情弱エンジニアのなかのblog

一人前のエンジニアになる為のブログです

インフラ構築 ポートの変更 

今回からインフラ構築の記事を書いていきます。 まずはいじくれるサーバーを用意します

最初にポートの変更を行っていきます。

現在22番でログインしているのですがどうやらSSHサービスを22番ポートで公開しているとかなり攻撃されてしまうようです。。 特にパスワード認証の場合は不正ログインされてしまう可能性もあるとのことです。

ポート番号を22から10022に変更します。

まずは変更前に10022でログインできるように設定します。 これを忘れると設定後にログイン出来なくなるので注意です。

chkconfig iptables --list

下記のように表示されます。

iptables       0:off   1:off   2:on    3:on    4:on    5:on    6:off

3:onになっていることを確認します。

もし、3:off になっていた場合は、以下のコマンドを実行して 3:on にします。

chkconfig iptables on

つづいて 「/etc/sysconfig/iptables」を記載していきます。

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT

COMMIT

上記を設定するとサーバー側でSSHポートを10022に設定されます。

続いて下記で設定変更を行います。

vi etc/ssh/sshd_config

ポートの設定があるので下記のように設定します。

Port 22        #もともとのポート番号
Port 10022     #追加したポート番号

設定を有効にするために下記を実行します

service iptables restart

service sshd restart

ポートの設定を確認するためにNmapを使って確認します。

nmap -p 1-10022 hostname

下記のように表示されるはずです。

PORT      STATE  SERVICE
22/tcp    closed ssh
10022/tcp open   unknown

Nmapなんてしらないよーと言われたら下記コマンドでインストールしてください。

yum -y install nmap

10022 のポート設定を確認しましたら22の設定を削除します。

vi etc/sysconfig/iptables

設定から22番を取り除きます

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT

COMMIT

続いて下記も設定変更を行います。

vi etc/ssh/sshd_config

ポートの設定から22を削除します。

Port 10022     #追加したポート番号

編集後は忘れずに下記を実行します。

service iptables restart

service sshd restart

最後にnmapを実行してポートを確認します。

nmap -p 1-10022 hostname

先程は22もあったのですが10022だけになっていることを確認します。

PORT      STATE SERVICE
10022/tcp open  unknown

以上が済みましたら実際に22では入れないことも確認します。 ですが10022でもうまく入れないのでまだ引き続きになります。

下記サイトを参考にいたしました。

CentOS の SSH ポート番号を変更する | Webセキュリティの小部屋

qiita.com

DNS サーバ構築その12

前回の続きとしてファイアーウォールの設定をしていきます。

サーバー以外のマシンからBINDの名前解決をリクエストできるように、サーバーのファイアーウォール設定を変更していきます。

まずはルート権限で下記を実行します。

firewall-cmd --permanent --add-service=dns --zone=public

とうつと「success」と表示されます。 ちなみに permanentと--add の間にスペースがないだけで失敗したので全て正確に記載する必要があります。

firewall-cmd --reload

成功すると「success」と表示されます。

現在のサーバー設定では、名前解決にブロードバンドルーターを利用するように設定するように設定されているので 名前解決にBINDを利用するように設定を変更します。 設定は「NetworkManager TUI」を利用します。

nmtui

「接続の設定」を選択します。

f:id:nonaka-katuma-hal:20180704003358j:plain

「編集」を選択します。

f:id:nonaka-katuma-hal:20180704003535j:plain

IPv4設定」にある「DNSサーバー」を自宅サーバーのIPアドレスに変更します。

f:id:nonaka-katuma-hal:20180704003624j:plain

設定が終わったら終了して下記を実行します。

systemctl restart network.service

名前解決が行われているかはdigコマンドで確認できます。

dig A server.hoge.mydns.jp

下記表示されましたので成功となります。

;; ANSWER SECTION:
server.hoge.mydns.jp. 86400 IN    A     192.168.xx.xx

サーバーのIPアドレスが表示されれば正常に名前解決が行われています。 続いて逆引きの確認は下記のコマンドになります。

dig -x 192.168.xx.xx

下記表示されると正常に逆引きができていまして接続完了となります。

;; ANSWER SECTION;
xx.xx.168.192.in-addr.arpa. 86400 IN     PTR    server.hoge.mydns.jp

続いてlan内のPCのネットワーク設定を変更して設置したDNSで名前解決をしていきます。 設定を開きます 「ネットワークとインターネット」を選択します。

f:id:nonaka-katuma-hal:20180704231849j:plain

イーサネット」→「アダプターのオプションを変更する」を選択します。

f:id:nonaka-katuma-hal:20180704231928j:plain

接続を行っているネットワークデバイスのアイコン上で右クリックをして「プロパティ」を選択します。

プロパティで「この接続は次の項目を利用します」の中から「インターネットプロトコルバージョン4 (TCP/IP)」を選択して「プロパティ」ボタンをクリックします。

f:id:nonaka-katuma-hal:20180704232429j:plain

f:id:nonaka-katuma-hal:20180708141709j:plain

「次のDNSサーバーのアドレスを使う」を選択して「優先DNSサーバー」にBINDを設置したサーバーのIPアドレスを設定します。 「代替DNSサーバー」にブロードバンドルーターのIPアドレスを設定します。 設定が完了したら「OK」をクリックします。

以上ですべて完了となります。

DNS サーバ構築その11

だいぶ時間が空いてしまいましたが前回の続きから記載します。

まずは前回下記設定で終わっていたかと思います。

vim /var/named/named.hoge.mydns.jp.zones

このファイルには正引きと逆引きの設定を記載していきます。 正引きと逆引きの説明は下記になります。

DNSサーバでの名前解決では、ホスト名からIPアドレスを探し出す方法とIPアドレスからホスト名を探し出す方法の二種類があります。 ホスト名からIPアドレスを探し出す方法を「正引き」 逆にIPアドレスからホスト名を探し出す方法を「逆引き」と呼びます。

では実際に記載していきます。

zone "hoge.mydns.jp" {
    type master;
    file "hoge.mydns.jp.db"
}

zone "1.168.192.in-addr.arpa" {
    type master;
    file "1.168.192.in-addr.arpa.db"
}

まず正引き設定(上部)に関してですが こちらは以前設定したドメイン名を入力します。末尾には.dbと記載します。

続いて逆引き設定(下部)に関してですが こちらはLANのサブネットのIPアドレス部分の最後に記載されている数値を削除して、残りを逆に記述して、 末尾に「.in-addr.arpa」を追記します。 例えばサブネットマスクが「192.168.1.0」の場合は「1.168.192.in-addr.arpa」となります。

続いて正美気の定義ファイルの作成を行います。 root権限でテキストファイルを作成しますファイルは「var/named」ディレクトリ内に作成します。

/var/named/ vim hoge.mydns.jp.db

設定内容を記載していきます。ドメイン名を指定する場合は末尾に「.」をつける必要があります。入力したらファイルを保存してテキストエディタを終了します。

$TTL 86400
@       IN      SOA hoge.mydns.jp. root.hoge.mydns.jp. (
                2018062701 ; Serial
                3h         ; Refresh
                1h         ; Retry
                1w         ; Expire
                1h )       ; Minimum

        IN  NS      server.hoge.mydns.jp.
        IN  MX1 10  server.hoge.mydns.jp.
@       IN  A       192.168.1.1
server  IN  A       192.168.1.1
www     IN  A       192.168.1.1
ftp     IN  A       192.168.1.1
mail    IN  A       192.168.1.1

続いては逆引きの定義ファイルの作成を行います。 先ほどと同じくroot権限でテキストエディタを起動して編集します。 ファイルは「var/named」ディレクトリ内に作成します

var/named vim 1.168.192.in-addr.arpa.db

設定を記載していきます。 ファイル内の最後の行の「3」に関してですがIPアドレスの最後の数字を指定します。例えば「192.168.1.3」なら「3」と指定します。

$TTL 86400
@       IN      SOA     hoge.mydns.jp. root.hoge.mydns.jp.(
                        2018062701 ; Serial
                        3h         ; Refresh
                        1h         ; Retry
                        1w         ; Expire
                        1h )       ; Minimum
                        
        IN      NS      server.hoge.mydns.jp.
3       IN      PTR     server.hoge.mydns.jp

namedサービスを有効にします root権限で下記を実行します

systemctl restart named-chroot.service

続いてCentOS を起動した際にBINDを同時に起動するように設定します。

systemctl enable named-chroot.service

DNS サーバ構築その10

前回まででネットワークの設定を行ったので再度DNSサーバー設定を行っていきます。

まずはBIND全体の設定を行います

etc/named.conf ファイルの編集をしていきます。

vim named.conf

どのネットワークからのリクエストを受けつけるかを設定します

listen-no port 53 { 127.0.0.1; xx.xx.xx.x/24 };

ちなみにサブネットマスクの確認方法は コントロールパネルから「ネットワークとインターネット」

f:id:nonaka-katuma-hal:20180530001711j:plain

「ネットワークと共有センター」

f:id:nonaka-katuma-hal:20180530001811j:plain

「アダプターの設定の変更」

f:id:nonaka-katuma-hal:20180530002451j:plain

有線の場合は「イーサネット」、無線の場合は「Wi-Fi」アイコンを右クリックで「状態」をクリック 「詳細」をクリックして「IPv4 サブネット マクス」欄を確認してください。

続いて17行目当たりのリクエストをうける設定をします

allow-query ` localhost; xx.xx.x.x/24; };

続いてDNSサーバーへ担当していないドメインの問い合わせがあった場合問合せを転送する設定を先ほどの次の行に追加します 設定はDNSサーバのIPアドレス、プロバイダのDNSサービス阿多はブロードバンドルーターを設定します

forwarders { xx.xx.xx.xx } ;

51行目あたりの設定を変更して家庭内のLANからの問い合わせについての設定を行います。

view "internal" {
  zone "." IN {
    type hint;
    file "named.ca"
  
};
 include "etc/named.huga.zones";
 include "etc/named.hoge.mydns.jp.zones";

ここまで設定したら保存します。

続いてゾーンの定義ファイルを作成します。root権限でテキストエディタを起動して編集します。 編集するファイルは「var/named」ディレクトリ内に、先ほどののincludeで設定したファイル名を指定します。

vim /var/named/named.hoge.mydns.jp.zones

DNS サーバ構築その9

ドメインの取得も完了したのでlinuxの設定に戻ります。

サーバーのホスト名とドメイン名を変更します。 ダイナミックDNSサーバーに登録した名前をホスト名とドメイン名に分けて考えます。 最初のピリオドまでを「ホスト名」、それより後が「ドメイン名」となります。

では再度

nmtui

でNetworkManagerを開きます。

f:id:nonaka-katuma-hal:20180522232039j:plain

システムのホスト名を設定するでエンターをおします。

ホスト名を入力します。前回の記事で作成したドメインを使います、

f:id:nonaka-katuma-hal:20180522233259j:plain

設定が終わったら一度システムを再起動します。

IPアドレスの更新

IPアドレスを更新する設定をしていきます。そのためにもPOPサーバーにアクセスしてメールを自動取得するアプリケーションの「Fetchmail」を利用します。

yum install fetchmail

インストールで結構時間がかかるのでひたすら待ちます。 インストールが終わったらfetchmailの設定をしていきます。 ファイルをエディタ等で編集します。

nano /root/.fetchmailrc

下記内容を記入します。

defaults
 no rewrite
 no mimedecode

poll ipv4.mydns.jp
 protocol pop3
 username <MyDNS.jpのMasterID>
 password <MyDNS.JPのパスワード>

poll ipv6.mydns.jp
  protocol pop3
 username <MyDNS.jpのMasterID>
 password <MyDNS.JPのパスワード>

username と passwordは以前のドメイン設定時に届いたメールを確認してください。

作成したファイルのアクセス権限を変更します

chmod 700 /root/.fetchmailrc

定期的にIPアドレスを更新するように、Fetchmailを定期的に実行する設定をします。 root権限で下記を実行します。

EDITOR=/usr/bin/nano crontab -e

下記を記載します。

*/10 * * * * /usr/bin/fetchmail --all > /dev/null 2>&1

10分おきに更新を行う場合上記のように記載します。 これでIPアドレスが自動的に更新するようになりました。

crontabがないとエラーが出たらインストールします

yum install crontabs

ネットワークの設定はこのくらいとなります。 今回はここまでになります。

DNS サーバ構築その8

前回に引き続きネットワークの設定をしていきます。

状態確認

まず現状のネットワークインタフェースの状態を確認するために

ip addr show

を実行しますと

ホストのネットーワーク状態を確認するには

nmcli device

を実行します現状接続されているかを確認できます。

f:id:nonaka-katuma-hal:20180514233144j:plain

ちなみに前回から設定をしているのがデバイスの「enp0s3」です

ネットワークインタフェースの現在の設定状態を確認する方法として

nmcli device show

というコマンドもあります。

設定コマンド

つづいて固定IPアドレス設定を行うコマンドが下記になります

nmcli connection modify enp0s3 ipv4.method manual ipv4.addresses "192.168.1.4/24, 192.168.1.1"

enp0s3 : ネットワークインタフェースの名称

ipv4.method manual ; 固定IPアドレスで設定するため

192.168.1.4/ : IPアドレス

24, : ネットマスク長

192.168.1.1" : デフォルトゲートウェイ

続いてDNSサーバの設定を行うコマンドを実行します

nmcli connection modify enp0s3 ipv4.dns "192.168.1.1"

ホスト名とドメイン名の設定を行います。

hostnamectl set-hostname localhost.localdomain

ネットワークの設定を変更したらネットワークを再起動して設定を有効にします。再起動は下記コマンドになります root権限が必要になります。

systemctl restart NetworkManager

DNSサービスの登録

DNSサービスを通して独自のドメインを取得します。 今回は下記のサイトを利用しました。

www.mydns.jp

まずは右上の「JOIN US」をクリックします。

f:id:nonaka-katuma-hal:20180517000219j:plain

続いてアカウントの登録を行います。 氏名、住所、電話番号、メールアドレスなどを記載します。

入力が完了したら確認用キーを入力して 「CHECK」ボタンを押します。

f:id:nonaka-katuma-hal:20180517000344j:plain

入力情報確認画面で間違いがなければOKボタンをクリックします。

f:id:nonaka-katuma-hal:20180517000544j:plain

登録が完了しますと設定したメールアドレスにIDとパスワードが記載されたメールが届くので確認します。

User LoginにMasterID , Password を入力してログインます。

f:id:nonaka-katuma-hal:20180517000724j:plain

ログイン出来たら、DMAIN INFOをクリックします

f:id:nonaka-katuma-hal:20180517000658j:plain

ドメインを取得

「mydns.jp」ドメインは無料で利用することができます。 ドメイン名、MXレコード、ホスト名などを入力します

f:id:nonaka-katuma-hal:20180517232720j:plain

ドメインが取得出来たら以下画面になります。

f:id:nonaka-katuma-hal:20180517233413j:plain

IPアドレス登録

画面左の「IP ADDR DIRECT」をクリックします

f:id:nonaka-katuma-hal:20180517233600j:plain

IPv4 Address」にグローバルIPアドレスを入力します。 IPv6アドレスがわかる場合は「IPv6 Address」に入力して「CHECK」ボタンをおします。

下記サイトでIPv4アドレスとIPv6アドレスを調べることができます

ipv6-test.com

確認画面で「OK」をクリックして完了です。

f:id:nonaka-katuma-hal:20180517235201j:plain

以上で登録は完了になります。というところで今回はここまでになります。

DNS サーバ構築その7

DNSサーバ構築がなかなか行き詰っているので一回立ち戻って基本から設定していきます まずネットワークの設定からしていきます。

まず下記コマンドをうちます

nmtui

これでNetwork Managerの設定ツールが開きます

f:id:nonaka-katuma-hal:20180512135146j:plain

ネットワークを有効にする

まずネットワーク機能を有効にするために「接続をアクティベートにする」を選択します。

f:id:nonaka-katuma-hal:20180512135307j:plain

表示されたネットワークインタフェースを選択してエンターを押します これでネットワークが有効化されます。

自動的にネットワークを有効にする

このままではシステムを再起動するとネットワーク接続がとぎれてしまうのでシステム起動時に自動的にネットワークに接続する設定を行います。

f:id:nonaka-katuma-hal:20180512135735j:plain 今度は接続の編集を選びます

f:id:nonaka-katuma-hal:20180512135653j:plain

「自動的に接続する」にカーソルを合わせてスペースキーを押すと[X]マークがつくのでOKを選択します。 これでシステム起動時にネットワーク機能が自動的に有効になります。

固定IPの設定

IPの設定を行います

f:id:nonaka-katuma-hal:20180513115300j:plain

接続の編集を選択します

f:id:nonaka-katuma-hal:20180513120110j:plain

IPv4設定を選択して「手作業」を選びます 右側の「表示する」を選択します

f:id:nonaka-katuma-hal:20180513120229j:plain

ここで各種設定を行います。 まず「アドレス」にサーバのIPアドレスを設定します。 続いて「ゲートウェイ」にルーターIPアドレスを記載します 続いて「DNSサーバ」に同じくルーターIPアドレスを記載します。

設定ができたらOKを押して完了です。 固定IPアドレスを有効にするには先ほど行ったネットワークの有効化の手順で一度無効化して再度有効化します。

f:id:nonaka-katuma-hal:20180513120854j:plain

ホスト名の設定

f:id:nonaka-katuma-hal:20180513120936j:plain

ホスト名の設定で「システムのホスト名を設定する」を選びます。

f:id:nonaka-katuma-hal:20180513121029j:plain

OKを押して完了です。

今回はここまでになります。