管理人のヒトリゴト -もみんぎゅぅ-

続きを読む… »

ちなみに現在のウチのmain.cf、master.cfはこんな感じになってます。

main.cf

disable_vrfy_command = yes
allow_min_user = yes
allow_mail_to_commands = alias,forward,include
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
non_fqdn_reject_code = 450
127.0.0.1:10027_time_limit = 3600
127.0.0.1:10028_time_limit = 3600

smtpd_restriction_classes =
check_dynamic_client
check_client_jp
check_client_na

check_dynamic_client =
check_client_access cidr:/etc/postfix/check_client_country
check_client_na

check_client_jp =
check_policy_service inet:10027
sleep 35
permit

check_client_na =
check_policy_service inet:10028
sleep 125

smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_unauth_destination
reject_unlisted_recipient
check_client_access regexp:/etc/postfix/check_special_client
check_sender_access regexp:/etc/postfix/check_special_sender
reject_non_fqdn_sender
reject_unverified_sender
check_client_access regexp:/etc/postfix/check_dynamic_client

content_filter = scan:127.0.0.1:10025
receive_override_options = no_address_mappings

master.cf

scan unix - - n - 16 smtp
-o smtp_send_xforward_command=yes
127.0.0.1:10026 inet n - n - 16 smtpd
-o content_filter=
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
-o smtpd_helo_restrictions=
-o smtpd_client_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks_style=host
-o smtpd_authorized_xforward_hosts=127.0.0.0/8
127.0.0.1:10027 inet n n n - 16 spawn
user=nobody argv=/usr/local/bin/receivegrey --DEBUG=0 --DBFILE=/tmp/receivegrey-jp.db --TYPE=1 --COUNT=1 --BEGIN=5 --END=120
127.0.0.1:10028 inet n n n - 16 spawn
user=nobody argv=/usr/local/bin/receivegrey --DEBUG=0 --DBFILE=/tmp/receivegrey-na.db --TYPE=1 --COUNT=2 --BEGIN=10 --END=120

http://cmf.ohtanz.com/blog/archives/174に書いてることを実験運用しています。

« 閉じる

続きを読む… »

近々新しいスパム対策を公開する予定なのですが、その前に概要だけ説明すると、

1．逆引き不可or逆引きFQDNが動的IPっぽいときorドメインがcom/net/jp以外の場合のみCIDRテーブルにより国内or海外からのクライアントか判定します。
2.CIDRテーブルの結果が国内の場合はポリシーサービススクリプトへ渡します。（ポリシーサービススクリプトの検査結果がDUNNOの場合はsleep 35の配送遅延を実施します）
3.CIDRテーブルの結果が海外の場合はポリシーサービススクリプトへ渡します。（ポリシーサービススクリプトの検査結果がDUNNOの場合はsleep 125の配送遅延を実施します）
4.ポリシーサービススクリプトはクライアントIP、エンベロープのFROM及びTOをキーにして値にはリクエスト時間を記録
5.4のキーが無い場合はDEFER_IF_PERMITで拒否します。
6.4のキーがあった場合でもm分以上m分以内の間にN回以上のリクエストが無い場合はDEFER_IF_PERMITで拒否します。

という感じのことをしています。

まぁ〜単純にtaRgreyと同じ理屈？？？のものをオレ流に作成したものです( ´ー`)

ポリシーサービススクリプトはreceivegreyと名づけたスクリプトを作ったのです( ´ー`)

使い方はmaster.cfに

127.0.0.1:10027 inet n n n - 16 spawn
  user=nobody argv=/usr/local/bin/receivegrey --DEBUG=0 --DBFILE=/tmp/receivegrey-jp.db --TYPE=1 --COUNT=1 --BEGIN=5 --END=120
127.0.0.1:10028 inet n n n - 16 spawn
  user=nobody argv=/usr/local/bin/receivegrey --DEBUG=0 --DBFILE=/tmp/receivegrey-na.db --TYPE=1 --COUNT=2 --BEGIN=10 --END=120

ってな感じで呼び出します。

--DEBUGはmaillogに詳細のログを出力するか否か
--DBFILEはキャッシュを記録するファイルのパス
--TYPEは0の場合は許可したキーをm分以上m分以内の間なら何通でも許可する（1は1通許可したらキーを削除する）
--COUNTは1なら1度拒否してm分以上m分以内の間で一度リクエストがきたら許可する（2ならm分以上m分以内の間で二度目のリクエストから許可）
--BEGINはm分以上
--ENDはm分以内

とまぁ〜こんな感じです( ´ー`)

まだ運用して5日しか経っていないのでもう少し様子をみてから公開しようと思います。

« 閉じる

続きを読む… »

■apache2.2.8のインストール

> apt-get install expat-devel zlib-devel apr-devel apr-util-devel sqlite3-devel
> http://ring.u-toyama.ac.jp/archives/linux/Vine/VineSeed/SRPMS.main/apache2-2.2.8-1vl5.src.rpm
> rpm -ivh apache2-2.2.8-1vl5.src.rpm
> cd /usr/src/vine/SPECS

——————————–
1._dist_releaseを1vl5に書き換える
2.--with-suexec-docrootを/homeに書き換える

> vi apache2-vl.spec
——————————–

> rpmbuild -bb --clean apache2-vl.spec
> rpm -ivh apache2-2.2.8-1vl5.i386.rpm
> rpm -ivh apache2-devel-2.2.8-1vl5.i386.rpm

——————————–
apacheをworkerで動かす

> update-alternatives --config apache2
——————————–

■php5.2.6のインストール

> apt-get install libxml2-devel MySQL-client
> wget http://ring.u-toyama.ac.jp/archives/linux/Vine/VineSeed/SRPMS.plus/php5-5.2.6-2vl5.src.rpm
> rpm -ivh php5-5.2.6-2vl5.src.rpm
> cd /usr/src/vine/SPEC

——————————–
1.--enable-maintainer-ztsを追加
2.--with-tsrm-pthreadsを追加

> vi php5.spec
——————————–

——————————–
1.なんかいっぱい必要なパッケージを要求されるので全部aptでいれる
2.aptで入れられないモジュールをwgetでとってきて入れる

> wget http://ring.u-toyama.ac.jp/archives/linux/Vine/VineSeed/i386/RPMS.main/libstdc++34-4.1.2-0vl17.i386.rpm
> wget http://ring.u-toyama.ac.jp/archives/linux/Vine/VineSeed/i386/RPMS.main/libstdc++34-devel-4.1.2-0vl17.i386.rpm
> rpm -ivh libstdc++34-4.1.2-0vl17.i386.rpm libstdc++34-devel-4.1.2-0vl17.i386.rpm
——————————–

> rpmbuild -bb --clean php5.spec
> rpm -ivh php5-5.2.6-2vl4.i386.rpm php5-apache2-5.2.6-2vl4.i386.rpm php5-dba-5.2.6-2vl4.i386.rpm php5-devel-5.2.6-2vl4.i386.rpm php5-mysql-5.2.6-2vl4.i386.rpm php5-pear-5.2.6-2vl4.i386.rpm php5-pdo-5.2.6-2vl4.i386.rpm php5-xmlrpc-5.2.6-2vl4.i386.rpm

> vi /etc/php5/php.ini
——————————–
mbstring.language = Japanese
mbstring.internal_encoding = auto
;mbstring.http_input = auto
;mbstring.http_output = auto
;mbstring.encoding_translation = On
mbstring.detect_order = auto
;include_path = “.:/usr/local/lib/php”
mbstring.encoding_translation = On
iconv.input_encoding = auto
iconv.internal_encoding = EUC-JP
iconv.output_encoding = EUC-JP
extension_dir = /usr/lib/php5
——————————–

■suphp-0.6.3のインストール

——————————–
httpdがない！と起こられるので・・・

> cd /usr/sbin
> ln -s apache2 httpd
——————————–

> cd /usr/local/src
> http://www.suphp.org/download/suphp-0.6.3.tar.gz
> tar zxvf suphp-0.6.3.tar.gz
> ./configure \
--prefix=/usr \
--with-apxs=/usr/sbin/apxs \
--with-min-uid=500 \
--with-min-gid=500 \
--with-apache-user=apache \
--with-logfile=/var/log/apache2/suphp.log \
--with-php=/usr/bin/php5-cgi \
--sysconfdir=/etc \
-with-apr=/usr/bin/apr-1-config \
--with-setid-mode=owner

——————————–
Makefileの内のapacheとなっている部分をすべてapache2に書き換える

> vi src/apache2/Makefile
——————————–

——————————–
httpd.confからLoadModuleを使えるようにする

> vi src/apache2/mod_suphp.c
—
-AP_INIT_ITERATE(”suPHP_AddHandler”, suphp_handle_cmd_add_handler, NULL, ACCESS_CONF, “Tells mod_suphp to handle these MIME-types”),
+AP_INIT_ITERATE(”suPHP_AddHandler”, suphp_handle_cmd_add_handler, NULL, RSRC_CONF | ACCESS_CONF, “Tells mod_suphp to handle these MIME-types”),
—
——————————–

> make
> make install

——————————–
mod_suphp.soをmodulesに移動

> cd /usr/lib/apache2
> mv mod_suphp.so modules/
——————————–

> vi /etc/suphp.conf
(日本語訳ドキュメントhttp://d.hatena.ne.jp/MasaGon/20080327/1206631272)
——————————–
[global]
;Path to logfile
logfile=/var/log/apache2/suphp.log

;Loglevel
loglevel=info

;User Apache is running as
webserver_user=apache

;Path all scripts have to be in
docroot=/home/

;Path to chroot() to before executing script
;chroot=/mychroot

; Security options
allow_file_group_writeable=false
allow_file_others_writeable=false
allow_directory_group_writeable=false
allow_directory_others_writeable=false

;Check wheter script is within DOCUMENT_ROOT
check_vhost_docroot=false

;Send minor error messages to browser
errors_to_browser=true

;PATH environment variable
env_path=/usr/bin:/usr/local/bin:/usr/sbin:/usr/local/sbin

;Umask to set, specify in octal notation
umask=0022

; Minimum UID
min_uid=500

; Minimum GID
min_gid=500

[handlers]
;Handler for php-scripts
x-httpd-php=php:/usr/bin/php5-cgi

;Handler for CGI-scripts
x-suphp-cgi=execute:!self
——————————–

> vi /etc/apache2/conf/httpd.conf
——————————–
#LoadModule php5_module modules/libphp5.so
#AddType application/x-httpd-php .php
#AddType application/x-httpd-php-source .phps
LoadModule suphp_module modules/mod_suphp.so
suPHP_Engine on
AddHandler x-httpd-php .php
suPHP_AddHandler x-httpd-php
——————————–

これでやっと個人的理想環境(apacheは最新版でmpm-worker、phpも最新版で且つsuPHPでユーザー権限で動作)になったのです。

« 閉じる

続きを読む… »

今回、USBメモリからVineをインストールというのに挑戦してみた結果、うまくいったので新しく買ったDVDドライブを結局付けませんでした。（FDDも付けてません）(´∀｀*)

以下はその手順です。

1.VineのFTPサーバーからイメージファイル（Vine42-i386.iso）を落としてくる
2.イメージファイルを仮想ドライブ化するツールをゲットしてインストールする（私はVirtual CloneDriveを使用しました）
3.Virtual CloneDriveでVine42-i386.isoをマウントする
4.USBメモリをFAT32でフォーマットする
5.マウントした仮想ドライブのisolinuxディレクトリの中身すべてをUSBメモリのルートにコピーする
6.isolinux.cfgをsyslinux.cfgにリネームする
7.Vine42-i386.isoをUSBメモリのルートにコピーする
8.syslinuxをゲットしてくる
9.syslinux-x.xx.zipを解凍してC:\syslinuxに設置する
10.コマンドプロンプトを開いて”C:\syslinux/win32/syslinux -ma g:”を実行する（gはUSBメモリのドライブ名）

これでUSBメモリの準備は完了！

参考：http://d.hatena.ne.jp/funkybass/20070529

あとは新サーバー機にUSBメモリを挿して、BIOSでUSBからブートするように設定すればVineのインストーラーが起動します。

次にVineのインストールですが、今回ちょっと苦戦したので個人的メモ

問題1：Vineのインストーラー起動中にカーネルパニック
解決方法：”boot:linux noapic”でインストーラーを起動する

問題2：SATAのHDDが認識しない
解決方法：BIOSでSATAのHDDをAHCIモードに変更する

問題3：インストール終了後、シャットダウンまたはリブートすると途中でフリーズする
解決方法：apt-getで最新のカーネルにアップデートする（参考：http://his.luky.org/ML/vine-users.7/msg07918.html）

どうもVineでnForce系チップはいろいろ大変なようです∩(・∀・)∩

と、ここまでやりましたがVineのロードマップだと5月にVine5がリリースされる予定なので、Vine5を待って再インストールする予定です。

« 閉じる

続きを読む… »

お客さんのメールサーバーからリレーされてくるメールだろうからS25Rのようにクライアントホストで制御するわけにもいかないしなぁ〜

海外のお客さんもいるみたいだからウチみたく海外ホストからのメールを厳しくチェックみたいなこともできない・・・

となるとベイジアンスパムフィルタくらいしか思いつかない・・・┐(´д｀)┌

そもそもスパム対策はお客さんとこでヤッテクレと言いたい！激しく言いたい！！

本来はGateway的な位置にあるサービスだからスパムをどうこうやっちゃいけないんだろうけど、現実問題として”どげんかせんといかん”わけで・・・

で、今日1日いろいろググってみたらsmtpguardというものを見つけたのですヨ！

あまり情報が無いので詳しくはまだ分かりませんが、ホストとエンベロープのFrom、Toを検査してポイントを加算、で一定時間のうちにそのポイントが一定数に達したらRJECTしたり遅延させたり、管理者に通知したすることができるらしいのです。

postfixの場合check_policy_serviceでsmtpguardを呼び出せばいいのかなぁ〜？

もう少し調べてみます・・・

« 閉じる

続きを読む… »

この機能は監視対象のサーバーのベータベース接続のチェックやロードアベレージのチェックなどに使うことを目的としています。（つまりスクリプトによる動的コンテンツということ）

このバグになぜ気が付いたのかというとload averageが22を突破したという出来事があったので、自宅サーバーにロードアベレージをチェックしてステータスを返すスクリプトを設置して、このスクリプトをサーバー監視スクリプトで監視しようと思ったのです。

以下がロードアベレージをチェックするスクリプト

#!/usr/bin/perl -w

use strict;

$ENV{’LANG’} = ‘en’;

my $UPTIME = `uptime`;
$UPTIME =~ s/.*load average: ([0-9\.]+), [0-9\.]+, [0-9\.]+.*/$1/;
$UPTIME =~ s/\s+//g;

print “Content-type: text/plain\n\n”;

if ($UPTIME > 10) {
print “Load average is Unhealthy!($UPTIME)”;
} else {
print “Load average is Healthy”;
}

exit;

でサーバー監視スクリプトのHttpdChk.confは以下のように設定

www.example.jp/uptime.cgi hoge@example.jp Load average is Healthy

これで自宅サーバーのロードアベレージが10を超えると携帯にメールがくるようになりました。( ´ー`)

« 閉じる