Ubuntuクロニクル

上記の広告は１ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

NTP とは Network Time Protocol の略で、ネットワーク上でクライアントがサーバーに対して時刻を問い合わせるためのプロトコルです。

Ｕｂｕｎｔｕサーバーエディションでは標準ではインストールされていませんので、インストールします。

# apt-get install ntp

設定
NTP の設定ファイルは NTP をインストールしたときに作成されますが、時刻を同期するサーバーを近いサーバーに変更します。

/etc/ntp.confを開いて、以下のように編集します。

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift


# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable


# You do need to talk to an NTP server or two (or three).
server ntp.nict.jp
server ntp.jst.mfeed.ad.jp
server ntp.ubuntu.com

編集して保存したら、ＮＴＰを再起動します。

# /etc/init.d/ntp restart

以下のように実行することで NTP サーバーの動作確認を行うことができます。
ntpq コマンドに -p オプションをつけて実行すると NTP サーバーの同期状態が表示されます。

remote refid st t when poll reach delay offset jitter
==============================================================================
ntp-b2.nict.go. .NICT. 1 u 41 64 3 24.737 -3.997 4.855
ntp1.jst.mfeed. 210.173.176.4 2 u 39 64 3 21.113 -2.546 3.112
europium.canoni 193.79.237.14 2 u 40 64 3 265.788 -6.268 4.657


NTP サーバーを起動した直後は上記ような結果になりますが、10 分ほど経過して同期が始まると以下のように表示されます。

remote refid st t when poll reach delay offset jitter
==============================================================================
*ntp-b2.nict.go. .NICT. 1 u 61 64 77 23.670 -13.238 8.813
+ntp1.jst.mfeed. 210.173.176.251 2 u 55 64 77 21.113 -2.546 11.627
europium.canoni 193.79.237.14 2 u 57 64 77 264.916 -16.110 9.095

Ｕｂｕｎｔｕサーバーバージョンはインストールした地点で必要なポートは許可さてていて、不要なポートは閉じているとのことですが、念のためにファイヤーウオール設定を行います。

Linuxにはiptablesというファイアーウォール/パケットフィルタリング機能が備わっています。　正直、またあの設定ファイルを書くのかと思うとちょっと億劫になっていました。　ネットで調べたら、Ｕｂｕｎｔｕｎにはufwはiptablesのコマンドライン設定ツールがあるそうです。

Ｌｉｎｕｘ　Ｓａｌａｄさんのページに解説がありましたので、参考にしました。
http://linuxsalad.blogspot.com/2009/02/ufw.html

ufwのenableとdisableコマンドでファイアーウォール機能を有効/無効にできます。
有効にすると次回起動時からファイアーウォール機能が自動的に起動します。

# ufw enable
で有効になります。

# ufw disable
で無効になります。

ufwのdefaultコマンドで標準のポリシーを設定できます。
通常はDENY(拒否)に設定しておくと良いでしょう。

# ufw default DENY

SSH接続をＬＡＮ内からだけに限定する方法：
# ufw allow proto tcp from 192.168.1.0/24 to any port 22

WEBサーバーを公開
# ufw allow 80

ファイヤーウオール設定の確認：
# ufw status

Firewall loaded

To Action From
-- ------ ----
22:tcp ALLOW 192.168.0.0/24
80:tcp ALLOW Anywhere
80:udp ALLOW Anywhere

こんな感じです。　うやはり使いやすい　:-)

今までＵｂｕｎｔｕのデスクトップバージョンをインストールしていたマシーンをサーバーにしてしまいましたので、当面の操作はＷｉｎｄｏｗｓＸＰをインストールしたノートＰＣで行います。

WindowsからSSHサーバーへリモート接続します。

ターミナルソフトとしてはＴｅｒａＴｅｒｍＰｒｏを以前使用していましたが、今回は「Poderosa」というソフトを使用します。（雑誌で読んで、気になっていましたので）
公式サイトのＵＲＬ：
http://ja.poderosa.org/

Poderosa の特徴 （公式サイトの紹介文より）

---

同種の Windows 用ターミナルエミュレータとしてはたとえば TeraTerm、Putty が有名ですが、Poderosa は主に次のような特徴があります。

タブ式の GUI
同時に複数の接続を開いて作業を行う際に便利です。また画面を分割してそれぞれに別のタブを割り当て、2 つの接続を同時に見ることもできます。バージョン４では分割方式が大幅に柔軟になりました。

多様な接続方法
Telnet,SSH1,SSH2 はもちろん、ローカルの Cygwin シェルもサポートしています。

エスケープシーケンス対応
VT100 と xterm のエスケープシーケンスのほとんどをサポートし、罫線等の表示や UTF-8 エンコーディングも対応しています。

充実のオプションとツール
SSH2 ポートフォワーディングツール、SSH 鍵作成ウィザード、SOCKS サポート、IPv6 サポート、ログファイル名自動付加をはじめ、ターミナルの作業を楽にする多くの機能が搭載されています。

プラグインアーキテクチャ
プラグインによって機能拡張ができます。シリアルポート接続、XModem/ZModemといった機能が既にプラグインとして配布されている他、新規にプラグインを開発することでターミナルをベースにした独自のシステム管理ツールの作成までが行えます。システムアドミニストレータの方々に特にお勧めです。

未踏ソフトウェア創造事業
独立行政法人・情報処理推進機構により、2005年度下期の未踏ソフトウェア創造事業に採択され、この支援を受けてバージョンアップが行われました。

---

Poderosaインストール
（１）Microsoft .NET Frameworkインストール
Poderosa実行に必要なMicrosoft .NET Frameworkをダウンロードしてインストールする。

（２）Poderosaインストール
Poderosaをダウンロードしてインストールする。

起動して接続してみます。

｢ホスト｣⇒サーバーIPアドレス
｢プロトコル｣⇒SSH2
｢ユーザ名｣⇒ユーザ名
｢認証方法｣⇒パスワード
｢パスフレーズ｣⇒パスワード

１回目の接続では公開鍵は登録されていないと警告がでますが「はい」で進めます。

接続しました。

サーバーの操作はＬＡＮ内のＰＣからアクセスして行います。　外部ネットワークより操作させないため、　openssh， openldap 等のデーモンを利用できるホストを， LAN 内 (192.168.0.*) に制限するための設定を行います。

（１）　/etc/hosts.allow に以下の行を追加する。
ALL: 127.0.0.1
ALL: 192.168.0.*

---

# /etc/hosts.allow: list of hosts that are allowed to access the system.
# See the manual pages hosts_access(5) and hosts_options(5).
#
# Example: ALL: LOCAL @some_netgroup
# ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#
ALL:127.0.0.1
ALL:192.168.0.*

---

（２）　/etc/hosts.deny に以下の行を追加する。
ALL: ALL

---

# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
# See the manual pages hosts_access(5) and hosts_options(5).
#
# Example: ALL: some.host.name, .some.domain
# ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.

# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID
ALL:ALL

---

リモートアクセスを使用し、リモートアクセスでサーバーを操作する場合、直接rootでログインすると便利なのですがセキュリティ上問題があるので禁止します。

/etc/ssh/sshd_configを編集します。

　　　　PermitRootLogin yes

これを以下のようにします

　　　　PermitRootLogin no