろんCDブートの設定をBiosにします。

bios_base.jpg

 

起動後ですが、基本的に画面に従って、設定して行きますが、インストールするパッケージは、サーバ機用の物を選択して、インストールしてしまいました。それと、パッケージをネットから取るようにしたので、相当時間がかかりました。

(webサーバ、MySQLとかが入っていていも良いですが、後から手動でインストールする事も可能なので、特に基本的なものだけを入れて置くでもOKです。)

 

インストール中の画面を取り忘れてしまった申し訳ありませんが、人のサイトで申し訳ありませんが、インストール方法は、ここを参照してください。

http://www.aconus.com/~oyaji/centos/centos_install.htm

 

あ。そうだ。インストール後、SeLinuxってやつは、あくまで検証用なので、動作させないよう設定します。

# vi /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
#SELINUX=enforcing
SELINUX=disable
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

 

赤字の部分をdisableにします。

この次から、色々設定の事を書きますが、もしインストール画面が出てきたら、次回はインストールの画面をお見せします

 

 

このページの上部へ

ネットワーク、パソコン サーバ設定

ネットワーク構築ホリテック

 

紆余曲折しながら、独立して中小企業様向けのネットワーク構築
保守、パソコン サーバ、設定運用管理を行っています。ホームページの作成も行っています

ホームページ

 

facebook

 

icon icon

 

マウスコンピューター/G-Tune マウスコンピューター/G-Tune Microsoft Store (マイクロソフトストア) Microsoft Store (マイクロソフトストア)

サイト内検索

にほんブログ村 IT技術ブログへ
にほんブログ村

にほんブログ村 IT技術ブログ ネットワーク・SEへ
にほんブログ村

最近のピクチャ

  • 検証用ネットワーク.png