Errata
日本実業出版社「図解でわかるLinux サーバ構築・設定のすべて」
各章毎に、訂正箇所をピックアップしています。- 第一章 Linux導入の予備知識
- 第二章 DNSサーバの構築
- 第三章 Webサーバの構築
- 第四章メールサーバの構築
- 第五章 Ftpサーバの構築
- 第六章 Sambaサーバの構築
- 第七章 iptablesによるファイアーウォールの構築
第一章 Linux導入の予備知識
E1.P56において、insmodに関して補足の説明)
insmod はカーネルが2.4.x以前のモジュールをロードする際に使っていたコマンドですが、カーネル2.6.x以降からは、modprobeを使用します。これに伴ってもモジュール参照する設定ファイルも異なります。
カーネル2.4.x : /etc/modules.conf
カーネル2.6.x : /etc/modprobe.conf
これらのファイルに記述されているモジュールを起動時にinsmodもしくはmodprobeがロードするようにOSでは、設定が行われています。このモジュール群の在り処は、次のパスとなっています。
/lib/modules/第二章 DNS サーバの構築
E1. P85-P86のview "inside"の記述に関する訂正)
view "inside"のエントリーにグローバルの逆引き定義が誤って掲載されています。この箇所は不必要です。
削除する箇所)
match-clients { localnet; };
・
・
・
(省略)
zone "SUB96.xxx.xxx.202.in-addr.arpa" { //Delete
type master; //Delete
file "SUB96.xxx.xxx.202.in-addr.arpa"; //Delete
}; //Delete
};
※赤い部分が不要な部分です。
E2. P92のBIND起動スクリプトのパス名訂正)
BINDの起動スクリプトのパス名が間違っています。次のように訂正してください。
/etc/rc.d/init.d/bind /etc/rc.d/init.d/named
E3. BINDのインストールパスに関する補足説明)
P80の「configure操作の例」において"-- prefix=/usr/local/named"の指定がありますが、これは BINDの関連ユーティリティをインストールするパスです。この設定例で"configure"を実行するとP82のrndc.confの手順は若干異なります。
# cd /usr/local/bind9/sbin/
# ./rndc-confgen -b 512 -r /dev/urandom -k samplekey > /etc/rndc.conf
↓
訂正後
# cd /usr/local/named/sbin/
# ./rndc-confgen -b 512 -r /dev/urandom -k samplekey > /etc/rndc.conf
第三章Webサーバの構築
E1. P148のサーバ証明書に関する記述が誤っています。
サーバ証明書に相当するファイル名が、誤って使われている箇所が2箇所あります
訂正箇所)訂正前 → 訂正後
# mv server.cst /opt/www/conf/ssl # mv serverca.crt /opt/www/conf/ssl
② ファイルの説明に誤りがあります。
訂正前 → 訂正後
server.key : サーバの秘密鍵 server.key : サーバの秘密鍵
server.csr : サーバ証明書 serverca.crt : サーバ証明書
第四章 メールサーバ構築
E1. P205のPostfixのプロセス構造図において誤りがあります。
訂正したPostfixのプロセス構造を掲載します。
訂正版 Postfixプロセス構造図
第五章 Ftpサーバの構築
E1. P286のFAQの”Q2”に関しての訂正と情報追加です。
③の作業を行った後、コンパイルと導入を図ります。
# make
# make install
これで基本的にSSL/TLSのvsftpdのバイナリーがインストールされます。次に/etc/vsftpd.confの若干の編集が必要となります。
# vi /etc/vsftpd.conf (最下行に追加してください。)
ssl_enable=YES
force_local_logins_ssl=NO
force_local_data_ssl=NO
allow_anon_ssl =NO
ssl_tlsv1=YES
rsa_cert_file=/opt/certs/vsftpd.pem
上記ディレクティブの解説)
設定変数
| ssl_enable | SSL対応でサーバを稼動させます。 |
| force_local_logins_ssl | ssl_enableが有効の場合、non anonymousユーザ(一般ユーザ)はパスワード送出時に強制的にSSLコネクションとなります。 |
| force_local_data_ssl | ssl_enableが有効の場合、non anonymousユーザ(一般ユーザ)はデータ送出・受信時に強制的にSSLコネクションとなります。 |
| allow_anon_ssl | ssl_enableが有効の場合、 anonymousユーザもSSL コネクションとします。 |
| ssl_tlsv1 | ssl_enableが有効の場合TLS v1プロトコルコネクションを許可します。 |
| rsa_cert_file | 暗号化の基礎となるRSAのサーバ証明書の在り処を指定します。 |
作業が終わったら保存し、サーバを再起動あるいはスタートしてください。尚、サーバ証明書はApacheで作成したものを流用することが可能です。
以下に作成方法を解説します。実質的にはこのサーバ証明書ができていなければ起動を行ってもエラーが発生しますのでご注意ください。
# cd /opt/www/conf/ssl
# cat /opt/www/conf/ssl/serverca.crt > vsftpd.pem
# echo "" >> vsftpd.pem
# cat /opt/www/conf/ssl/serverca.key >> vsftpd.pem
# mkdir /opt/certs
# cp vsftpd.pem /opt/certs
第六章 Sambaサーバの構築
E1. P301のsmbdの起動スクリプトの訂正です。
/etc/rc.d/init.d/smb
第七章 iptablesによるファイアーウォールの構築
E1. P322のiptablesのターゲット指定の表の説明に誤りがあります。
訂正前
-t natと-A PREROUTINGを同時に用いて、送信先IPアドレスの書き換えを行う。
訂正後
-t natと-A POSTROUTINGを同時に用いて、送信先IPアドレスの書き換えを行う。
※赤い部分が訂正箇所です。
E2. P347のiptablesのログ出力レベルの出力文字に誤りがあります。
下記に修正例を置きます。
修正例)
対策が必要なレベル→iptables_debug.log
#SYNFLOOD攻撃で条件にマッチしたものはログに記録
iptables -A INPUT -m limit --limit 1/s --limit-burst 10 -j LOG --log-level
debug --log-prefix "SYNFLOOD_DEBUG"
警告レベル→iptables_warn.logに記録
#SYNFLOOD攻撃で条件にマッチしたものはログに記録
iptables -A INPUT -m limit --limit 10/s --limit-burst 20 -j LOG --log-level
warn --log-prefix "SYNFLOOD_WARN"
注意を促すレベル→iptables_notice.logに記録
#SYNFLOOD攻撃で条件にマッチしたものはログに記録
iptables -A INPUT -m limit --limit 20/s --limit-burst 30 -j LOG --log-level
notice --log-prefix "SYNFLOOD_NOTICE"
※赤い部分が訂正箇所です。
Articles RSS Feed
