Ubuntuクロニクル

UbuntuとLinuxにまつわるアレコレ、 多少の苦労は人生のスパイス :-)

Ads by Google

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

NTPサーバー 時刻を合わせる

NTP とは Network Time Protocol の略で、ネットワーク上でクライアントがサーバーに対して時刻を問い合わせるためのプロトコルです。

Ubuntuサーバーエディションでは標準ではインストールされていませんので、インストールします。

# apt-get install ntp

設定
NTP の設定ファイルは NTP をインストールしたときに作成されますが、時刻を同期するサーバーを近いサーバーに変更します。

/etc/ntp.confを開いて、以下のように編集します。

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift


# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable


# You do need to talk to an NTP server or two (or three).
server ntp.nict.jp
server ntp.jst.mfeed.ad.jp

server ntp.ubuntu.com

編集して保存したら、NTPを再起動します。

# /etc/init.d/ntp restart

以下のように実行することで NTP サーバーの動作確認を行うことができます。
ntpq コマンドに -p オプションをつけて実行すると NTP サーバーの同期状態が表示されます。

remote refid st t when poll reach delay offset jitter
==============================================================================
ntp-b2.nict.go. .NICT. 1 u 41 64 3 24.737 -3.997 4.855
ntp1.jst.mfeed. 210.173.176.4 2 u 39 64 3 21.113 -2.546 3.112
europium.canoni 193.79.237.14 2 u 40 64 3 265.788 -6.268 4.657


NTP サーバーを起動した直後は上記ような結果になりますが、10 分ほど経過して同期が始まると以下のように表示されます。

remote refid st t when poll reach delay offset jitter
==============================================================================
*ntp-b2.nict.go. .NICT. 1 u 61 64 77 23.670 -13.238 8.813
+ntp1.jst.mfeed. 210.173.176.251 2 u 55 64 77 21.113 -2.546 11.627
europium.canoni 193.79.237.14 2 u 57 64 77 264.916 -16.110 9.095


ファイヤーウオール設定

Ubuntuサーバーバージョンはインストールした地点で必要なポートは許可さてていて、不要なポートは閉じているとのことですが、念のためにファイヤーウオール設定を行います。

Linuxにはiptablesというファイアーウォール/パケットフィルタリング機能が備わっています。 正直、またあの設定ファイルを書くのかと思うとちょっと億劫になっていました。 ネットで調べたら、Ubuntunにはufwはiptablesのコマンドライン設定ツールがあるそうです。

Linux Saladさんのページに解説がありましたので、参考にしました。
http://linuxsalad.blogspot.com/2009/02/ufw.html

ufwのenableとdisableコマンドでファイアーウォール機能を有効/無効にできます。
有効にすると次回起動時からファイアーウォール機能が自動的に起動します。

# ufw enable
で有効になります。

# ufw disable
で無効になります。

ufwのdefaultコマンドで標準のポリシーを設定できます。
通常はDENY(拒否)に設定しておくと良いでしょう。

# ufw default DENY

SSH接続をLAN内からだけに限定する方法:
# ufw allow proto tcp from 192.168.1.0/24 to any port 22

WEBサーバーを公開
# ufw allow 80

ファイヤーウオール設定の確認:
# ufw status

Firewall loaded

To Action From
-- ------ ----
22:tcp ALLOW 192.168.0.0/24
80:tcp ALLOW Anywhere
80:udp ALLOW Anywhere

こんな感じです。 うやはり使いやすい :-)




WindowsからSSHサーバーへリモート接続(Poderosaパスワード方式ログイン編)

今までUbuntuのデスクトップバージョンをインストールしていたマシーンをサーバーにしてしまいましたので、当面の操作はWindowsXPをインストールしたノートPCで行います。

WindowsからSSHサーバーへリモート接続します。

ターミナルソフトとしてはTeraTermProを以前使用していましたが、今回は「Poderosa」というソフトを使用します。(雑誌で読んで、気になっていましたので)
公式サイトのURL:
http://ja.poderosa.org/


Poderosa の特徴 (公式サイトの紹介文より)


同種の Windows 用ターミナルエミュレータとしてはたとえば TeraTerm、Putty が有名ですが、Poderosa は主に次のような特徴があります。

タブ式の GUI
同時に複数の接続を開いて作業を行う際に便利です。また画面を分割してそれぞれに別のタブを割り当て、2 つの接続を同時に見ることもできます。バージョン4では分割方式が大幅に柔軟になりました。

多様な接続方法
Telnet,SSH1,SSH2 はもちろん、ローカルの Cygwin シェルもサポートしています。

エスケープシーケンス対応
VT100 と xterm のエスケープシーケンスのほとんどをサポートし、罫線等の表示や UTF-8 エンコーディングも対応しています。

充実のオプションとツール
SSH2 ポートフォワーディングツール、SSH 鍵作成ウィザード、SOCKS サポート、IPv6 サポート、ログファイル名自動付加をはじめ、ターミナルの作業を楽にする多くの機能が搭載されています。

プラグインアーキテクチャ
プラグインによって機能拡張ができます。シリアルポート接続、XModem/ZModemといった機能が既にプラグインとして配布されている他、新規にプラグインを開発することでターミナルをベースにした独自のシステム管理ツールの作成までが行えます。システムアドミニストレータの方々に特にお勧めです。

未踏ソフトウェア創造事業

独立行政法人・情報処理推進機構により、2005年度下期の未踏ソフトウェア創造事業に採択され、この支援を受けてバージョンアップが行われました。



Poderosaインストール
(1)Microsoft .NET Frameworkインストール
Poderosa実行に必要なMicrosoft .NET Frameworkをダウンロードしてインストールする。

(2)Poderosaインストール
Poderosaをダウンロードしてインストールする。

起動して接続してみます。
Poderosa1
「ホスト」⇒サーバーIPアドレス
「プロトコル」⇒SSH2
「ユーザ名」⇒ユーザ名
「認証方法」⇒パスワード
「パスフレーズ」⇒パスワード

1回目の接続では公開鍵は登録されていないと警告がでますが「はい」で進めます。

接続しました。
Poderosa2

アクセス制限

サーバーの操作はLAN内のPCからアクセスして行います。 外部ネットワークより操作させないため、 openssh, openldap 等のデーモンを利用できるホストを, LAN 内 (192.168.0.*) に制限するための設定を行います。

(1) /etc/hosts.allow に以下の行を追加する。
ALL: 127.0.0.1
ALL: 192.168.0.*


# /etc/hosts.allow: list of hosts that are allowed to access the system.
# See the manual pages hosts_access(5) and hosts_options(5).
#
# Example: ALL: LOCAL @some_netgroup
# ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#
ALL:127.0.0.1
ALL:192.168.0.*




(2) /etc/hosts.deny に以下の行を追加する。
ALL: ALL


# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
# See the manual pages hosts_access(5) and hosts_options(5).
#
# Example: ALL: some.host.name, .some.domain
# ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.

# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID
ALL:ALL


リモートアクセスでrootログインを禁止

リモートアクセスを使用し、リモートアクセスでサーバーを操作する場合、直接rootでログインすると便利なのですがセキュリティ上問題があるので禁止します。

/etc/ssh/sshd_configを編集します。

    PermitRootLogin yes

これを以下のようにします

    PermitRootLogin no


Top|Next »

HOME

犬と猫のためのライフボート
NPO法人犬と猫のためのライフボート〜手を伸ばせば救えるいのちがある〜

名前:hiro-C
性別:男
年齢:中年


ブログランキング・にほんブログ村へ


Mozilla Firefox ブラウザ無料ダウンロード


Ubuntu linuxをデスクトップで使って見ようというLinux初心者には最適の1冊です。 Ubuntuの記事を載せた雑誌等も多々見られるようになって来ました。WINDOWSから乗り換えの人にはよくわかるように対比させながら解説されています。 Ubuntuではじめる Linuxパソコン (Gihyo Expert Books)

サウンドドックシリーズIIシステム