net-SK blog

net-sk.comのメールサーバ（MTA）は、Postfixを利用している。ここ最近のメールサーバは、意図しないユーザー（たとえば迷惑メール業者）などにメール送信をされないために、自ドメイン宛（例：**@net-sk.com）のメールしか処理しないように設定するのが普通だ。ただしそれだと他のサーバにメールが送れなくなってしまうので、Webメーラーからの送信やSMTP Auth、pop before SMTPなどを利用する。SMTP Authはメール送信時にユーザIDとパスワードを使って認証を行う方式。最初はこれを導入しようとしたのだが、なぜか必ず拒否されてしまう。しかたがないので、pop before SMTPにしようと思っていて、今まで放置していた。とりあえずWebメーラがあるしいいかなと思っていたが、やっと設定を行った。pop before SMTPでは、POPやIMAP（つまりメールを受信すること）などで認証が行われたIPアドレスを記録しておき、メール送信は一定時間そのIPアドレスからの接続に限り許可するというものだ。http://popbsmtp.sourceforge.net/からファイルを持ってくる。どうやらperlスクリプトで記述されているらしい。スクリプトだけでデーモン（サーバー）を記述できてしまうUnixの自由度はすばらしいと思う。

net-skサーバ障害情報

大変ご迷惑をおかけしました。現在は復旧しています。

net-sk 管理者 sk

このサーバは、メールサーバとしてPostfixというものを使っている。メールについてもバーチャルサーバとして運用をしているのだが、Postfixだと「メールユーザ」＝「UNIXユーザ」という対応付けをしなければならず、管理が面倒くさい上にUNIXアカウントをつくるのでセキュリティ的にもよくないと思われる。
そこで、qmailというメールサーバに移行することを検討中だ。qmailでは、vpopmailというツールを用いることにより、仮想メールユーザや、仮想ドメインが簡単に追加できる。まぁ時間が取れるときに少しずつ移行作業を行う予定。mboxからMaildir形式に変換しないとなぁ・・・

現在、60%完了。
qmailのインストール、設定は完了。vpopmailもインストール済み。mboxからMaildir形式へはmb2mdというツールを用いた。
あとは、fmlとの動作の調整、IMAPサーバの入れ替えを行えば、移行は完了の予定。

ma2さんとかはHPにアクセス解析をいれているみたいだが、実はサーバ自体でもアクセス解析は走らせている。ただ、サブドメイン単位でしか集計はしてないけれどね。
せっかくCPUリソースを割いて解析しているので、一部公開しようかな。どうせ関係者しか見ていないサイトだしね。
ここでアクセスログ公開中

このサーバで使用しているハードディスク（HDD）だが、そろそろ空きスペースも狭くなってきた。残り容量が3Gをきってしまった。それにアクセス音が非常にうるさいのだ。5年ぐらい前のものだから仕方がないといえばそうなのだが、このサーバは友達の部屋に置かせてもらっているので申し訳ない。とりあえずHGST（日立IBM）か、Seagateあたりのものを購入して組み込む予定。その間サーバがダウンすることになるので、NICの追加などメンテをできる限りしてしまいたい。

ここ最近、サーバの状態がよくない。正確には、サーバ自体はきちんと稼動しているのだが、ネットワークが落ちているために、特定のポートしか使えない状態なのだ。ネットワーク回線として、Bフレッツのハイパーファミリ＋インターリンクを用いているのだが、インターリンク側の認証サーバでうまく認証されない状態になってしまったのだ。しかたなく、別回線を用いて迂回させている。そのため、ftpとIMAPが使えない状態である。利用者には、しばらくご迷惑をおかけします。

しばらく前に、メールサーバをqmailに変更すると宣言していたのだが、Postfixを用いた仮想メールユーザ作成の方法を見つけたので、とりあえずPostfixのままでいこうと思う。qmailも26番ポートで走らせていたのだがやめた。courier-IMAPではウェブメールがうまく動かずに一瞬あせったのだが、設定ミスだった。現在はcourier-IMAPを用いた運用に切り替えている。あと、メールサーバでのSMTP Authにきちんと対応させた。LDAPサーバを認証サーバにするのもありかも。

関係ないけれど、MySQLをインストールしたので使ってみたい人は相談してください。
とりあえず、ネットワークが復活してくれないものかな・・・

ここ最近、ネットの調子が悪く利用者の皆様にはご迷惑をおかけしました。
ネットワークが復活し、平常どおりの運用に戻りました。

送信メールサーバ（SMTP）を、SMTP-AUTH、TLSに対応させた。受信メールサーバ（POP3,IMAP）をCRAM-MD5認証、TLSに対応させた。といってもサーバ証明書がきちんと購入したものではないので、事前に証明書をインストールしなければならない。しかし通信自体は暗号化されるのでよしとしよう。
ちなみに証明書はCACERTにて発行した。したがって、ここの証明書をインストールしてもらえればエラーが出ずに認証される。証明書は最近では$49/yearで取得できる。さらに個人利用にかぎりS/MIME証明書（メールとかで使う）は無料である。

ってかみんなWebmailしか使ってないような。

韓国といえば冬の○ナタとかが有名になったけれど、実はこの国からの不正アクセスって結構あったりする。NaverRobotのように DoS まがいのアクセスを仕掛けてくる自称サーチエンジンも存在したりする。
たとえば、SSHのポートを空けているとものすごい数の認証エラーがログに残っていたりする。アクセスしてくるユーザ名はJoeとか日本ではあまりつかわなそうなものばかりなので、そう簡単にはハッキングされないとは思うが。そこで韓国や中国、インドなどからのアクセスはパケットフィルタリングをかけてしまうことにした。

参考文献
http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp

先日に設定した韓国などからのパケットフィルタリングだが、現在のところはSSHへのアクセスのみに制限をかけている。とりあえず実験ということでね。
ここ数日のログをチェックしたところ、効果は出ているようである。下にログからの抜粋を示す。
--------------------- Kernel Begin ------------------------

Logged 10 packets on interface eth0
From 210.3.43.140 - 3 packets to tcp(22)
From 211.239.154.20 - 2 packets to tcp(22)
From 220.227.242.214 - 2 packets to tcp(22)
From 221.148.76.59 - 3 packets to tcp(22)

---------------------- Kernel End -------------------------
こんな感じでいくつかのパケットが引っかかっているみたい。
ちなみにこのIPアドレスは先のリストにも載っているので、あえて細工はしていない。

ここ1週間ほどサーバにアクセスできない状況となり、利用者の方にはご迷惑をおかけしました。
障害の原因は、スイッチに発生した問題による地域IP網との接続断です。

以前にも書いたが、SSHへの不正アクセス(を試みた形跡)が結構ある。韓国や中国からのアクセスに制限をかけていたが、SSHに限れば日本国内に限定してもよさそう。自分しか使わないならaccsと大学からのアクセスだけ許可すればすむんだけどね。
で、日本国内からのアクセスのみ通過させるためには、日本で使われているIPアドレスの一覧が必要になる。そこで、APNICのIPアドレス割り当てリストをperlで変換した。しかし、これだけでは不十分で東大などのIPアドレスはJPNIC管理のようなので、こちらのリストも加えれば多分大丈夫だろう。
このリストをiptablesに設定して完了。

[関連記事]
1.韓国(net-SK blog)
2.http://www.italk.ne.jp/minagawa/tech/krfilter.html(水無川研究所)

サーバのOSをFedora core 3にバージョンアップ（？）しているので、アクセスが重くなります。
また、再起動を行うためアクセスがタイムアウトする可能性があります。
そのような場合は、しばらくまってからアクセスしてみてください。

このサーバのログが毎日メールで届くのだけれど、その中にちょっと気になる部分が。
S.M.A.R.TデーモンにHDDがそろそろやばいですよと言われてしまった。
不良セクターが３つあるらしい。そろそろ寿命かも。

ということで、万が一に備えてバックアップサーバを組むことに。
前にもらったノートPCにDebianをインストールした。サーバ用途では、今まで使った中でDebianが一番いいのではないかと思う。

[関連記事]
1.Debian
2.サーバ構築/Debian設定(Wiki/net-SK)

最近では、ドメイン指定拒否とか成りすまし拒否を設定している人も多い。
しかしメーリングリスト(ml)を使う場合、送信者アドレス（From）と、実際に配信を行う際のエンベロープのアドレスが違うために成りすましとみなされて拒否されてしまう。ドメイン指定の場合でも、@docomo.ne.jpとかを許可しなければならないのだけれど、そうすると迷惑メールが来るわけであまり根本的な解決にならない。

ということで、サーバ側でメールを転送する際にFrom欄を書き換えて拒否されないようにしている。実委のmlでもここのサーバで転送している人が数人いる。
この前も、転送する人の追加をお願いされたのだが、ここでちょっと問題発生。
メールアドレスの先頭が「-」（ハイフン）で始まっている。なんかPostfixでは、このアドレスは不正だといわれた気がする。試してみても、やはりダメだった。いろいろ調べてみたら、main.cfに allow_min_user = yes と記述すれば回避されるらしい。
いずれにせよ、メールアドレスにあまり一般的ではない記号を使うのは良くないってことだ。

[関連記事]
1.Postfix の罠(Postfix チュートリアル)

このブログの右側にマイアンテナが表示されるようになっているのだけど、今まではアクセスされるたびにRSSを取得しにいくというかなりダメダメな実装であった。
まぁアクセス数がそんなにないので大丈夫だったのだけれど、それでも表示されるまでの待ち時間を少しでも早くするためにキャッシュを行うようにしてみた。
とりあえず今のところ、前回のRSS取得から15分以内であれば新たにRSSを取得したりはしないで、前回表示したデータを利用するようになっている。
おかげで誰かがアクセスした直後であれば表示が早くなった。わざわざcronで定期的に更新する程のものでもないし、アクセスされたときにRSSを取得するかどうか判断する方がスマートだろう。

8月30日の未明ごろからサーバの動作がおかしかった。
まず、PHPとかCGIが動かない。そしてSSHがつながらない。
サーバの画面を見ると大量のエラーメッセージが。ついにシステム用のHDDが壊れたらしい。
前から不良ブロックが出ていてやばいだろうなとは思っていたけど。

HDDが壊れても、データ用のHDDが別だったから静的なhtmlとかは表示できていた。
さすがはapacheといったところ。

新しいHDDに交換して、OSをインストール。何にするか迷ったが、Debian系はメールサーバで使っているので、RedHat系のCentOSを使うことにした。ちなみに壊れる前はFedora Core 5だったりする。
とりあえずウェブサーバは問題なさそう。しかし、mysqlのディストリバージョンが4.1系なのに、今まで使っていたのは5.0系だったのでmysqlは自分でコンパイルした。

今のところ、きちんと動作しているみたい。なにか問題があったら教えてください。