|
First |
|
|
|
初めに決めたこと |
|
・ポリシー | |
|
セキュリティを最も重視する。ただし、ユーザーの使用の妨げにならない程度に。 |
|
・どのOSを利用するか | |
|
|
セキュリティ的にはOpenBSDが望ましいかと思われたが、時間的制約及びハードウエア的制約により、却下。 比較的一般的に使用されていて、対応ハードウエアが多く、自分でもよく使っているRedhatを使用。 |
|
・何のサービスを、どのプログラムを用いて公開するか | |
|
|
極力外部に公開しているサービスは少なくする。 今回は遠隔以外の管理方法が困難なためSSHを利用。 本来は分離することが望ましいかもしれないが、金銭的困難のため現在のインターネットサービスの基本である、DNS,MAIL(SMTP),HTTP(Web)を1台で利用。 家のコンピュータ(Windows)からアクセスのため、FTP,POP3を追加。 DNS選択肢 BINDが最も有名だが、ソースが読みにくい上に長く、セキュリティホールも多数見つかっている(そして、今後も見つかりそう)なので却下。 よりセキュリティ問題の少ないと言われているdjbdnsを使用する事に。 より詳細には、ローカルからの検索用にdnscache、外部からの検索用にtinydnsを利用。 MAIL(SMTP)選択肢 sendmailが最も有名。セキュリティホールが多い・設定が難しいという意味でも。 Postfixかqmailかであるが、virtualdomainの設定が容易で、拡張アドレスの利用も容易なqmailにする。 Postfixはsecureとか言いながら、結構セキュリティホールが出てるみたいだし。(一体、qmailってどれくらいアップグレードされてないんだか……) HTTP(Web)選択肢 Apacheが最も有名。一瞬publicfileを使おうかとも考えたが(笑)CGI関連で問題があるのでApacheにする。 1IP,80番ポートでCGIとhttpを両方使おうと思ったとき、かつ、virtualhostを使いたいときに他の選択肢にするのは困難かも。 (自分で作れという意見は除く(^^;) FTP選択肢 wu-ftpdが最も有名。実は最後までwu-ftodに使用かどうか悩んだ。が、2.6.1でも何か変なことが多いので、結局lukemftpdにする事に。 単純に、OpenBSDに標準で付いてくるから、wu-ftpdよりはましかなぁ?という考えで選択。実際の所どうなのでしょう…… ProFTPDはセキュリティホールが結構ありそうなのでパス。 ……下手すると自分で作り始めるかも(笑) POP3選択肢 qpopperが最も有名。でも、qmailではMaildirを使う予定、APOPにも対応する予定なので、ちょっと面倒。あとセキュリティ問題が多い気がする。 checkpasswordを使おうかとも思ったが、login用のパスワードと違うパスワードを使いたいので、却下。 あと、1ユーザーで複数のMaildirが使えるのに、POP3で1つに制限されるのはもったいない……ので、それらの制限のないqm-poppwを利用。 ただ、そのままではRedhatでコンパイルできない(できるかも?)事と、ちょっと気にくわないことがあるのでそれらを変更。 |
|
・ユーザーID(UID)の範囲 | |
|
|
0-499 : システムアカウントとして利用 500-599 : ログインアカウントとして利用 600-999 : サーバープロセス用UIDとして利用 10000-19999 : メール受信ユーザーとして利用 20000-29999 : FTPユーザーとして利用 これ以外 : 利用しない(一時的なユーザーとして利用) |
|
・ユーザーID(UID)とグループID(GID)との関係 | |
|
|
システムアカウントとサーバープロセス用UID以外は、同じ値のGIDで同じ名前を付け、所属させる。 |
[ 2.Redhat 7.1Jのインストール(含むOpenSSH)へ進む | UnixInstallへ戻る | トップページへ戻る ]
