lsyncd+rsyncd でサーバー間の自動同期

lsyncd + rsyncd を使った異なるサーバー間のデータの自動同期の設定について書きます。

rsync コマンドを使った異なるサーバー間のデータ同期については別の投稿で書きましたが、今回は、片方のサーバーにアップロードしたら自動的に別のサーバーへ同期転送される環境を予め作っておく方法です。
送信側(マスター側)で lsyncd というデーモンを起動しておき、受信側(スレーブ側)で rsyncd というデーモンを起動しておきます。

複数のサーバーでコンテンツが自動同期される仕組みを構築できれば、今度はそれをDNSラウンドロビンなどに利用できます。
(DNSラウンドロビンは、また別の機会に)

■ rsyncd (受信側サーバーの設定)

(1) インストール (yum配布版rpm)

rsyncd は xinetd というデーモン経由で rsync を起動することです。
もし rsync コマンドがなければそれも入れます。

# yum  -y install rsync
# yum  -y install xinetd

(2) 設定

/etc/xinetd.d/rsync

service rsync
{
        disable = no ................... ここを no に変更
        socket_type     = stream
        wait            = no
        user            = root
        server          = /usr/bin/rsync
        server_args     = --daemon
        log_on_failure  += USERID
}

続きを読む

rsync でサーバー間のデータ同期

rsync を使った異なるサーバー間のデータ同期、ファイル転送の方法について書きます。

コピーするだけなら、rcp や scp というコマンドがありますし、FTPという方法もあります。
しかし手数が少なく、ファイルのオーナー、パーミッションもそっくりそのままコピーし、さらに転送元になく転送先にあるファイルを削除して完全に同期させることができるのがこのコマンドの特徴です。

サーバー移転(お引越し)をするときには定番、必須。
これなくしてサーバーのお引越し作業はありえません。

■ rsyncインストール (yum配布版rpm)

# yum -y install rsync

■ rsyncの使い方

(1) コマンドシーケンス

# rsync [オプション] コピー元 [コピー元 ...] コピー先

簡単な例
# rsync -av /home/user1/* user1@host.com:~/.

続きを読む

proftpd で SFTPの設定

セキュリティ意識が高まる昨今、FTPも通信経路が暗号化されるSFTPを使いたいという要望が多くなっています。
SFTPに対応したFTPクライアントもFileZillaなどのフリーウェアが出現して身近になったこともあります。

SFTPは、’FTP’という単語が付いていますがそのプロトコルは、SSHです。
ですから、サーバー側は、SSHサーバーが稼動していれば特に設定は必要ないのですが、それではちょっと使い勝手が悪い面があります。
そのままだと接続したユーザーホームディレクトリより上位のディレクトリが見えてしまいますし、通常のSSHとSFTPで別々のポート番号を使い分けたいと思ってもそれはできません。
また、iptableでSSHの接続元IPを制限していると、それがそのままSFTPでもIP制限されてしまいます。

そこで、FTPサーバーの拡張機能でSFTPを実現できればもっと便利です。
CentOSの標準的なFTPサーバーであるvsftpdが既にインストール済みだった場合、vsftpdにはSFTP機能がないので、SFTP機能があるproftpdをインストールし直します。

続きを読む

iptables で簡単OP25B対策

独自ドメインのメールアドレスを使いたい諸氏にとって接続プロバイダの OP25B というやつはうっとおしい障壁です。
自分のサーバーがVPSか専用サーバーで、root権限があるのなら、最も簡単なOP25B対策方法を紹介します。

それは iptables のポートリダイレクトを使う方法です。

前提条件として iptables は普通に使える環境であるものとします。

■ ポートリダイレクト

iptables の nat の設定で PREROUTING REDIRECT を使います。

書き方はいたって簡単。

/etc/sysconfig/iptables


# *filter の COMMIT の後に以下を追加

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 587 -j REDIRECT --to-ports 25
COMMIT

これだけです。
このサーバーの 587 ポートに接続に来たら内部では 25 に来たことになり、SMTPが普通に使えます。

めでたしめでたし。

※これができないVPSもたまにあるようです。
※さくらのVPSはできることを確認済みです。

iptables インストールと設定

サーバー内の設定だけでできるファイアウォール iptables の基本設定について書きます。

■ インターネットの脅威

インターネット上に公開されたサーバーはファイアウォールなしの場合、必ず(#ここ強調します。例外なく100%) クラッキング(ハッキング)やDoS攻撃などアタックされるものです。

サーバー運営初心者の方々は、はじめ結構なめてますが、アタックは必ず来ます。多ければ連日。

私もかつて初めてサーバーというものを自分で構築したとき、それは目立たないひっそりとした自宅サーバーなのに、まだろくにホームページも公開していないのに、たった数日でクラッキング(ハッキング)されて内部のプログラム/usr/binの中などがすり替えられました。
そのとき思ったものです。…. 怖い … インターネット怖い~。

アタックそのものが来ないようにする方法はありませんが、破られないように防ぐ方法はあります。
(家を建ててドアがあれば、コソ泥にドアノブを触らせないようにはできないけど鍵は掛けられます)

何か最低限のセキュリティ対策は必要です。

■ ファイアウォール

ファイアウォールとは、予め決めたIPアドレスとポートのみに接続を許すように制限することです。

専用機器を使ったファイアウォールのサービスは通常有料で金額も少々お高いです(毎月数千円~数万円)。

しかし専用機器を使ったファイアウォールがなくてもサーバーには iptables という機能が備わっており、自分でファイアウォールが立てられます。

無料でサーバー内の設定だけでできるファイアウォール、これはしておいて損は無いです。

少なくとも使わないポートは閉じて、必要に応じて SSH などの危険なものは数分間に数回しか許さない、などの対策もあればなおよいでしょう。

続きを読む

ワイルドカードSSLの申請

ワイルドカードSSLサーバー証明書の申請と設置方法を書きます。

(知ってる人には、何を今更な話ですが …)

前提条件として Apache / mod_ssl は普通に使える環境であるものとします。

■ ワイルドカードSSLサーバー証明書とは

FQDNのホスト名(サブドメイン名)の部分が何でも使えるSSLサーバー証明書のことです。

例)
www.very-cute.net
www2.very-cute.net
test.very-cute.net
demo.very-cute.net
shop.very-cute.net
hogehoge.very-cute.net
arecore.very-cute.net
...
など

これの申請方法、設置方法は、ワイルドカードじゃない普通のものとほとんど変わらず、CSRを作るときの1点だけが違います。

続きを読む

SSLの申請と設置

SSLサーバー証明書の申請と設置方法を書きます。

前提条件として Apache / mod_ssl は普通に使える環境であるものとします。

■ 事前準備

(1) OpenSSLがインストールされているか確認

# openssl version

OpenSSL 1.0.0-fips 29 Mar 2010
などと表示されればOK.

インストールされていなければインストール
# yum install openssl

(2) 申請書、証明書の保存場所を作成しておく

Apache の conf のパスに移動して

# cd /etc/httpd/conf/

# mkdir ssl.key
# mkdir ssl.csr
# mkdir ssl.crt

続きを読む

Apache チューニングの基本

Apache チューニングの基本的な考え方と設定について書きます。

(1) 基本的な考え方

ホームページのレスポンスを良くするには、まずは KeepAlive On!
そしてあとは MaxClient の調整。
これが基本です。

KeepAlive の正しいドキュメントはこれですが↓
http://httpd.apache.org/docs/2.2/ja/mod/core.html#keepalive

本来 KeepAlive とは一定時間接続をキープするという設定です。
接続をキープする時間を KeepAliveTimeout で設定します。

HTMLファイルとその中のimgタグは別リクエストなのは周知の事実ですが、それを踏まえて上記のマニュアルを見てください。

On にすると、複数のリクエストが(imgタグも)同じ TCP の接続で送られます。
逆に Off だと1リクエスト毎に(imgタグ毎に)1接続ずつ必要です。

接続をキープする時間が長すぎるとホームページから去った人の接続も解放されず溜まっていきます。
それはそれで問題で、KeepAliveTimeout 2 くらいがよいとされています。

続きを読む

Apache2.2 インストールと設定

CentOS/RHELに Apache2.2 を yum でインストールする方法と、いつもやる最低限の初期設定を書きます。

■ Apache2.2 と mod_ssl (yum配布版rpm)

(1) インストール

SSLを入れない理由もないので mod_ssl も同時に入れます。

# yum  -y install httpd mod_ssl

(2) ファイル構成

/etc/httpd/conf/httpd.conf
/etc/httpd/conf.d/README
/etc/httpd/conf.d/ssl.conf
/etc/httpd/conf.d/welcome.conf

この中で重要なのはメインの設定ファイル httpd.conf です。
SSLの設定は ssl.conf で行います。

続きを読む

バーチャルメールのジレンマ

ブラウザでメールアドレスが簡単に追加/削除できるバーチャルメールシステム。
便利ですが、これを導入すると別のことが制限されることもあります。

まず「バーチャルメール」とは何のことか説明します。

・バーチャルメールボックス
・バーチャルメールアドレス
・バーチャルメールシステム

こんな言い方で使われることが多くどれも微妙に違いますが、どれも概ね同じ類の話をするとき使う言葉で、バーチャルメールのメールボックス、メールアドレス、システムを指しています。

「バーチャルメール」とは?

メールのPOPユーザーがFTPユーザー(UNIXアカウントのユーザー)でなく仮想的なユーザー(大抵メールアドレスそのもの)でメールアドレスを送受信できることを大雑把に総称してそう呼びます。

これを当たり前と思っている人のほうが増えてきたような気がしますのであえて少し解説します。
続きを読む