自宅サーバ構築Fedora core4編

01 SSHを鍵交換方式に

Fri, 09 Feb 2007 23:49:19 +0900

SSHの認証方法をパスワード式から鍵交換方式に変更

鍵交換方式のメリット

　SSHの認証方法がパスワード式だと、パスワードを総当たりでアタックしてくるツールもあるようで、万が一ということもあります。また、本人がパスワードを忘れてしまったり、あるいは忘れないようにモニタの横にメモを貼っていたりというセキュリティ上問題なケースもあります。
　そこでより安全な鍵交換方式（公開鍵と秘密鍵を使う方式）に変更します。鍵交換方式はサーバにクライアントPCの公開鍵を登録しておき、クライアントPCの秘密鍵と照合して認証します。パスワードを併用することもできますが（鍵＋パスワード）、後にSCPやRSYNCを用いたほかのサーバへの自動バックアップを設定する時に利便性が高いので、鍵のみ（パスワードなし）の認証方法をとります。

暗号鍵（公開鍵と秘密鍵）の作成

クライアントPCで公開鍵と秘密鍵を作成し、そのうち公開鍵をサーバに登録しておきます。
OSやSSHクライアントソフトによって作成方法が異なりますので、詳しくはお使いのSSHクライアントソフトのマニュアルやヘルプを参照してください。
ここでは例としてLinux(Fedora)での作成方法と、Mac（実は隠れマカーなので）での作成方法を紹介します。Windowsの場合は「windows sshクライアント」でググってお調べください。

Linux(Fedora)での作成方法

下記操作はサーバではなく、クライアント側のLinuxでの操作です。お間違えなく。

cd 　※ホームディレクトリに移動（ルートなら/root）
ssh-keygen -t rsa　※対話的に鍵を作成するコマンド

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): （enter)
Enter passphrase (empty for no passphrase): (enter)　※パスワードなし
Enter same passphrase again: (enter)　※パスワードなし

すると下記のようなメッセージが表示されます。
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is: 69:91:33:f8:8f:1b:8e:25:52:63:ea:cf:52:fe:00:b8 root@client.network.domain

Mac osXでの作成方法

osXはUNIXベースなので上記のLinuxでの方法と同じやり方でできます。アプリケーション/ユーティリティにある「ターミナル.app」を使用します。

cd 　※ホームディレクトリに移動
ssh-keygen -t rsa　※対話的に鍵を作成するコマンド

Generating public/private rsa key pair.
Enter file in which to save the key (/home/fedoraz/.ssh/id_rsa): （enter)
Enter passphrase (empty for no passphrase): (enter)　※パスワードなし
Enter same passphrase again: (enter)　※パスワードなし

すると下記のようなメッセージが表示されます。
Your identification has been saved in /home/fedoraz/.ssh/id_rsa.
Your public key has been saved in /home/fedoraz/.ssh/id_rsa.pub.
The key fingerprint is: 69:91:33:f8:8f:1b:8e:25:52:63:ea:cf:52:fe:00:b8 fedoraz@macBook.local

これで[ホームディレクトリ]/.ssh/内に秘密鍵（id_rsa）と公開鍵(id_rsa.pub）が作成されます。鍵の名称は任意のものに変更可能です。

公開鍵の登録

作成した公開鍵をサーバに登録しておきます。公開鍵はSCPやFTPなどで送ってもいいですし、単なる文字列なのでコピペでもOKです。
登録するファイルはユーザーのホームディレクトリ/.ssh/authorized_keysです。もしこのファイルがなければ作成します。

cd　※/home/fedorazに移動
mkdir .ssh
touch .ssh/authorized_keys　※登録ファイル作成（なければ）
　
■id_rsa.pubをFTPやSCPで転送した場合
cat id_rsa.pub >> .ssh/authorized_keys

■コピペで済ます場合（id_rsa.pubを開いて文字列をコピーしてから）
pico .ssh/authorized_keys
最終行にペースト
改行された場合は必ず改行を削除（一行にする）
ctl+o→ctl+x→yes

これで公開鍵がサーバに登録されました。

※SCPでの転送のやり方
クライアントで、scp (-P ポート番号）ファイル名ユーザ名@サーバ名：ディレクトリ

scp -P 12345 id_rsa.pub fedoraz@www.fedoraz.com:

"-P"は大文字です。ポート番号はサーバでSSH用に開けているポートを指定します。省略すれば22番を使用します。上記例だと/home/fedorazディレクトにid_rsa.pubを送り込みます。ディレクトを省略すればホームディレクトリになりますが、その場合でも最後の":"は省略してはいけません。

SSHサーバの設定変更

SSHサーバは引き続きOpenSSHを使用します。
openサーバの設定変更は極簡単で、いくつかの値を変更するだけです。ファイルは/etc/ssh/sshd_configになります。

鍵交換方式の認証方法を許可

# pico /etc/ssh/sshd_config

RSAAuthentication yes →行頭の#をはずす。値は'yes'
PubkeyAuthentication yes →行頭の#をはずす。値は'yes'
AuthorizedKeysFile .ssh/authorized_keys　変更なし

パスワード方式の認証方法を使用できなくする

PasswordAuthentication no　→値を'no'に

上記の設定で、パスワードではログインできなくなります。
もしリモートで上記設定変更を行っていて、なにかミスがあった場合二度と接続できなくなるので、サーバが目の前にない場合は今のセッションを継続したまま新たに別のセッションを結んでsshサーバを再起動してください。

/etc/init.d/sshd restart

鍵交換方式でのssh接続方法

クライアント側の設定により、サーバへのssh接続がとても簡単になります。
クライアントPCのホームディレクト/.ssh/config　というファイルに下記のように記述しておきます。

# pico .ssh/config

HOST FED1　　※任意の短い名称
HostName www.fedoraz.com　※サーバ名
User fedoraz　※サーバでのユーザ名
port 12345　※もし22番ポートから変更していたら
CheckHostIP no
IdentityFile ~/.ssh/id_rsa　　※クライアントPCでの秘密鍵の場所

このように設定しておくと、サーバへの接続が下記のようなコマンドで済みます。

ssh FED1

パスワードなしに設定してあるので、すぐにログイン状態になります。
これはサーバ間のssh接続時にも有効で、sshを利用する通信、例えばscpなどでも使えます。前述のscpでの転送では、
scp -P 12345 id_rsa.pub fedoraz@www.fedoraz.com:
と記述していたのが、
scp id_rsa.pub FED1:
でOKです。これをシェルスクリプトとして用意しておき、cronで定期的に動かせば、自動バックアップができます。
（実際にはscpではなくrsyncを利用することになるかと思いますが。）

02 RSYNCでバックアップ

Thu, 08 Feb 2007 02:00:00 +0900

別サーバへRSYNCで自動バックアップ

シェルスクリプトでバックアップ

万が一に備え、任意のデータを別のサーバへ定期的にバックアップすることにします。しくみは簡単で、rsyncをシェルスクリプトに記述しておき、cronで定期的に実行するだけです。
応用編１のSSH鍵交換方式に変更していることが前提です。

.ssh/configの記述

応用編１のSSH鍵交換方式を参考に、/root/.ssh/configを記述してください。
例としてバックアップ先のサーバがbackup.fedoraz.com、バックアップ先でのユーザ名がadmin、sshのポート番号が12345とすると

HOST BACKUP
HostName backup.fedoraz.com
User admin
port 12345
CheckHostIP no
IdentityFile ~/.ssh/id_rsa

と記述しておきます。

スクリプトの記述

/rootにwww_to_backup.shを作成します。バックアップ元は/home以下の全て、バックアップ先のディレクトリはwww_backupとします

#pico www_to_backup.sh

#!/bin/bash　　※この一行忘れずに

rsync -avhe ssh --delete /home/ BACKUP: www_backup > /dev/null 2>&1

/homeの後の"/"は必要で、www_backupの後には"/"は付かないことに注意してください。--deleteオプションをつけているので、上記の動作は「同期」になります。つまりバックアップ先に存在してバックアップ元にないデータは消去されます。

まずは直接コマンドで「rsync -avhe ssh --delete /home/ BACKUP: www_backup」を実行してみてテストしてください。
バックアップ先の想定通りのディレクトリに、元の/home以下の全てが転送されていれば成功です。転送前にtarで固めておいて、それを転送してもよいでしょう。
作成したファイルに実行権を付与しておきます。

chmod +x www_to_backup.sh

定期的に実行する

定期的に自動で実行させるにはcronに登録しておきます。
毎日4:00にバックアップをするには以下のようにします。

crontab -e　※viによる編集画面になります

「i」キーを押して編集モードに切り替え
00 04 * * * /root/www_to_backup.sh
「esc」キーを押して、
shift+Z　を二回押すと保存

cronの詳しい使い方を紹介したサイトは色々ありますので、そちらを参照してください。

04 メールサーバを暗号化

Wed, 07 Feb 2007 10:37:00 +0900

メールサーバをSMTP AUTH+TLS（暗号化）に。

＃＃＃このページはまだ書きかけです。＃＃＃

メール本文と認証を暗号化する

SMTP（POSTIFIX）はSMTP AUTHで構築しましたが、アカウントやパスワードが平文で流れることになり、外部に公開する場合あまりセキュアとはいえません。またメール本文も平文で流れていますので、第三者にみられる可能性も低くはありません（はがき程度の隠匿性しかないと言われています）。

メールのやりとりを暗号化する場合、４つにわけて考える必要があります。

メール送信時のユーザー認証（smtp = postfix）
メール送信時のメール本文（smtp = postfix）
メール受信時のユーザー認証（pop3 = dovecot）
メール受信時のメール本文（pop3 = dovecot）

クライアント側で上記４つを別々に設定する必要があるので、サーバの動作確認をするときはそれぞれ問題の切り分けが必要です。

＃＃＃このページはまだ書きかけです。＃＃＃

SMTP（POSTFIX）の設定変更

postfixにTLSの設定をします。まずは下記を設定ファイル（/etc/postfix/mail.cf）の末尾にでも付け加えます。

#tls smtpd_tls_loglevel=3　
smtpd_use_tls = yes　
smtpd_tls_cert_file = /etc/pki/tls/certs/fedoraz_cert.pem　※
smtpd_tls_key_file = /etc/pki/tls/certs/fedoraz_key.pem　※
smtpd_tls_session_cache_database = btree:/etc/postfix/smtpd_scache
# smtpd_tls_wrappermode = no　※とりあえずコメントアウトで

※鍵（fedoraz_cert.pem）はHTTPのSSL対応で作成した鍵をそのまま使います。

次に/etc/postfix/master.cfを編集します。
サブミッションポートにも対応させておきます。

下記の行の行頭にある#をすべて削除します。

submission inet n - n - - smtpd
-o smtpd_enforce_tls=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
smtps inet n - n - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject

＃＃＃このページはまだ書きかけです。＃＃＃

01 回線と機器の準備

Thu, 09 Feb 2006 22:46:58 +0900

ネットワークの構成と機器の準備

はじめに

年中無休24時間フル稼働させられるよう、なるべく安定方向で構成を考えます。
使用する回線はNTT東日本のB-Fletハイパーファミリー1回線です。2セッション同時に使用して、2つのISPに接続します。
2つのネットワークの使い分けは、一方がサーバ用（NETWORK1）、もう一方が普段自分が使用するクライアントPC用（NETWORK2）です。NETWORK2にはセカンダリDNSも立てます。
サーバマシンは今回市販のサーバ専用機（IBMとDELL）を使用しています。

回線とプロバイダー

回線はNTT東日本のB-Fletsハイパーファミリーを1回線使用します。1回線の契約で2セッションの同時使用が可能です。これを利用してサーバ用とクライアント用のネットワークを分けて運用することにします。
サーバ用のネットワークをNETWORK1（ドメインはfedoraz.com）、普段作業に使用するネットワークをNETWORK2（ドメインはfedoraz.net）と仮に名前を付けます。それぞれ別のISP（同じISPで2アカウントでもいい）に接続し、固定IPを各1個振ってもらいます。

プロバイダによってはサーバを立てることを禁止している、あるいはポートが塞がっているところもあるようです。十分注意して契約しましょう。
帯域制限をかけているISPもあります。これは多くの場合問い合わせてみないとわからない（サイト上に記載がない）ようです。
固定IPのサービスがないISPもあります。ダイナミックDNSという手もありますが、今回は固定IPでの運用方法を説明しています。
逆引きの設定がオプションでできるところもありますので、これを利用するのもいいでしょう。

ドメイン取得

ドメインを最低1つは取得します。ネットワークが2つあるので、2つあった方が管理はしやすいでしょう。今回は2つ取得（fedoraz.comとfedoraz.net)した場合で説明していきます。（実際はバーチャルドメイン用にも複数取得しています。）
独自ドメインの取得に関しては様々なセラーがサービスを提供していますので、好みで選択してかまわないと思いますが、注意しなければならない点が2つほどあります。

サーバに制約がある場合がある。そこのレンタルサーバを使用しなければならない等。
レジストラ移転（ドメイン管理の移転）ができない場合がある。プロバイダを通じて取得した場合、プロバイダを変えたい時に面倒だったりする。

ここは安いのでよく使っています。

使用機材

以前は使わなくなったWindows機を流用してサーバを立てていましたが、熱対策が不十分だったこともあって安定稼働とはいえない感じでした。そこで今回は市販のサーバ専用機を2台と、自作の省電力・低発熱サーバ1台を用意しました。構築自体はどのようなマシンを使用しても同様の作業となります。

サーバA　・・・1stDNS、WWW、FTP
サーバB　・・・MAIL
サーバC　・・・2ndDNS、ローカル用ファイルサーバ（NETWORK2内に立てる）

いずれのサーバもハードディスクを2台搭載し、Raid-1で使用します。簡単かつ安価にできる最低限の冗長化です。（ちなみにこのサイトのサーバは1台約4万円の、超安価な機種です。）

ネットワーク機器としては、ONUからの回線を2つのネットワークにわけるためのハブ、各ネットワーク用のルータ（計2台）を用意しました。1台のルータで2セッションはれるものもありますが、安価な機種だと、実は切替（同時接続不可）だったり、同時使用するととたんに挙動が不安定になったりするものもあるようです（実際ありました）。
VRRPに対応しているかどうかもポイントですが、当初はルータの冗長化までは行わないことにします。

その他の機材として、ラインインタラクティブ型のUPS(無停電電源装置)を用意しました。Linuxの自動シャットダウンに対応しています。無停電とはいっても、今回の構成では約8分ほどしかもたない計算ですが、ないよりはずっと精神衛生上いいかと思います。

02 機器の構成

Wed, 08 Feb 2006 16:55:00 +0900

サーバやルータなどの接続

ネットワーク構成図

サーバやルータ、ハブなどをイーサネットケーブルで繋いでいきます。サーバにはNICが２枚刺さっていますが、まずはシンプルな構成で立ち上げます。

まずONU（図中ではmodemとなっていますが）からハブ（レイヤー２スイッチ）へ接続し、ハブから各ネットワークのルータに接続します。ハブで物理的にネットワークを２つに分割します。
RT1にはPROVIDER-Aへの接続設定を、RT2にはPROVIDER-Bへの接続設定をしておけば、２つのネットワークから問題なく接続することができます。
サーバマシンへはハブを介してもいいですが、この図ではハブ内蔵のルータを想定して、直接ルータに接続しています。
黄色の線はUPS（無停電電源）からその機器の電源をとることを意味しています。

IPアドレス

NETWORK A :

GlobalIP xxx.xxx.xxx.10（ISPに固定IPを振ってもらう）
割り当てるドメイン名 fedoraz.com
LocalIP 192.168.1.0/24
RT1（ルータ）　192.168.1.1
Server-A 192.168.1.100
Server-B 192.168.1.101

NETWORK B :

GlobalIP xxx.xxx.xxx.20（ISPに固定IPを振ってもらう）
割り当てるドメイン名 fedoraz.net
LocalIP 192.168.2.0/24
RT2（ルータ）　192.168.2.1
Server-C 192.168.2.102

NETWORK AとNETWORK BでローカルIPが重複しても問題ありませんが、管理しやすいよう自分なりに工夫して振っておくといいでしょう。

03 ポートの開放

Tue, 07 Feb 2006 17:31:00 +0900

ルータのポート開け

運用するサービスと担当するサーバ

どのマシンでなんのサービスを担当するか（何のサーバを立てるか）を決めます。今回は贅沢にウェブサーバとメールサーバを分けて立てることにしました。セカンダリのネームサーバだけを用意するのはもったいないので、ローカルユーザ用のファイルサーバも同じマシンで運用することにします。

SERVER A（192.168.1.100）

dns （ポート53）　プライマリネームサーバ。ドメイン名の解決。
www　（ポート80）　ウェブサーバ。ウェブサイトの公開に。
ftp　（ポート20,21）　FTPサーバ。ファイルのアップ＆ダウンロードに。
ssh　（ポート22）　SSHサーバ。リモートでのサーバの管理に。

SERVER B（192.168.1.101）

smtp （ポート25）　SMTPサーバ。メールの送信に。
pop3　（ポート110）　POP3サーバ。メールの受信に。
ssh　（ポート22）　SSHサーバ。リモートでのサーバの管理に。

SERVER C（192.168.2.102）

dns （ポート53）　セカンダリネームサーバ。ドメイン名の解決。
ftp　（ポート20,21）　FTPサーバ（ローカル用）。ファイルのアップ＆ダウンロードに。
ssh　（ポート22）　SSHサーバ。リモートでのサーバの管理に。
Samba　・・・Win用のファイルサーバ。ポートは開けない（外部不可）
Netatalk　・・・Mac用のファイルサーバ。ポートは開けない（外部不可）

ルータのアドレス変換設定

どのポートのパケットをどのマシン（ローカルIP）に送るのかを設定します。具体的なやり方についてはルータのヘルプ（取説）を見て下さい。
下記で使用するポートのみ開放して、他の全てのポートは塞いでおきます。

RT1（NETWORK Aのルータ）

ポート	name	TCP/UDP	宛先IP
※Server A用の設定
53	dns	TCP/UDP	192.168.1.100:53
80	www	TCP	192.168.1.100:80
20,21	ftp	TCP/UDP	192.168.1.100:20,21
22	ssh	TCP	192.168.1.100:22
※Server B用の設定
25	smtp	TCP	192.168.1.101:25
110	pop3	TCP	192.168.1.101:110
10022	ssh	TCP	192.168.1.101:22

RT2（NETWORK Bのルータ）

ポート	name	TCP/UDP	宛先IP
※Server C用の設定
53	dns	TCP/UDP	192.168.2.102:53
20,21	ftp	TCP/UDP	192.168.2.102:20,21
22	ssh	TCP	192.168.2.102:22

その他、https（ポート443）やimap（ポート143）を使用する場合は該当のルータに設定を追加しましょう。
Server-BのSSHはポート10022のパケットを192.168.1.101のポート22に流すことで、SSHを2つのサーバ両方で利用できるようにします。同じプロトコルを複数のサーバで使いたいときは、このようにルータのポート変換機能を利用することで可能になります（クライアント側でのポートの指定がいりますが）。

Server-Bにリモートログインする時のコマンド

$ ssh -p 10022 admin@xxx.xxx.xxx.xxx

04 OSのインストール

Mon, 06 Feb 2006 16:45:00 +0900

サーバにOS(Fedora Core4）をインストール

インストールCDの用意

今回はLINUXのディストリビューションひとつであるFedoraのCore 4をサーバのOSとして使用します。まずはインストール用のCDイメージ（.ISO）をダウンロードします。

Red Hat社のFedora Projectからでもいいですし、日本のFedora JP Projectにあるリンク先からでもいいので、4枚分ダウンロードしましょう。
下記は理研のページです。
http://ftp.riken.jp/Linux/fedora/core/4/i386/iso/

必要なCDイメージはこの4つです。名前にSRPMSがないほうですのでご注意ください。

FC4-i386-disc1.iso
FC4-i386-disc2.iso
FC4-i386-disc3.iso
FC4-i386-disc4.iso

ダウンロードしたら、それぞれをCD-Rに焼いておきましょう。
※ダウンロードからCD-Rまでの作業は、当然ネット環境とWindowsやMacなどのPC（とCDRドライブ）が必要です。この作業が無理であれば、書店に行きましょう。LINUX系の雑誌にインストールCDが付録になっているものがあります。

インストール

サーバの電源を入れ、1枚目のCDをセットし、CDからサーバを立ち上げます。あらかじめBIOSでCDから立ち上がるように設定しておく必要があるかもしれません。

最初のプロンプトで、単にEnterを押せば通常のグラフィカルインストール画面に進みます。もしその画面で表示の不具合（画面が出ない、画面が大きくて全体が表示されない等）の場合は、再度電源を入れ直し、最初のプロンプトで、

linux nofb

linux resolution="640x480"

などを試してみましょう。それでもだめな場合は、

linux text

でテキストモードでのインストールが可能です。

1 Welcome to Fedora Core

インストール画面になったらまず左下のHide Helpをクリックして画面を広くしておきましょう。それから→NEXT。

2 Language Selection

使用する言語の選択です。Japanese（日本語）を選択。

3 キーボード設定

デフォルトで日本語が選択されているはずなのでそのまま次へ。

4 インストールの種類

サーバーを選択。

5 ディスクパーティションの設定

ここは運用方針で設定が変わります。HDが1台しかない時や複数HDがあってもまとめて1台として扱いたい時は「自動パーティション設定」でもOKです。各パーティションの用途・容量を自分でコントロールしたい、Raid１を使用してHDの冗長化をしたいときは「Disk Druid」を使用して手動パーティション設定」を行う必要があります。
ここでは後者の「手動パーティション」で、HD1台の場合と、同容量HDを2台使用してのRaid 1の場合の設定を説明します。

■パーティションの構成例

マウントポイント	パーティションの用途	確保する容量
/	ルートディレクトリ	1000MB
/boot	ブート用	100MB
/usr	プログラムをインストール	4000MB
/var	ログファイルなど	2000MB
/home	ユーザーのデータ領域	残り全部
swap	メモリのスワップ領域	1024MB（メモリの2倍が目安）

データベースを動かす予定なら/varはもっとあってもいいかもしれません（/var/lib/mysqlなどを使うので）。もっぱらyumでしかインストールしないこともあり、/usr/localは特に分けていません。

■HD1台構成での手動パーティション

まずなんらかのパーティションが存在した場合は、すべてのパーティションを削除してまっさらな状態にしてください。特に既にLinuxのパーティションが存在しているハードディスクだと、インストール中ほぼ確実にエラーが出ます。
それから上記のパーティションの構成例を参考に、パーティションを1個ずつ設定していきます。なお、4個目以降のパーティションは自動で「拡張領域」となりますが気にする必要はありません。

以下Disk Druidの画面での操作説明です。

マウントポイントを入力または選択します。ex:"/boot"　（SWAPのみマウントポイントはありません。）
ファイルシステムを選択します。"ext3"　（SWAPのみファイルシステム"swap"を選択してください。）
固定容量を選択し、確保したい容量を入力します。単位に注意。　ex:"100"（/homeのみ"最大許容量まで使用"にチェックし、適当な数字を入力しておきます。）
"/"および"/boot"はプライマリパーティションにチェックを入れます。
OK→これをすべてのパーティションが確保できるまで繰り返します。上記の構成例の場合、6回行うことになります。

■HD2台でRaid 1を構成する場合

HDは2つとも容量の同じものの方が無駄がなくいいと思います。容量の異なるHDでもRaidは構成できますが、その場合小さい方のHDの容量が優先されます。また、同一メーカーの同一品番で揃えると、同じ原因で2台同時に故障するかもしれないとの理由で、別メーカーのものをわざわざ搭載したという話も聞きました。ご参考まで。
1台構成の場合と同様、既存のパーティションなどは削除してまっさらな状態にしておきます。
流れとしては、片方のHDにパーティションを設定し、その情報を2台目にコピーし、２つを束ねてRaidを構成するという流れになります。

以下Disk Druidの画面での操作説明です。

左端の「新規」をクリックします
ファイルシステムから「software RAID」を選択します。
使用可能なドライブはマスターとなる1台（sda、hda等）にチェックを入れ、もう1台のほう(sdb、hdｂ等）はチェックをはずします。
固定容量を選択し、確保したい容量を入力します。単位に注意。　ex:"100"（/homeにする予定のパーティションのみ"最大許容量まで使用"にチェックし、適当な数字を入力しておきます。）
"/"および"/boot"にする予定のパーティションは、プライマリパーティションにチェックを入れます。
OK→これをすべてのパーティションが確保できるまで繰り返します。上記の構成例の場合、6回行うことになります。
続いてパーティション情報をもう1台のHDにコピーします。右から2番目の「RAID」をクリックします
"Clone a drive to create a RAID device"を選択し、パーティションを設定したHDからもう1台へパーティション情報をコピーします。コピー元、コピー先を間違えないように。
次に2台のHDのパーティションを束ねてRAIDを構成していきます。「RAID」をクリックします
"Create a RAID device"を選択します。
マウントポイントを選択します。ex:"/boot"（SWAPのみマウントポイントはなしです。）
ファイルシステムを選択します。"ext3"　（SWAPのみファイルシステム"swap"を選択してください。）
RAIDデバイスを選択します。（上から順番に。）ex:md0
RAIDメンバーを選択します。該当するパーティション（順番は入れ替わってしまっているので、容量から判断してください）を2つのHDから選択しますが、全選択されていますので、該当パーティション以外のチェックをはずすという作業になります。ex:"sda1とsdb1以外のチェックをはずす"
RAIDレベルは1を選択。デフォルトでRAID0が選択されているので、忘れずに変更します。
スペアは0です
OK→パーティション数の分9から繰り返します。

5 ブートローダの設定

そのままで次へ。

6 ネットワークの設定

編集をクリックし、ローカルIPアドレスとネットマスクを入力します→OK。ex:"192.168.1.100/255.255.255.0"
ホスト名を手動設定します。ex:"server-a.fedoraz.com"
ゲートウェイにルータのIPアドレスを入力します。ex:"192.168.1.1"
必須ではありませんが、DNSの1番目と2番目にプロバイダのネームサーバを入力しておきます。

7 ファイヤーウォール設定

ファイヤーウォールはルータで設定したので「ファイヤーウォールなし」でOKです。インストール後iptableを手動設定することも可能です。
SELinuxは無効を選択します。

8 タイムゾーンの選択

アジア/東京が選択されているはずですので、そのまま次へ。

9 Rootパスワードを設定

サーバを管理するためのrootアカウント用のパスワードです。絶対に忘れないようにしてください。そうかといって簡単すぎるパスワードにするとhackingされる恐れもあります。最低でも8文字以上あったほうがいいかと思います。

10 パッケージグループの選択

あらかじめサーバ用途に適したパッケージグループが選択されていますが、ここはすべて選択を解除してしまいます。あとから必要なものだけ最新のバージョンでインストールしていきます。ただしソースをコンパイルすることもありますので「開発ツール」だけ選択しておくといいでしょう。

11 インストール準備完了

あとはディスクのフォーマット、実際のインストールと進みますので、画面の指示に従いCDを入れ替えればいいだけです。（※HDのところでLVMを使用した場合はインストール前に再起動が必要なことがあります。この場合パーティション以降の設定をやり直さなければならなかったりします。）
(追記）既にLINUXで使用していたHDを流用したりすると、フォーマット時にほぼ確実にエラーがでるようです。この場合何らかの方法でHDをまっさらにしておかなければなりません。サーバ専用機の場合は購入時についてくるユーティリティディスクを使用すれば可能です。ない場合はいったんHDをほかのWindows機につないで、Windowsで初期化しておくといった技があります。

12 インストールの完了

「おめでとうございます。インストールが完了しました。」とメッセージが出たら無事に完了です。再起動してください。

05 初期設定

Sun, 05 Feb 2006 20:46:00 +0900

サーバの各種初期設定

サーバへログインと管理用アカウントの作成

無事インストールが終わり、サーバが立ち上がると次のような画面が表示されているはずです。今はまだrootアカウントしかありませんのでrootアカウントでログインします。パスワードはインストール時に設定したパスワードです。
なお、デフォルトでSSHが最初から有効になっているので、この後の操作はすべてリモートから行うこともできます。

Fedora Core release 4(Stentz)
Kernel 2.6.11-1.1359_FC4 on an i386

linux login:root
Password:******* ※実際は表示されません

[root@linux ~]#

まず最初に管理用のアカウントを作成します。一般に"admin"という名前が使用されますが、任意の名前でもOKです。ユーザーを作成するコマンドは"useradd"、パスワードの設定は"passwd"です。

# useradd admin
# passwd admin
Changing password:******** ※実際には表示されません
Retype new UNIX password:********　※パスワードは同じものを2度入力します
passwd: all authentication tokens updated successfully.

パスワードが短かすぎる場合は"BAD PASSWORD: it is too short"と怒られます。
ほかにも簡単すぎたり、ユーザー名から簡単に推測されるものだと怒られますが、どちらの場合もそのまま設定できます（警告だけ）。
1度目と2度目のパスワードが異なった場合は"Sorry, passwords do not match"と出てやり直しになります。
ユーザーを削除するのは"userdel ユーザー名"ですが、確認も何もなくすぐ消されるので注意しましょう。

それでは、今作ったadminアカウントでログインし、さらにsuコマンドでスーパーユーザー（＝root）になってみます。

# exit

linux login: admin
Password: ******* ※実際は表示されません

$su -
Password: *******　※rootのパスワードを入力します

#　　　←スーパーユーザー（＝root）になった

エディターpicoのインストール

各種設定ファイルを書き換えるのにテキストエディターは多用します。最初から入っているviでもいいのですが、ここは使いやすいpicoをインストールします。

# wget ftp://ftp.cac.washington.edu/pine/pine-4.64-1.i386.rpm
# rpm -ivh nodeps pine-4.64-1.i386.rpm

もし上記のURLにない時はGoogleなどで"pine linux"で検索するとすぐ見つけられます。

yumでアップデート

カーネルも含めて、パッケージ類をすべて最新のものにアップデートします。アップデートにはyumを使いますが、以後のパッケージのインストールやアンインストールにもyumを使用します。

# yum -y update

ダウンロードとインストールを自動で行ってくれますが、かなりの時間がかかると思います。レポジトリを近くのもの（日本国内）に書き換えておくと早くなります。

不要なサービスの停止

デフォルトでいろいろなサービスが起動しています。不要なサービスを動かしていると、思わぬセキュリティホールになったり、システムリソースを喰われたりしますので、停止しておきます。

# ntsysv

上記コマンドでグラフィカルな設定画面がでます。[*]となっているものが起動中のサービスです。カーソルの上下で移動し、スペースキーでonとoffを切り替えます。設定が終わったらTabでOkに移動し、Enterで終了します。
最初は下記のサービスだけ起動しておけばいいでしょう。

crond
network
sshd
syslog

rootになれるユーザーの制限

サーバを管理できるユーザーを"admin"だけに制限しておきます。"admin"以外のユーザーでsuしてもスーパーユーザーにはなれないよう、設定します。

# pico /etc/group
wheel:x:10:root → wheel:x:10:root,admin　に書き換え

# pico /etc/login.defs
最終行に"SU_WHEEL_ONLY yes"を一行追加

# pico /etc/pam.d/su
6行目の行頭の#を削除して有効にする
auth required /lib/security/$ISA/pam_wheel.so use_uid

ファイル検索データベースのアップデイト

locateコマンド用にデータベースをアップデイトしておきます。

#updatedb

06 ネットワークの設定

Sat, 04 Feb 2006 22:07:00 +0900

サーバのネットワーク周りの設定

ドメインネームの設定

自分（サーバ）が所属するドメインを設定します。もしHOSTNAME（サーバの名称）やGATEWAY（ルータのこと）を変更する場合は、このファイルを書き換えます。

# pico /etcsysconfig/network
NETWORKING=yes
DOMAINNAME=fedoraz.com　※一行追加
HOSTNAME=server-a.fedoraz.com
GATEWAY=192.168.1.1

ドメインネームには"www"などのホスト部分は含みません。なお、言うまでもありませんが上記の"fedoraz.com"は適宜書き換えてください。

HOSTSファイルの設定

HOSTSファイルはDNSに問い合わせるまでもない、LAN内のホスト名の解決（IPからホスト名を引く）をするために設定します。IPに対応するホスト名をスペースで区切って羅列します。

# pico /ets/hosts
127.0.0.1 server-a.fedoraz.com www dns localhost.localdomain localhost
192.168.1.100 server-a.fedoraz.com www dns

server-bの場合は"127.0.0.1 servser-b.fedora.com mail"などとなります。

RESOLVファイルの設定

RESOLVファイルはドメイン名の解決に使用するネームサーバ（DNS）を指定するのに使用します。ここが間違っているとドメイン名からIPを引けず、結果ネットに繋がらないということになります。
この時点ではまだ自前のネームサーバを立てていないので、その設定はしません。

# pico /etc/resolv.conf
nameserver xxx.xxx.xxx.xx　※プロバイダ指定のネームサーバ1
nameserver xxx.xxx.xxx.xx　※プロバイダ指定のネームサーバ2
search fedoraz.com　※一行追加
domain fedoraz.com　※一行追加

上記の一連の書き換えが終わったら、ネットワーク周りを再起動します。

# etc/init.d/network restart

ホストネームを書き換えた場合など、ネットワーク周りの再起動だけでは反映されないことがあります。（"hostname"コマンドで確認できます。）
その場合はサーバを再起動してしまいましょう。

# reboot

07 SSH（OpenSSH）

Fri, 03 Feb 2006 22:47:00 +0900

SSHサーバであるOpenSSHの設定

OpenSSHの設定

SSHは遠隔地から（もちろんLAN内からでも）リモートでサーバを管理するためのもので、Telnetと違い内容が暗号化されています。
ログイン方法に2種類あり、ひとつは通常のアカウント名＋パスワードによるログイン、もうひとつは公開鍵と秘密鍵を交換することにより認証を行う、よりセキュアな方法です。
今回は基本的にLAN内からしかリモート接続しない場合を想定して、アカウント名＋パスワードによるログイン方法をとります。ただしIPによって制限をかけ、外部からのパスワード総当たり式のアタック（これが非常に多い）をはじめからはじくようにしておきます。

rootログインの禁止

# pico /etc/ssh/sshd_config

#PremitRootLogin yes → PermitRootLogin no　※行頭の#を削除し、yesをnoに
#permitEmptyPasswords no →　行頭の#を削除

上記を書き換えたらsshdを再起動します。

# /etc/init.d/sshd restart

IPによるアクセス制限

まず接続を許可するIPを設定します。下記ではLANと外部一カ所を許可しています。

# pico /etc/hosts.allow
sshd: 192.168.1.　※最終行に追加。最後の"."を忘れないように。
sshd: xxx.xxx.xxx.xx　　※外部のグローバルIPまたはドメイン名

次にその他すべてのIPからの接続を禁止します。

# pico /etc/hosts.deny
sshd: ALL　※最終行に追加

allow、denyの設定は慎重に行ってください。たとえば許可するIPを書き間違えたりすると以後の操作を全く受け付けなくなってしまいます。この場合サーバマシンに直接モニタとキーボードを接続して操作するしかありません。もし遠隔地から操作していた場合は・・・・。

また、外部から接続したい時に（たとえばサーバが会社にあり、自宅から接続したいといった場合）、その環境が固定IPではないとIPによる許可ができないことになります。その場合下記のようにその環境で利用しているプロバイダのURLを設定することで接続を許可する方法もあります。ただしそのプロバイダーを利用している全ユーザーの環境から接続可能になってしまいますが。

/etc/hosts.allowの設定に下記を追加
sshd: .ppp.il24.net