iptablesの設定(セキュリティ編)

iptablesの設定の重要さはいうまでもありません。
Linuxを運用するならサーバ、デスクトップ問わずある程度のセキュリティを考える必要性があるでしょう。
そこで色々と設定例を出したいのですが、あまり時間もないせいで出来てない

と、いうことで設定時に役に立ちそうなリンク集を貼っておきます。
設定例
http://linux.shoukun.com/security/iptables.htm
http://d.hatena.ne.jp/Ubuntu/20080128/1201462048
http://arisonsvr.org/web/maincontents/serverset/iptables/iptable.html
http://www.nina.jp/server/redhat/iptables/iptables.html

iptables概要、コマンドマニュアル
http://cyberam.dip.jp/linux_security/iptables/iptables_main.html
http://www.linux.or.jp/JM/html/iptables/man8/iptables.8.html

NIC2枚挿しでFWを構築する

LinuxをホストとしてNICを2枚用意する。
その上で1枚目のNICを通して2枚目のNICを橋渡しします。
その際不必要なパケットをなるべく破棄する、またはパケット状況を監視するサーバを構築してみたいと思います。
通常はNICを2枚用意するのでノートブックでは実現性が薄いですし、ほぼルータとしての役割を果たすことになるのでNICの向こうで作業を行う場合、連動して稼動している必要があります。
ですので、実稼動させる環境は個人ではさほど無いと思いますが、機能があるなら何かの役に立つと思いますし、やってみようよ、ってところでしょうか。

今回の検証ではVMWareにて検証したので物理NICではうまく行くわかりません。
しかしながら、VMWare社の製品のネットワーク技術の仮想化には目を見張るものがあり、信用に値すると思います。

NICを2枚用意するので仮想環境では仮想PCに2枚NICの設定を行っておきます。
今回の対象はLinuxです。
検証環境はUbuntuServer8.10ですが、iptablesを使うのでRedHat系でも問題ないでしょう。
もちろんDebianもいけると思います。

行うことはいたって簡単で、ファイアウォールサーバに以下のコマンドを投入するだけです。
SOURCE_IP=192.168.0.0/24
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s ${SOURCE_IP} -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s ${SOURCE_IP} -j MASQUERADE

NIC間パケット転送制御は「ip_forward」にて０か１で制御するそうです。
０で遮断、１で透過です。
今回はNIC間どうしでパケットの往来があるので１を投入します。
または「sysctl -w net.ipv4.ip_forward=1」としても実現できます。
この方がコマンドですし、しっくり来るかもしれませんね。

次にiptablesの設定ですが、eth0のネットワークに接続されているノードに対してパケットを送信する場合はeth0からパケットが再送信される形に持って行かないといけません。
送信元がeth1セグメントのノードであってもeth0セグメントからみるとeth0からパケットが飛んでくるので。
よくわかんないけどたぶんそういうことだと思う(←適当)。
2行書いてあるのはどちらからも対応させるためです。
まぁ、かなり適当に書いていますが、色々なサイトを参考にしてもよく理解できないんですよね。。。

今回eth0セグメント、eth1セグメント同じネットワークセグメントですが、マスカレードは必要です。
その為、違うセグメントでも行うことはまったく一緒です。

多くのサイトではここまでの解説しかありません。
ですので、付加情報はあれこれ記載はされていますが、iptablesの使い方の延長線上です。
実際にこれだけで構築できるのかもしれませんが、今回はプラスルーティングが必要になり、答えに結びつくまでにだいぶ頭を使ったので記載しておきます。

まず、ファイアウォールサーバのデフォルトゲートウェイがeth0側、および無設定の場合。
パケットの送信にはデフォルトでeth0を使います。
その為、他のノードと通信を図る場合、eth0を使おうとします。
ですので、eth1セグメントのノードにping送信しても「Destination Unreachable」となります。
それどころかeth1にpingを飛ばしても届きません。
自ホストにあるのに・・・
なのでそれぞれのNICのノードと通信をするためどちらのNICにどのようなノード(IPアドレス)があるのかを明確にします(ルーティング)。

ETH0_IP=192.168.0.1
ETH1_IP=192.168.0.129
ETH0_NETWORK=192.168.0.0
ETH1_NETWORK=192.168.0.128
CMD=/sbin/route

${CMD} add -net ${ETH1_IP} netmask 255.255.255.255 gw ${ETH1_IP} eth1
${CMD} add -net ${ETH0_NETWORK} netmask 255.255.255.128 gw ${ETH0_IP} eth0
${CMD} add -net ${ETH1_NETWORK} netmask 255.255.255.128 gw ${ETH1_IP} eth1

上記はeth0に接続されているノードは192.168.0.0/25で
eth1に接続されているノードが192.168.0.128/25の場合です。
同一セグメントですが、別セグメントであればnetmaskは255.255.255.0でよいと思います。
eth1へのルーティングはETH1_NETWORKに含んでいるので必須ではありません。
これでファイアウォールサーバからは各NIC配下の全ノードに対し通信が可能なはず。

次にクライアントの設定です(しんどい)。
今回はETH1_NETWORKもETH0_NETWORKも同一セグメントです。
ですので多くの場合はこのセグメントから出るためにデフォルトゲートウェイが別にあるのではないでしょうか。
（わざわざ同一セグメントのルーティングをするためにデフォルトゲートウェイを使っているとは思えない。）
その場合はこの設定だけではファイアウォールの先のノードに到達できません（でした）。

windowsの場合
ROUTE -F

SET LOCALHOST=192.168.0.2
SET ROUTER=192.168.0.126
SET GATEWAY=192.168.0.1

ROUTE ADD 192.168.12.0 MASK 255.255.255.128 %LOCALHOST% METRIC 10
ROUTE ADD 192.168.12.128 MASK 255.255.255.128 %GATEWAY% METRIC 10
ROUTE ADD 0.0.0.0 MASK 0.0.0.0 %ROUTER% METRIC 10

Linuxの場合
LOCALHOST=192.168.0.130
GATEWAY=192.168.0.129

route add -net 192.168.0.0 netmask 255.255.255.128 gw ${GATEWAY} metric 10 dev eth0
route add -net 192.168.0.128 netmask 255.255.255.128 gw ${LOCALHOST} metric 10 dev eth0
route add -net 0.0.0.0 netmask 0.0.0.0 gw ${GATEWAY} metric 10 dev eth0

上記のように設定すれば、全てのノードで問題なく稼動すると思います。
windowsの例はETH0_NETWORKに属する場合の設定。
Linuxの例はETH1_NETWORKに属する場合の設定です。
尚WANや、他のセグメントに移動するためのデフォルトゲートウェイがETH0_NETWORKに属している場合になります。

次回、があればファイアウォールサーバのiptablesについて触れようと思います。

close

CentOS 5.2でRAIDを管理する

個人利用であっても商用管理であってもサーバを維持するということはその役割はデジタルライフを快適なものにするために重要な位置づけにあることでしょう。
商用管理の場合知識あるエンジニアたちが集まってさまざまな対策を行うので管理において非常に強固な環境を構築できます。
では個人利用でその大切なデータを保護するためにもっとも有効な手段とは何か。
セキュリティの話を除けばデータの保護でもっとも現実性が高く、容易な管理が行えるのはやはりRAIDではないでしょうか。
今回はRAIDの構築の備忘録です。

さて、一言でRAIDといってもいくつか種類がありますが、個人なら以下の3点が主流じゃないでしょうか。
RAID-0(ストライピング)
RAID-1(ミラーリング)
RAID-5(分散パリティ)

今回はデータ保護、の観点で見たいと思いますのでRAID-1かRAID-5を組みます。

RAIDの構築タイミング
データの完全性を考えた場合、初回のRAIDの構築タイミングはインストール時に構築してしまうのが良いでしょう。
初回で構築してしまうことのメリットはなんと言っても容易であること。
ひとつのディスクでレイアウトを構築してしまえば2台目以降はディスクレイアウトをコピーできるので非常に楽です。
もちろんGUIインストールだった場合ですが。
RAIDを構築する場合パーティションをRAID領域用にフォーマットします。
このRAID領域に2台以上参加させて、ひとつのパーティションを作成したらさらにEXT3などのフォーマットが必要になります。
これらの手間とフォーマット類を扱うリスクを考えるとインストール時の構築が良いと思われます。
まして/bootや/パーティションを後からRAID化するのはリスクの塊です。
ですのでRAID構築を考えたらインストール時に行う事を検討に入れてみてください。
もちろん一部のパーティションのみをRAID化するというのであればまったく問題ありません。

RAIDの確認
インストール時にRAID構築を行ってしまった場合インストール後の起動に問題がなければRAIDはほぼ問題なく稼動していると思います。
稼動状況は/proc配下で監視されます。

# cat /proc/mdstat
Personalities : [raid6] [raid5] [raid4] [raid1]
md0 : active raid1 sdc1[2] sdb1[1] sda1[0]
      256896 blocks [3/3] [UUU]

上記はRAID-5を構成した場合です(一部略)。
Personalities でRAID構成がいくつあるのかわかります。
md0 は/dev/md0のことであり、パーティションの集まりです。
どこのパーティションが集まっているのかがsdc1[2] sdb1[1] sda1[0]でわかります。
3行目の[UUU]で稼動状況がわかります。
この[UUU]が[UU_]になるとRAID-IDの2番目、すなわちsdc1[2]が稼動していない状況になります。
監視スクリプトを作成する場合この部分をgrepするのが効果的と思われます。

RAIDの復旧
どんなに強固なシステムを構築してもやがて障害に見舞われます。
これは商用でも個人でもリスクは変わりません。
問題は障害にあったときにいかに復旧する手段があるか、これが強固といえるのではないでしょうか。
と、いうことで実際にディスクが障害に出会ってしまったときの復旧手順です。
RAID-5で解説しますが、RAID-1でも同じだと思います。

現状のディスクの確認
# cat /proc/mdstat
Personalities : [raid6] [raid5] [raid4] [raid1]
md0 : active raid1 sdb1[1] sda1[0]
      256896 blocks [3/2] [UU_]

[UU_]になっており、3台構成のはずが稼動中(active )のパーティションが2つしかありません。
RAID-1の3台構成ならばまだ余裕がありますが、RAID-5の3台構成では後1台に障害が起きた場合対応できません。
復旧できる段階でシャットダウンを試みます。
その後新しいディスクと障害対象ディスクを交換し、起動します。
起動が出来たらRAIDを復旧させるため新しいディスク(今回は/dev/sdc)にパーティションの作成を行います。

作成するパーティションは現状のRAID構成と同じにしなければならないので生き残っているディスクのパーティションを確認します。
---------------------------------------------------------------------------------------
# fdisk /dev/sda

このディスクのシリンダ数は 3002 に設定されています。
間違いではないのですが、1024 を超えているため、以下の場合
に問題を生じうる事を確認しましょう:
1) ブート時に実行するソフトウェア (例. バージョンが古い LILO)
2) 別の OS のブートやパーティション作成ソフト
   (例. DOS FDISK, OS/2 FDISK)

コマンド (m でヘルプ): p

Disk /dev/sda: 24.6 GB, 24696061952 bytes
255 heads, 63 sectors/track, 3002 cylinders
Units = シリンダ数 of 16065 * 512 = 8225280 bytes

デバイス Boot      Start         End      Blocks   Id  System
/dev/sda1   *           1          32      257008+  fd  Linux raid 自動検出
/dev/sda2              33        1307    10241437+  fd  Linux raid 自動検出
/dev/sda3            1308        1434     1020127+  fd  Linux raid 自動検出
/dev/sda4            1435        3002    12594960    5  拡張領域
/dev/sda5            1435        3002    12594928+  fd  Linux raid 自動検出

---------------------------------------------------------------------------------------

これで/dev/sdcにも同じ構成が出来ます。
まずはパーティションサイズを作成します。
/dev/sda1が、、、

デバイス Boot      Start         End      Blocks   Id  System
/dev/sda1   *           1          32      257008+  fd  Linux raid 自動検出

でしたので同じように/dev/sdc1を作成します。
---------------------------------------------------------------------------------------
# fdisk /dev/sdc

コマンド (m でヘルプ): n
コマンドアクション
   e   拡張
   p   基本領域 (1-4)
p
領域番号 (1-4): 1
最初 シリンダ (1-3002, default 1):
Using default value 1
終点 シリンダ または +サイズ または +サイズM または +サイズK (1-3002, default 3002): 32
---------------------------------------------------------------------------------------

次に作成したパーティションをRAID領域用にフォーマットします。
16進コードは/dev/sdaを確認したときに

デバイス Boot      Start         End      Blocks   Id  System
/dev/sda1   *           1          32      257008+  fd  Linux raid 自動検出

出ていたIdを参照すると楽です。

---------------------------------------------------------------------------------------
コマンド (m でヘルプ): t
領域番号 (1-5): 1
16進数コード (L コマンドでコードリスト表示): fd
領域のシステムタイプを 1 から fd (Linux raid 自動検出) に変更しました
---------------------------------------------------------------------------------------

すべて作成し終えたら、コミットします。

---------------------------------------------------------------------------------------
コマンド (m でヘルプ): w
領域テーブルは交換されました！

ioctl() を呼び出して領域テーブルを再読込みします。
ディスクを同期させます。
---------------------------------------------------------------------------------------

4番目のパーティションは拡張領域としてフォーマットしてから5番目以降のパーティションを作ることに気をつけてください。

デバイス Boot      Start         End      Blocks   Id  System
/dev/sda4            1435        3002    12594960    5  拡張領域

これで準備は整いました。
後は現状のRAIDに作成した/dev/sdcのパーティションを追加してあげるだけです。

---------------------------------------------------------------------------------------
# mdadm /dev/md0 -a /dev/sdc1
mdadm: added /dev/sdc1
# mdadm /dev/md1 -a /dev/sdc5
mdadm: added /dev/sdc5
# mdadm /dev/md2 -a /dev/sdc2
mdadm: added /dev/sdc2
# mdadm /dev/md3 -a /dev/sdc3
mdadm: added /dev/sdc3
---------------------------------------------------------------------------------------

多くのRAID構築サイトを参考にするとraidhotaddコマンドを使いますが、CentOS5.2ではコマンドがないためmdadmコマンドを使います。

コマンドを投入した時点でディスクの同期(復旧)が始まります。
状況は/proc/mdstatで確認できます。

---------------------------------------------------------------------------------------
# cat /proc/mdstat
Personalities : [raid6] [raid5] [raid4] [raid1]
md0 : active raid1 sdc1[2] sdb1[1] sda1[0]
      256896 blocks [3/3] [UUU]

md3 : active raid5 sdc3[2] sdb3[1] sda3[0]
      2039808 blocks level 5, 256k chunk, algorithm 2 [3/3] [UUU]

md1 : active raid5 sdc5[2] sdb5[1] sda5[0]
      25189376 blocks level 5, 256k chunk, algorithm 2 [3/3] [UUU]

md2 : active raid5 sdc2[3] sdb2[1] sda2[0]
      20482560 blocks level 5, 256k chunk, algorithm 2 [3/2] [UU_]
      [==================>..]  recovery = 93.9% (9625028/10241280) finish=1.0min speed=9478K/sec
---------------------------------------------------------------------------------------

復旧状況がグラフとパーセンテージでわかるようになっています。
また復旧が終わったものは何事もなかったかのように表示されます。


後書き
今回はソフトウェアRAIDの場合を書きました。
ハードウェアRAIDはRAIDカード等のメーカによると思います。
また、復旧時や管理がしやすいようにRAIDに含むパーティション番号はすべて統一(/dev/sda1,/dev/adb1/,/dev/sdc1)しています。
違っても動きますが、少なくとも同じRAID領域に含まれるパーティションの開始と終了シリンダはあわせたほうが良いでしょう。

構成をシュミレートしておけばあわてずにすみますし、ヒアドキュメントを用いればスクリプト化も可能だと思います。
スクリプト化しておけば障害時にディスクを交換し、シェル一発で復旧なんてことも可能でしょう。
これは追々実験します。
でも壊れないことが一番ですね^^

close

Pgの導入 (PDB001)

データベース（以後DB）は今や（昔から？）必須のシステムです。
どのシステムにかかわってもDBだけは存在するといってもよいでしょう。
そのためDBについて知識を得ておくということは、とても重要なことです。
ここでは一般的なLinuxで導入できるPostgreSQL（以後Pg）の導入について触れます。

Pgの導入のメリットとしては初期設定が非常に簡単で、ユーザの管理もわかりやすく容易という点にあると思います。
基本的なコマンドリファレンスはPgであろうと、MySQLであろうとORACLEであろうと大きく変わったりはしませんので、はじめてDBというシステムに触れるのであれば、Pgはお勧めです。

Pgのインストール
今はパッケージの管理が容易にできるパッケージマネージャーがあると思いますのでせっかくだから使いましょう。
Debian系
# apt-get -y install postgresql postgresql-server
RedHat系
# yum -y install postgresql postgresql-server

今はFedoraやUbuntuはGUIからでも可能でしょう。
多分その場合はpostgresqlのみを指定すれば依存関係すべてはいると思います。
とにもかくにもPgの導入に限らずパッケージの導入はこれでいけます。
まぁ、ここを見ている人は個人でしょうから、ネットワークが外部から隔離していないでしょうから無理してコンパイルから入る必要はないと思います。

ついでにPgの場合は初期設定も容易なので記載します。
初期設定を行う場合は・・・
RedHat系の場合
# /etc/init.d/rc.d/postgresql start

ようはサービスを起動するってことですね。
これだけで勝手に初期設定を行ってくれます。
ただし、外部からアクセスしたりする場合は別途、設定ファイルを書き換える必要があります。
参照
http://www.miloweb.net/postgresql.html
ただ、バージョンが古いみたいで、どうもあたしの設定では当てはまらないのでまた、正確な情報がわかったら記載します。
とりあえずPgの導入は以上です。

Pgの導入は最初はPostgresqlだけでインストールしたんですね。
だって、今やaptツールは依存関係も全部解消してくれるはずですから。
でもこれだけだとDBにアクセスできないんですね。
初期設定は正常に働くのですが、いざDBを作成しようとするとコケます。
なので必ずserverも導入するようにしましょう。
それでもだめな場合はlibが入っていない可能性があります。
最低限Pgを動かすにはパッケージとして、
# rpm -qa | grep postgres
postgresql-libs-8.1.10-0vl0.40
postgresql-8.1.10-0vl0.40
postgresql-server-8.1.10-0vl0.40
が必要になります。
確認してみてくださいね。

close