月別アーカイブ: 8月 2012

QNAP TS-419P IIのバックアップ用に、お名前.com VPSにFTPSを導入する

 従来、VPSのFTPはSFTP(SSHトンネリングしたFTP)を使っていたんだけど、先日導入したQNAP NAS(TS-419P II)のバックアップサービスは、RSYNC・RTRR・FTP・FTPS(FTP over SSL/TLS)の対応だったので、セキュリティと導入容易性からFTPSを追加導入することとした。
 なお、QNAPはAmazonS3等のクラウドストレージにもバックアップすることが出来たが、既存のお名前.com VPSさくらVPSの契約があれば、VPSを利用した方が容量あたりの計算でオトク度が高いと思う。
なので、今回は、先日契約したお名前2GBメモリプランに導入した。

yumでサービスを導入して設定編集

yum install vsftpd
vi /etc/vsftpd/vsftpd.conf

anonymous_enabled=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

ssl_enable=YES
rsa_cert_file=/etc/pki/tls/certs/my.crt
rsa_private_key_file=/etc/pki/tls/private/my.pem
force_local_logins_ssl=YES
force_local_data_ssl=YES
ssl_ciphers=HIGH

匿名ログイン禁止
ローカルユーザでのログイン許可
書き込み許可
ローカルユーザはchroot(ホームディレクトリをトップとして扱う)

SSL有効
RSA公開鍵ファイルを指定
RSA秘密鍵ファイルを指定
ログイン処理はSSLを強制
データ転送はSSLを強制
SSL処理をHIGH設定に(デフォルト強度だとネゴシエートできなかった)

/etc/init.d/vsftpd start
chkconfig vsftpd on

SSL鍵自体は、いつも記事に登場しているSSLボックスのRapidSSLを利用している。

(63)


カテゴリー: サーバ設定 | コメントをどうぞ

GMOクラウドVPSの設定2

 先日契約したGMOクラウドのVPSの設定を継続。

WPのSEO Rank Reporterプラグイン用にPHPモジュール追加

yum install php-xml*

Apacheの余計な情報を削るhttpd.conf設定

ServerSignature Off
ServerTokens ProductOnly
Header unset X-Powered-By

ApacheのSSL設定

LoadModule ssl_module modules/mod_ssl.so
Listen 443
NameVirtualHost *:443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLPassPhraseDialog builtin
SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout 300
SSLMutex default
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin

ApacheのSSL用VitualHost設定

SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLCertificateFile /etc/pki/tls/certs/ssl.crt
SSLCertificateKeyFile /etc/pki/tls/private/ssl.pem
SSLCertificateChainFile /etc/pki/tls/certs/rapidssl.crt
SSLCACertificateFile /etc/pki/tls/certs/rapidssl.crt

Apacheの第一VirtualhostのDocumentRootを/dev/nullにしておく(マッチしないHostでアクセスされた場合、第一Virtualhostにアクセスされる為)

Dovecot(POP3)の導入

yum install dovecot

Postfix関連の導入(smtps認証用にcyrus-sasl導入)

yum install postfix
yum install mailx
yum install cyrus-sasl*

Muninの導入

yum install munin*

旧サーバからの転送に必要なツールの導入

yum install rsync
yum install openssh-clients

タイムゾーンの修正(デフォルトはEDTだった)

rm /etc/localtime
ln -s /usr/share/zoneinfo/Asia/Tokyo /etc/localtime

 あとは設定ファイルを書き書き。

 本番系のGMOクラウドのVPSへの移行が終わったら、開発系のさくらVPSの2GBプランを1本解約してお名前.com VPSの2GBを契約しようかな。 GMOインターネットの株式を家族名義でも取ってあるから、株主優待でお名前サーバはかなり安く利用できるし。

(109)


カテゴリー: サーバ設定 | コメントをどうぞ

GMOクラウドVPS(マイクロプラン)のUnixBenchと初期設定1

 GMOクラウドVPSの申し込みして結構時間がかって、展開遅いなぁと思っていたら、システム不具合のため新規契約のサーバ準備が遅延しているというメールが来ていた。
 初っぱなから不安を感じさせてくれた訳だけど、今日になったやっと設定完了の通知が来たので早速ログイン。
 例によってUnixBenchを実施する。

  • 初期起動
  • yum install perl-Time*
  • yum install make
  • yum install gcc
  • wget http://byte-unixbench.googlecode.com/files/UnixBench5.1.3.tgz
  • tar xzf UnixBench5.1.3.tgz
  • cd UnixBench
  • ./Run

 前回使ったものに比べて低いが、共用だからこれくらいの変動はあるだろう。

 デフォルトでディスク容量が10GBしか振られていなかった。
 サポートサイトを確認すると、お問い合わせフォームから容量変更以来を出す必要があるとのこと。 めんどくさ・・・

 必要なパッケージ類の導入

rpm -ivh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-7.noarch.rpm
yum install mailx
yum install bind-utils
yum install httpd
yum install mod_ssl
yum upgrade openssl
yum install mysql-server
yum install php
yum install php-mysql
yum install php-mbstring

 例によってiptablesが動いているのでhttp/https/smtp/pop3sをオープン。
 旧サーバからの移行なので証明書をコピー。
 /etc/my.cnf に skip-networking を追加。

 次回は上物を移してApache設定とPostfix設定を実施。

(29)


カテゴリー: サーバ設定 | コメントをどうぞ

Linuxで暗号化しながらファイルのバックアップを行う – opensslでAES256暗号化

 Linuxの管理をしているとファイルのバックアップなんかをとるのによく使うのが tar コマンド。

tar -czf /mnt/backup/backup.tgz /var/www/html

みたいな感じで使うことが多いけど、セキュリティ保護すべきファイル(/etcとか)をバックアップする場合、ファイルを暗号化しておきたい。

 Linuxでファイルを暗号化する場合には、opensslパッケージを利用するのが簡単。

openssl enc -e 暗号メソッド -in 入力ファイル -out 出力ファイル ↓
openssl enc -e -aes256 -in plain.tgz -out enclypted.tgz

※AES256暗号でplain.tgzを暗号化してenclypted.tgzに出力する
みたいな感じで使う。
 復号は -e オプションに代えて -d オプションを使用する。

openssl enc -d -aes256 -in enclypted.tgz -out plain.tgz

 また、tarもopensslもパイプで接続することも出来るので

tar -cz /var/www/html | openssl enc -e -aes256 -out enclypted.tgz

のようにして暗号化することも出来る。

 パスワードを問われるが、-k オプションでパスワードを指定することが出来るので、バッチ化する場合などには

tar -cz /var/www/html | openssl enc -e -aes256 -out enclypted.tgz -k password

のようにする。

 更に発展させて

tar -cz /var/www/html | openssl enc -e -aes256 -k password | ssh backup-server.my.tld “cat > /mnt/storage/backup.tgz.aes”

のようにして、ファイルをまとめて、暗号化して、SSHを経由して他のホストにバックアップファイルを作る、みたいな一連の動作が出来る。
SSHがパスワード認証だとインタラクティブにパスワード入力を要求されるので、バッチ化する場合にはSSHの認証を公開鍵認証にして対応する(opensslコマンドでの暗号化も公開鍵を使った場合、鍵自体を別途バックアップしておかないと復元できなくなってしまうから注意)

 ファーストサーバの件もあるので、ある程度重要な処理を行っているVPSなら、さくらVPSお名前.com VPSを両方契約して、SSH転送パターンを使って相互でバックアップをとる、みたいな動きにしておきたいところ。

(988)


カテゴリー: サーバ設定 | コメントをどうぞ

GMOクラウドVPSを新規契約した。

 先日の記事で初期費用無料キャンペーン開始をお知らせしたGMOクラウドのVPSだけど、本日がキャンペーン最終日なので、マイクロプランの契約を行った。
 マイクロプラン CentOS6標準パッケージ 持ち込みドメイン(管理委託無し) 6ヶ月で7080円となった。
 さくらVPSお名前.com VPSGMOクラウドのVPSに共通することだけど、管理画面のログインIDが自動発行なのがイマイチだな。 メールアドレスとか、自由登録とかにしてくれないと、管理画面に入るためにいちいちアカウント帳を開かなければならない。 ThinkPadの場合はCSS-PasswordManagerで指紋認証自動入力だけど。

 申し込みが完了するとダッシュボードにログインできるようになるけど、1時間たってもサービスの状態はお手続き中。 うーん、迅速にサーバがほしい場合にはちょっと評価ダウンかな?
 とりあえず、使用可能状態になったら恒例のUnixBench測定から初期導入、メール、Web、DB、セキュリティなんかの環境設定作業だな。

 というわけで、次回へつづく。

(32)


カテゴリー: レビュー | コメントをどうぞ

VPSからちょっと離れてQNAP TS-419P2を買った話

 VPSネタではないんだけど、サーバ関連ネタと言うことでQNAP TS-419P2の話。

 最近は家庭用NASが結構出てきているけど、いろいろ遊べるNASと言うことでQNAPのTS-419P2を購入した。
 こいつは、QNAPの低価格シリーズの4ベイタイプで、大体5万円ぐらいで流通しているんだけど、ドライブ無しなので、3TBを4台入れると大体10万円コース。
 RAID5を構築してGbE直結時のWindowsファイル共有転送速度は書き込み35MB/s程度で決して速いとはいえないんだけど機能が豊富。

 よくあるNAS同様Linuxベースなんだけど、普通にSSHが公開されているので、ファーム改造とか必要ない。
 基本モジュールでWindows/Apple/NFS等の共有ができるのは当たり前として、RSYNCなんかも使える。
更にWebサーバが動作して、MySQLとかも追加モジュールで簡単導入。 Wordpressなんかも追加モジュールである。
後はPPTPサーバに出来たり、OpenVPNサーバに出来たりもする。
で、これらのサービスは殆ど、簡易なGUIで設定できる。 なので、単なるNASと言うより多機能サーバと言った感じを受ける。

 有線LANはGbEが二つ。 あと、他社製の無線LANアダプタをUSBポートにつけるとそれでアクセスすることも出来る(手持ちのBuffaloアダプタで確認)
 eSATAが2本、USB3.0も2本あって、そこにストレージを追加してそれを共有したり、プリンタ共有したり出来る。 フロントにUSB2.0があって、そこにメモリを挿すと自動コピーなんて言うこともできる。
 我が家では従来からCoregaの4ベイ外付けBOXを使っていたのをそのままつなぎ替えして8+8=16TBの大容量サーバになった。 外付けストレージの方はRAID処理がオフローディングなんで80MB/s近く出る。
 内部ディスクはアクセスがないときに自動停止させたり、タイムスケジュールで動かしたりも出来るし、ファンもスマートコントロール&静音で寝室においても悪くない感じだ。

 VPSで遊んでいる人には興味を引かれる一品じゃないだろうか。
 なお、今回は4ベイモデルを購入したが、お安い1ベイ・2ベイのモデルもある。

(186)


カテゴリー: レビュー | コメントをどうぞ

GMOクラウドVPSが初期費用無料キャンペーンを開始した

 以前から初期費用がネックだとつぶやき続けていたGMOクラウドのVPSだけど、ついに初期費用無料キャンペーンが開始された。
 お名前.com VPSは、キャンペーン延長を繰り返して現在も初期費用無料でやってるんで、ディスク容量を重視する場合は対抗になるかと思う。 さくらVPSは、先日ついに初期費用無料キャンペーンが終了してしまった(1GBプランは0円だけど、GMOクラウドVPSのマイクロは性能的に2GBプランの対抗)

 計算性能=お名前
 バランス=さくら
 HDD容量は少なくてもOK=GMOクラウド
 こんな感じの選択になるだろうか? GMOクラウドは他二つよりHDD容量半減だけど性能はさくらと同等だし、長期契約時はかなり安い。
 ServersMan@VPSは相変わらずメモリ不足でインスタンスがたたずにApacheが転けることがあるみたいだし・・・

(7)


カテゴリー: レビュー | コメントをどうぞ