2011年12月17日土曜日

さくらVPSでOpenBSD (squidの設定)

squidをインストールして設定してみます。

squidはproxyサーバーですが、自分の場合「外出時にiphoneなどで何処かのサイトにアクセスしたいけど、不要な画像とかは表示したくないのでsquidでブロックしちゃうよ。」的な使い方になります。

このようなコンテンツフィルタリングにはsquidGuardなどがありますが、そこまでやる気はない(サーバーの物理メモリも少ないのでプロセスはあまり立ち上げたくない)ので、squidで出来る程度のフィルタリングになります。

設定ポリシーは

  • squidのバージョンは2.7(portsでインストール)
  • squidだけで、コンテンツフィルタリングするぞ。
  • ディスクがもったいないので、コンテンツのキャッシュは無効にします。
  • 外部からのアクセスなので、Proxy認証をかけます。
  • 画像をブロックしたときにエラーページを返すとレイアウトが崩れるのでなんとかする。

インストール

portsでインストールします。

# cd /usr/ports/www/squid/
# make install
# make clean=depends
#

/etc/rc.conf.localの設定

インストールが完了したら、/etc/rc.conf.localに下記の設定を追加します

squid_flags=""
pkg_scripts="postfix saslauthd …… 略 …… courier_imap_ssl squid"


アクセスコントロールの設定

最初にaclの設定をします。この辺はデフォルトの設定をコピペしただけです。

# Recommended minimum configuration:
#
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8	    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12	# RFC1918 possible internal network
acl localnet src 192.168.0.0/16	# RFC1918 possible internal network

acl SSL_ports  port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

ブラックリストの設定とキャッシュの無効化

/etc/squidにコンテンツフィルタリングの設定ファイル、whitelist.txt blacklist.txt blackpath.txtを置く事にします。また全てのアクセスをキャッシュしない設定にします。

# blacklistとwhitelistの設定
acl whitelist url_regex -i     "/etc/squid/whitelist.txt"
acl blacklist url_regex        "/etc/squid/blacklist.txt"
acl blackpath urlpath_regex -i "/etc/squid/blackpath.txt"

# cacheを無効にする
no_cache deny all

squidアクセスの制限設定

aclのblacklist・blackpathで定義したコンテンツはブロックします。aclのwhitelistで定義したコンテンツはブロックしません。

# cachemgrアクセス(キャッシュされたオブジェクト情報へのアクセス)は
# ローカルホストからのみ許可する。
http_access allow manager localhost
http_access deny  manager
# acl名Safe_portsで定義したポート以外へのリクエストを拒否する。
http_access deny !Safe_ports
# SSLポート以外へのCONNECTメソッドのリクエストは拒否する。
http_access deny CONNECT !SSL_ports

# whitelistは許可 と blacklist拒否
http_access allow whitelist
http_access deny  blacklist
http_access deny  blackpath
deny_info http://blackhole.example.com/index.php?url=%s blacklist
deny_info http://blackhole.example.com/index.php?url=%s blackpath

# ローカルホスト ローカルネットからのアクセスは許可する。
http_access allow localnet
http_access allow localhost

画像をブロックするとリンク切れの状態なる問題

blacklistで画像をブロックすると、squidは空白のページを返してきます。するとsafariなどのブラウザは画像のリンクが切れていると判断して、はてなマークのアイコンを表示してしまい画面が見づらくなってしまいます。

画像link切れ

これを回避するために下記の設定を行い、ブロックした場合はhttp://blackhole.example.com/index.phpに飛ばします。index.phpでは引数に指定されたURLにより出力内容を変えてあげます。

deny_info http://blackhole.example.com/index.php?url=%s blacklist
deny_info http://blackhole.example.com/index.php?url=%s blackpath

index.phpは拡張子をみて、それに見合った1dotの白画像を出力するだけの簡単なプログラムです。

<?php
error_reporting(0);
if(preg_match('/\.(jpeg|jpg|jpe)$/',$_GET['url'])){
    $img = file_get_contents('./images/spacer.jpg') ;
    header('Content-type: image/jpeg') ;
    echo $img ;
}
elseif(preg_match('/\.(png)$/',$_GET['url'])){
    $img = file_get_contents('./images/spacer.png') ;
    header('Content-type: image/png') ;
    echo $img ;
}
elseif(preg_match('/\.(gif)$/',$_GET['url'])){
    $img = file_get_contents('./images/spacer.gif') ;
    header('Content-type: image/gif') ;
    echo $img ;
}
else{
    echo "" ;
}
?>

この設定をした後の画面は下記のようになりすっきりします。

画像link切れ対処

認証の設定

外部サイトのproxyなので他人に使用されないように認証をかけます。basic認証だと平文でパスワードが流れてしまうので、Digest認証を使うことにします。

## 認証設定
# digestを使用
auth_param digest program /usr/local/libexec/digest_pw_auth /etc/squid/digpass
# 認証プロセスの数を指定します。
auth_param digest children 5
# ダイジェスト認証の「ユーザ名・パスワード画面」に表示する文字
auth_param digest realm Squid proxy-caching web server
# クライアントエージェントの有効性をチェックする時間を指定します
auth_param digest nonce_garbage_interval 5 minutes
# nonce(臨時・その場限り)の有効性のチェックする時間を指定します
auth_param digest nonce_max_duration 30 minutes
# nonceの使用できる回数を指定します。
auth_param digest nonce_max_count 50
# Squidでnonceのカウンターを1づつ進めていきます。
auth_param digest nonce_strictness on
# このディレクティブはoffにセットされたならnonceのカウントチェックを無効
auth_param digest check_nonce_count off
auth_param digest post_workaround off

# 認証を要求
acl password proxy_auth REQUIRED
# 認証を通ったアクセスは許可
http_access allow password
# そのほかのアクセスはすべて拒否する
http_access deny all

設定値はsquid.confのコメントに書いてあったものをほぼコピーしただけです。但し、auth_param digest check_nonce_countはoffにしておかないと、iOSで認証ダイアログが繰り返し表示されてしまいました。原因を特定するのにえらい苦労しました。IDとパスワードは/etc/squid/digpassに平文でID:PASSWORDの形式で列記してあげれば良いです。

それ以外の設定

ヘッダ情報やキャッシュなどの設定を行います。

# ドットなしのホスト名にローカルなドメイン名を付加します。
append_domain .example.com

# squidが受け付けるhttpのポート番号
http_port 1234

## ヘッダー情報の設定
# 内部 IP アドレスが送られないようにする
forwarded_for off
# Proxyの存在を知らせない
header_access X-Forwarded-For deny all
header_access Cache-Control deny all

## キャッシュの設定
# 複数のsquidサーバで、お互いのキャッシュ情報を参照し、効率的に連携させることができる。
# 無効にするには "0"を設定する。
icp_port 0
# IPキャッシュの数
ipcache_size 5120
cache_mem 32 MB
# キャッシュは無効にしてあるので /dev/nullに設定
cache_dir null /dev/null
maximum_object_size 512 KB
maximum_object_size_in_memory 16 KB

## ログの設定
# ストレージ・マネージャーの活動を記録しない
cache_store_log none
# apache風ログで出力
emulate_httpd_log on
logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %<st %Ss:%Sh
access_log /var/squid/logs/access.log common
# クライアントごとの統計を無効
client_db off

設定のチェックと起動

最初に設定した記述が正しいかチェックします。エラーメッセージが出なければ問題なしです。

# /usr/local/sbin/squid -k parse
#

設定に問題無ければキャッシュディレクトリを作成します。今回はキャッシュ無しなのでやらなくても問題ないと思うのですが一応… ディレクトリを作成したら起動させます。

# /usr/local/sbin/squid -z
2011/12/16 00:36:03| Creating Swap Directories
# /etc/rc.d/squid start
squid(ok)
# 

起動したら、ブラウザ側にproxyの設定を行い、接続および認証ができるか確認してみます。


blacklistの作成

blacklistは、頻繁に訪れるサイトの不要な画像やjavascript,iframe等のリンクを抽出して/etc/squid/blacklist.txtに正規表現で記述していきます。同様に不要なパスを/etc/squid/blackpath.txtに正規表現で記述します。

/etc/squid/whitelist.txtにはブロックしたくないコンテンツを記述していきます。特に

deny_info http://blackhole.example.com/index.php?url=%s blacklist
deny_info http://blackhole.example.com/index.php?url=%s blackpath

の設定では、"?url"にブラックリストのURLが入ってくるため、このプログラム自体がブラクックリストにマッチしてしまいフィルタリング処理がループしてしまいます。ですので上記で設定したドメインは必ずwhitelist.txtに指定します。

参考の為にブラックリストを晒しておきます。このリストは俺専用にカスタマズされているので、他の人が使用しても全く効果がないかもしれません。

フィルタリング適応前と適応後

フィルタリング適応前と適応後を比べてみます。比較するページがなんで「発言小町」なんだと言う突っ込みは無しの方向で(笑)

まずは適応前で、全体的に五月蠅い感じで、讀賣らしさが出ていますね。

適応前

そして適応後、素のHTML部分が残ってしまているのが悔しいですが、大分すっきりしました。「小町のiAppを入れろよ」と言ってくる、うざい広告のjavascriptもブロックしているのでイライラせずにブラウズする事が出来るようになりました。

適応後

2011年12月14日水曜日

さくらVPSでOpenBSD (postfix imapの設定)

さくらVPSにメールの設定を行います。ポリシーとしては下記の項目を設定してみます。

  • MTAはpostfiを使用
  • imapはcourier-imapを使用
  • メール送信にはsmtp認証を行う
  • smtp認証 imap認証にはauthdaemondを使用
  • smtp(STARTTLS)
  • Submission(STARTTLS)
  • smtps(SSL)
  • imaps(SSL)

postfix courier-authlib courier-imapをインストール

portsを使ってさくっとインストール。

インストール

# cd /usr/ports/mail/postfix/stable
# env FLAVOR="sasl2" make install
# cd /usr/ports/mail/courier-authlib
# env FLAVOR="no_ldap no_mysql no_pgsql" make install
# pkg_add /usr/ports/packages/amd64/all/courier-authlib-userdb-0.63.0p3.tgz
# cd /usr/ports/mail/courier-imap
# env FLAVOR="no_trashquota" make install
#

/etc/rc.conf.localの編集

/etc/rc.conf.localに下記の設定を追加

sendmail_flags=NO
syslogd_flags="-a /var/spool/postfix/dev/log"
postfix_flags=""
saslauthd_flags=NO
courier_authdaemond_flags=""
courier_imap_flags=NO
courier_imap_ssl_flags=""
pkg_scripts="postfix saslauthd courier_authdaemond courier_imap courier_imap_ssl"


postfixの一般的な設定

/etc/postfix/main.cfを編集して、メールの送受信テスト用に一般的な設定を行います。

/etc/postfix/main.cfの編集

myhostname  = foo.example.org
mydomain    = example.org
myorigin    = $mydomain

inet_interfaces = all
inet_protocols  = ipv4

mydestination    = $myhostname, localhost.$mydomain, $mydomain
mynetworks_style = host

alias_maps = hash:/etc/mail/aliases
alias_database = hash:/etc/mail/aliases

# postfixのversionは非表示
smtpd_banner = $myhostname ESMTP $mail_name
# 受信メールはMaildir形式で格納
home_mailbox = Maildir/

## for Blockking
##
# HELO または EHLO コマンドを要求
smtpd_helo_required = yes
# VRFYやEXPNコマンドを無効(お好みで有効に)
#disable_vrfy_command = yes
#RFC821違反のFROM:やRCPT TO:を拒否(お好みで有効に)
#strict_rfc821_envelopes = yes

# SMTPサーバがクライアントからSMTP接続の要求を受けた際に適用する制限
smtpd_client_restrictions =
	 permit_mynetworks,
	 # 逆引出来ないIPは拒否
	 reject_unknown_client,
	 # reject_listで定義されているものは拒否
	 check_client_access hash:/etc/postfix/reject_list, 
	 permit

# Fromによる制限
smtpd_sender_restrictions =
        # 送信者のアドレスのドメインにAレコードまたはMXレコードがないとき拒否
	 reject_unknown_sender_domain,
	 #アドレスがFQDNでなければ拒否
	 reject_non_fqdn_sender,
	 # sender_accessはで定義されているものは拒否
	 check_sender_access hash:/etc/postfix/sender_access
# アドレス検証状態の格納場所
address_verify_map = btree:/etc/postfix/verify


Maildirディレクトリを作成

自分のhomeディレクトリにMaildirを作成します。courier-imapがインストールされていれば、/usr/local/bin/にmaildirmakeコマンドがあると思いますのでこれを使います。

# su UserName -c '/usr/local/bin/maildirmake  /home/UserName/Maildir'
#

useraddコマンド実行時にMaildirが作成されるように/etc/skel/Maildirにも作成します。

# /usr/local/bin/maildirmake /etc/skel/Maildir
#

postfixを立ち上げます

# /etc/rc.d/postfix start
#

送受信と不正中継のチェック

送信と受信を行ってみて、正常に動作しているか確認します。受信の場合は正常に受信出来ていれば、/home/UserName/Maildir/newの下にファイルが出来ているはずです。

不正中継のチェックは第三者中継チェックなどを使えば良いでしょう。

authdaemondの設定


/usr/local/lib/sasl2にsmtpd.confを作成

smtpd.confはデフォルトでは存在しないので、新規作成して下記の設定をします。

pwcheck_method: authdaemond
authdaemond_path: /var/run/courier-auth/socket
mech_list: plain login

authdaemondにパスワードを登録

ユーザ情報を登録
# /usr/local/sbin/userdb UserName set home=/home/UserName mail=/home/UserName/Maildir uid=`id -u UserName` gid=`id -g UserName`
smtp認証時のパスワード
# /usr/local/sbin/userdbpw | userdb UserName set smtppw
Password: 
Reenter password:
imap認証時のパスワード(平文)
# /usr/local/sbin/userdbpw | userdb UserName set imappw
Password: 
Reenter password:

データベース作成
# /usr/local/sbin/makeuserdb

これで/etc/courier/以下に userdb userdb.dat userdbshadow.dat が作成されます。

/etc/courier/authdaemonrcを編集

メモリーがもったいないので立ち上がるプロセスを減らします。/etc/courier/authdaemonrcを開いて下記のように変更します。

# You may need to increase daemons if as your system load increases.  Symptoms
# include sporadic authentication failures.  If you start getting
# authentication failures, increase daemons.  However, the default of 5
# SHOULD be sufficient.  Bumping up daemon count is only a short-term
# solution.  The permanent solution is to add more resources: RAM, faster
# disks, faster CPUs...

#daemons=5
daemons=2

/etc/rc.d/courier_authdaemondを編集

OpenBSDのpostfixはchrootして動作しているので、/var/spool/postfixより上のディレクトリのファイルはアクセスは出来ません。しかしauthdaemondで認証をするためには、/var/run/courier-auth/socketにアクセスしなければならず、このままだと認証が失敗します。

これを回避するために、/var/spool/postfix/var/run/courier-auth/socket に /var/run/courier-auth/socketをハードリンクを作成して(シンボリックリンクでは認証NGになってしまいました)、postfixからもcourier-authのsocketをアクセス可能にします。

このハードリンクを作成する処理を /etc/rc.d/courier_authdaemondに追加します

rc_start() {
        mkdir -p /var/run/courier{,-auth}/
        ${rcexec} "${daemon} start"
        if [ -x /var/run/courier-auth/socket ]; then
                ln /var/run/courier-auth/socket /var/spool/postfix/var/run/courier-auth/socket
        fi
}

rc_stop() {
        ${daemon} stop
        if [ -x /var/spool/postfix/var/run/courier-auth/socket ]; then
                rm /var/spool/postfix/var/run/courier-auth/socket
        fi
}

SSLサーバ証明書の作成


サーバー秘密鍵の作成 (server.key)

# cd /etc/ssl/private/
# openssl genrsa  -out server.key -aes256 2048
Generating RSA private key, 2048 bit long modulus
.......................+++
..................................................................................................................................+++
e is 65537 (0x10001)
Enter pass phrase for server.key:   パスフレーズを入力します。
Verifying - Enter pass phrase for server.key:  パスフレーズを再度入力します。
#

パスフレーズを削除

# openssl rsa -in server.key -out server.key 
Enter pass phrase for server.key:  パスフレーズを入力します。
writing RSA key
#

証明書要求の作成(server.csr)

# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) []:Sakura
Organization Name (eg, company) []:Example Com
Organizational Unit Name (eg, section) []:foo
Common Name (eg, fully qualified host name) []:foo.example.com
Email Address []:postmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
#

自己署名の証明書の作成(server.crt)

個人使用のサーバーなので、ca署名でなく自己署名の証明書を作成します。そして、imap用の証明書imapd.pemとpostfix用の証明書postfix.pemを作成します。

# openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 3650
Signature ok
subject=/C=JP/ST=Tokyo/L=Sakura/O=Example Com/OU=foo/CN=foo.example.com/emailAddress=postmaster@example.com
Getting Private key
# (cat server.crt ; cat server.key) > imapd.pem
# chmod 400 imapd.pem
# chown _courier imapd.pem
# (cat server.crt ; cat server.key) > postfix.pem
# chmod 400 postfix.pem
# chown _postfix postfix.pem
#
# ls -al
drwx------  2 root      wheel   512 Dec 10 16:11 .
drwxr-xr-x  4 root      wheel   512 Dec  3 17:10 ..
-rw-------  1 _courier  wheel  3021 Dec 10 15:51 imapd.pem
-rw-------  1 _postfix  wheel  3021 Dec 10 16:11 postfix.pem
-rw-------  1 root      wheel  1346 Dec 10 15:48 server.crt
-rw-------  1 root      wheel  1074 Dec 10 15:47 server.csr
-rw-------  1 root      wheel  1675 Dec 10 14:17 server.key
#

postfixの認証用の設定を追加

/etc/postfix/main.cfを編集して、postfixの認証用の設定を追加します。

/etc/postfix/main.cfの編集

## for Auth
##
# SASLによるSMTP認証を使用
smtpd_sasl_auth_enable = yes
# メールの配送や中継の制限を設定
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated,reject_unauth_destination
smtpd_sasl_local_domain = 
# noanonymous : 匿名での接続を拒否。
smtpd_sasl_security_options=noanonymous

## for SMPT over SSL
##
# STARTTLSサポートを案内するが、クライアントがTLS暗号化を使うことを強制はしない
mtpd_tls_security_level = may
# tlsのログレベル
smtpd_tls_loglevel = 1 
# 証明書の場所
smtpd_tls_cert_file = /etc/ssl/private/postfix.pem
smtpd_tls_key_file =  /etc/ssl/private/postfix.pem
tls_random_source = dev:/dev/urandom


/etc/postfix/master.cfを編集

/etc/postfix/master.cfを編集して、submission(port 587)とsmtpsを有効にします。smtpsがあるのでsubmissionは不要な気もするが一応設定しておきます。

設定前
#submission inet n       -       -       -       -       smtpd
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING

設定後
submission inet n       -       -       -       -       smtpd
  -o smtpd_tls_security_level=may
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING

設定前
#smtps     inet  n       -       -       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING

smtps     inet  n       -       -       -       -       smtpd
    #smtpd_tls_wrappermode=yes を有効にしないとthunderbirdのsmtpsが動かなくてはまった
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING


接続・認証テスト


authdaemond imaps postfixの起動

テストの前にauthdaemond imapsを起動します。postfixは設定が変わったので再起動させます。

# /etc/rc.d/courier_authdaemond start
courier_authdaemond(ok)
# /etc/rc.d/courier_imap_ssl start
courier_imap_ssl(ok)
# /etc/rc.d/postfix restart
postfix(ok)
postfix(ok)
#

認証用データの作成

認証データはperlを使って簡単に作成できます。

perl -MMIME::Base64 -e 'print encode_base64("username\@domain\0username\@domain\0password");'

例えば、ユーザー名が"FOOBAR"でパスワードが"HOGEHOGE"の場合は、次のようにして作成します。

# perl -MMIME::Base64 -e 'print encode_base64("FOOBAR\0FOOBAR\0HOGEHOGE");'
Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==
#

作成したデータを確認したい場合は次のようにします。

# echo "Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==" | nkf -mB | perl -pe 's/\0/\n/g'
FOOBAR
FOOBAR
HOGEHOGE
#

smtp(port 25)への接続

最初は暗号化されていない(非STARTTLS)接続で通信してみます。

# telnet localhost smtp
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 foo.example.org ESMTP Postfix
EHLO localhost
250-mail.example.org
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
auth plain Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==
235 2.7.0 Authentication successful
quit
221 2.0.0 Bye
Connection closed by foreign host.
#

次は暗号化された(STARTTLS)接続で通信してみます。

# openssl s_client -crlf -starttls smtp -connect localhost:smtp
CONNECTED(00000003)
depth=0 C = JP, ST = Tokyo, L = Sakura, O = Example Com, OU = foo, CN = foo.example.com, emailAddress = postmaster@example.com
verify error:num=18:self signed certificate
verify return:1

---- 色々出力されるので略 ----

250 DSN
EHLO localhost
250-foo.example.org
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
auth plain Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==
235 2.7.0 Authentication successful
quit
221 2.0.0 Bye
closed
#

submission(port 587)への接続

smtpの時と同じように、非STARTTLSとSTARTTLSで接続してみます。

# telnet localhost submission
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 foo.example.org ESMTP Postfix

---- 色々出力されるので略 ----

250-8BITMIME
250 DSN
auth plain Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==
235 2.7.0 Authentication successful
quit
221 2.0.0 Bye
Connection closed by foreign host.
#
# openssl s_client -crlf -starttls smtp -connect localhost:submission
CONNECTED(00000003)
depth=0 C = JP, ST = Tokyo, L = Sakura, O = Example Com, OU = foo, CN = foo.example.com, emailAddress = postmaster@example.com

---- 色々出力されるので略 ----

250-8BITMIME
250 DSN
auth plain Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==
235 2.7.0 Authentication successful
quit
221 2.0.0 Bye
closed
#

smtps(port 465)への接続

smtpsの場合は最初からSSL通信するので、コマンドオプションが少し違います。

# openssl s_client -connect localhost:smtps
CONNECTED(00000003)
depth=0 C = JP, ST = Tokyo, L = Sakura, O = Example Com, OU = foo, CN = foo.example.com, emailAddress = postmaster@example.com

---- 色々出力されるので略 ----

250-8BITMIME
250 DSN
auth plain Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==
235 2.7.0 Authentication successful
quit
221 2.0.0 Bye
closed
#

imaps(port 465)への接続

smtpsの場合は最初からSSL通信するので、コマンドオプションが少し違います。

# openssl s_client -connect localhost:imaps
CONNECTED(00000003)
depth=0 C = JP, ST = Tokyo, L = Sakura, O = Example Com, OU = foo, CN = foo.example.com, emailAddress = postmaster@example.com

---- 色々出力されるので略 ----

* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION] Courier-IMAP ready. Copyright 1998-2011 Double Precision, Inc.  See COPYING for distribution information.
0000 CAPABILITY
* CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION
0000 OK CAPABILITY completed
0001 LOGIN "FOOBAR" "HOGEHOGE"
0001 OK LOGIN Ok.
0002 logout
* BYE Courier-IMAP server shutting down
0002 OK LOGOUT completed
closed
#

これでサーバーの設定は終了しました。

2011年12月6日火曜日

さくらVPSでOpenBSD (pfの設定)

さくらVPSにOpenBSDをインストールした訳だが、最初にフィルターリングの設定を行います。/etc/pf.confを下記のように設定しました。

########## Macro define
#ネットワークインターフェースの定義
ext_if="em0"

# 中継しないIPのテーブル
table <unroutable> const {127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 255.255.255.255/32}
# マルチキャストIPのテーブル
table <multicast>  const {224.0.0.1/32, 224.0.0.2/32}

# 許可するサービスの定義
services_udp="{ domain }"
services_tcp="{ ssh, smtp, domain, www, auth, imap, submission, smtps, imaps }"
icmp_types = "echoreq"

######## option
# ブロック時のポリシーは
# ブロックしたTCP パケットにTCP RST を返す
# ブロックしたUDP パケットに ICMP UNREACHABLEを返す
set block-policy return

########## normalize all packets
# パケットの正規化
match in all scrub (no-df)

########## Filtering rules
# 全てのパケットをブロック
block in log all
block out all 

# ループバックインタフェースはフィルター対象外
set  skip  on lo0

# 詐称されたパケットはブロック
antispoof quick for { lo0, $ext_if }

# URPFチェックに失敗するパケットはブロック
block in quick from urpf-failed

# 中継しないIPはブロック
block drop in  log quick on $ext_if from { <unroutable> <multicast> } to any
block drop out log quick on $ext_if from any to { <unroutable> <multicast> }

# 外向けパケット
pass out on $ext_if inet proto icmp all icmp-type 8 code 0 keep state
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto udp all keep state

# 内向きパケット
pass in inet proto icmp all icmp-type $icmp_types keep state
pass in on $ext_if inet proto tcp from any to ($ext_if) port $services_tcp flags S/SA keep state
pass in on $ext_if inet proto udp from any to ($ext_if) port $services_udp keep state

pass in quick on $ext_if inet proto tcp from any to ($ext_if) port ssh flags S/SA synproxy state
pass in quick on $ext_if inet proto tcp from any to ($ext_if) port smtp flags S/SA synproxy state
pass in quick on $ext_if inet proto tcp from any to ($ext_if) port www flags S/SA synproxy state

設定したら、記述が正しいかチェックして、OKならばロードして終わり。

# pfctl -nf /etc/pf.conf   設定チェック
# pfctl -f  /etc/pf.conf   設定をロード

さくらVPSはコンソールからログイン出来るので、フィルタリングの設定に失敗してログイン出来なくなっても、コンソールから修正が出来るので安心ですね。

ついでに、SSHのブルートフォース攻撃が五月蠅いので/etc/hosts.denyと/etc/hosts.allowも設定しておく。

/etc/hosts.deny

sshd: ALL

/etc/hosts.allow

sshd : 127.0.0.1
sshd : .jp

取りあえず、jpドメイン以外からの攻撃は防御出来る。

2011年12月5日月曜日

さくらのVPSを契約したのでOpenBSDを入れてみた

現在使用しているサーバは自由度が低いので、もっと自由に弄くれる外部サーバーが欲しくなり、さくらのVPSを契約してみました。

OSはBSDがいいな。FreeBSDは再インストールメニューに出ているので簡単に変更出来そう。でも、FreeBSD3.x以降は使っていないのでちょっと不安。現在自宅で使っているのはNetBSDだけど、さくらのVPSではNetBSDは動かないぽい。

OpenBSDはどうよ?と検索してみると さくらのVPSにOpenBSDをインストールしてみた と言うサイトが見つかった。インストール手順を見た限りでは、結構簡単にインストールできそうだし、OpenBSDは4.3ぐらいまでは使っていたので、OpenBSDしかない!(キリッ と言うことでインストールしてみました。

リンク先に書いてある手順に従えば問題無くインストール出来るので書くことは殆どないのですが、違いといえばバージョンがOpenBSD5.0とパーティションが違う事ぐらいです。

パーティション構成は下記のように、"/usr/src" "/usr/port" "/usr/X11R6" を /usr パーティションにまとめ、大きめに領域をとりました。HDDの容量が20GBしかないので結構悩んだ。

# disklabel -E /dev/rwd0c
Label editor (enter '?' for help at any prompt)
> p m
OpenBSD area: 64-41942880; size: 20479.9M; free: 0.0M
#                size           offset  fstype [fsize bsize  cpg]
  a:           500.0M               64  4.2BSD   2048 16384    1 # /
  b:           800.3M          1024128    swap                   # none
  c:         20480.0M                0  unused                   
  d:          1024.2M          2663136  4.2BSD   2048 16384    1 # /tmp
  e:          4096.0M          4760768  4.2BSD   2048 16384    1 # /var
  f:          4607.9M         13149344  4.2BSD   2048 16384    1 # /usr
  g:          5119.7M         22586240  4.2BSD   2048 16384    1 # /home
  h:          4331.8M         33071456  4.2BSD   2048 16384    1 # /usr/local
> 

インストールが終了したら、src.tar.gz syssrc.tar.gz ports.tar.gzします。展開し終わったら、portsは最新版に更新します。

# cd /usr/ports
# cvs -d anoncvs@anoncvs.jp.openbsd.org:/cvs update -Pd
#

portsを最新版にしたら、依存関係のチェックがうまく働くなりコンパイルエラーになってしまったので、/usr/src/share/mkとpkg_addを最新版にしてみる。

# cd /usr/src/share/mk
# cvs -d anoncvs@anoncvs.jp.openbsd.org:/cvs update -Pd
# make install
# cd /usr/src/usr.sbin/pkg_add/
# cvs -d anoncvs@anoncvs.jp.openbsd.org:/cvs update -Pd
# make ; make install
#

再度コンパイルしてみると、正常にコンパイルできました。mercurial postgrsql mysql postfixなど、幾つかインストールした後のディスクの状態は下記の通りです。

# df -k
Filesystem  1K-blocks      Used     Avail Capacity  Mounted on
/dev/wd0a      501854     43384    433378     9%    /
/dev/wd0g     5157310     47372   4852074     1%    /home
/dev/wd0d     1029118        12    977652     0%    /tmp
/dev/wd0f     4642990   2003500   2407342    45%    /usr
/dev/wd0h     4363534    252150   3893208     6%    /usr/local
/dev/wd0e     4125390     64112   3855010     2%    /var

/dev/wd0fにportディレクトリがあるので、コンパイル途中にディスクが溢れるないか心配でしたが、こまめに "make clean=depends;make clean=dist"すれば問題なさげ。

ちょっとはまった所

その1。/etc/rc.conf.localに下記のように書いたのだけれども、指定したデーモンがが立ち上がらなくて悩んだ

sendmail_flags=NO
syslogd_flags="-a /var/spool/postfix/dev/log"
postfix_flags=NO
mysqld_flags=""

正解は、次のように書かないと駄目みたい(5.0からか?)

sendmail_flags=NO
syslogd_flags="-a /var/spool/postfix/dev/log"
postfix_flags=NO
mysqld_flags=""

pkg_scripts="postfix mysqld"

その2。topを表示させたらcpuが1つしか表示されていなかった、よく考えてみるとカーネルがシングルプロセッサ用だったので、マルチプロセッサ用のカーネルを取ってきてリブートで認識された。

# cd /
# wget ftp://ftp.jaist.ac.jp/pub/OpenBSD/5.0/amd64/bsd.mp
# mv bsd bsd.sp
# mv bsd.mp bsd
# sync;sync;sync;
# reboot
#