侵入改竄検知システム AIDE を使うメモ

■侵入改竄検知システム AIDE を使うメモ
 長くIDSとしてOsirisを使ってきたが時勢に合わなくなってしまったので、CentOS/ScientificLinuxに標準装備されているAIDEを使ってみたメモ。

■インストールと簡単な使い方
[code]# yum install aide

設定編集(コメント充実)
# vi /etc/aide.conf
R = p+l+i+n+u+g+s+m+acl+selinux+xattrs+md5

初期化
# aide -i

比較用DB作成
# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

比較
# aide -C

通常用途
# aide -u[/code]

■CentOS5系でselinuxで問題が出るケースの設定変更例
[code]# vi /etc/aide.conf

R = p+l+i+n+u+g+s+m+acl+xattrs+md5
L = p+l+i+n+u+g+acl+xattrs
> = p+l+u+g+i+n+S+acl+xattrs

DIR = p+l+i+n+u+g+acl+xattrs

PERMS = p+l+i+u+g+acl

DATAONLY = p+l+n+u+g+s+acl+xattrs+md5+sha256+rmd160+tiger[/code]

■Prelink関連のエラーが出る場合の設定変更例
[code]# sed -i ‘/^PRELINKING=yes$/s/yes/no/’ /etc/sysconfig/prelink
# /usr/sbin/prelink -ua[/code]

■cron用script例
[code]# vi /root/script/aide.sh
#!/bin/bash

/usr/sbin/aide -u
/bin/cp -fr /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz[/code]

■MyNETS用改竄検知設定例(/var/www/sns/wwwをSNS rootとする)
[code]# vi /etc/aide.conf
# MyNETS SNS DIR
/var/www/sns/www NORMAL
!/var/www/sns/www/img
!/var/www/sns/www/var[/code]

■参考リンク
http://pooh.gr.jp/?p=9633
http://blog.cecily.jp/kotou/51/
http://aikotobaha.blogspot.jp/2011/11/rhel-aide.html

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■CentOS6.2環境に最新のphp5.3.10を導入するメモ
 CentOS6.2環境に最新のphpを導入するため試行錯誤したメモ。導入するリポジトリはIUS Community Projectのもの。同ProjectはPHP,MySQLの最新版をRH6系ディストリビューション向けに提供することを目的としている。現在本家のドキュメントと導入方法が結構異なっているのでメモしておく。

■IUSリポジトリの導入
 リポジトリインストール用のrpmパッケージが用意されていないので以下の手順で導入する。RH5系と違ってepelは必須になっていない模様。
[code]
# vi /etc/yum.repos.d/ius.repo
[ius]
name=IUS Community Packages for Enterprise Linux 6 – $basearch
#baseurl=http://dl.iuscommunity.org/pub/ius/stable/Redhat/6/$basearch
mirrorlist=http://dmirr.iuscommunity.org/mirrorlist?repo=ius-el6&arch=$basearch
failovermethod=priority
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/IUS-COMMUNITY-GPG-KEY

# cd /etc/pki/rpm-gpg/
# wget http://dl.iuscommunity.org/pub/ius/IUS-COMMUNITY-GPG-KEY

# yum update
[/code]
■phpの入替え
 yumのreplaceプラグインを利用して一気に入替えを行う。
[code]
# yum install yum-plugin-replace
# yum replace php –replace-with php53u
[/code]
これでphp5.3.10にリプレースされる。
インストール可能なrpmパッケージの一覧はここから参照可能。
http://dl.iuscommunity.org/pub/ius/stable/Redhat/6/

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (1 投票, 平均値/最大値: 3.00 / 5)
Loading...

■せん茶SNS 1.0.1へのバージョンアップ手順
 早速不具合修正のバージョンアップが提供されたのでアップデートした手順。様子見ながらなので手順としてはイマイチw 修正内容はせん茶SNS公式ページで確認のこと。差分ダウンロードも同様。やることはシンプルで3つだけ。公式手順はこちら

1)SQLのアップデート
2)ソース上書き
3)キャッシュの削除

■手順
・予めダウンロードしたsencha-sns-1.0.1-diff.zipをサーバにscp等で転送しておく
 # unzip sencha-sns-1.0.1-diff.zip
 # cd sencha-sns-1.0.1-diff

・データベースアップデート
 # less sql/Alter.sql (コマンドの確認、今回は1行のみ)
 # mysql -u root -p
 >mysql use sencha
 >mysql ALTER TABLE `T_NOTICE` ADD `CMT_ID` INT( 4 ) NULL AFTER `TML_ID` ;
 >mysql quit

・ソース上書き(今回はファイル数少ないのでファイル確認しながら)
 # cp -R src/app /var/www/html/sns/

 キャッシュの削除
 # cd /var/www/html/sns/app/tmp/cache/models/
 # rm -rf cake_model_default_*

いくつかの機能修正を確認。この調子でどんどん改善されていくことを期待。
ちょこっとしたカスタマイズが一部書き戻しされたからマージしないと…orz

 インストールの記事はこちら
 せん茶SNSをインストールしたメモ
 http://blog.isnext.net/issy/archives/1932

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■せん茶SNSをインストールしたメモ
 OSSの新しいSNSプログラム せん茶SNSがダウンロード可能になったのでインストールしたメモ。ほぼサイトの手順通りなのであまり問題ない。できることもほぼデモ版と同じ。管理項目がかなり少ないのがちょっと不安げw 以下やった手順をメモ。

 せん茶SNS
 http://oss.icz.co.jp/sns/

・HPのダウンロードリンクより個人情報登録してダウンロード
・設置するサーバにzipファイルを送信
・以下の手順で作業(http://www.example.com/sns/でアクセスできるようにする)
 .htaccessは有効になっていること

# cd ~/download
# unzip sencha-sns-1.0.0.zip
# mv sencha-sns-1.0.0 /var/www/html/sns
# vi app/config/core.php
208行目:Security.salt 修正
212行目:Security.cipherSeed 修正
# chmod -R 0777 app/tmp
# chmod -R 0777 app/config
# chmod -R 0777 app/files

# mysql -u root -p
mysql> grant all privileges on sencha.* to sencha@localhost identified by ‘senchapassword’ WITH GRANT OPTION;
mysql> CREATE DATABASE `sencha` DEFAULT CHARACTER SET utf8 ;
mysql> quit

・ここまでできたらブラウザで以下のURLにアクセス
 http://www.example.com/sns/
・GUIの指示に従ってデータベースと初期ユーザ設定を行う
・設定が完了したら登録した初期ユーザでログインする 簡単!

とりあえず、これからカスタマイズなどどこで何かできるか確認していく予定。

 不具合修正のアップデートきてます
 せん茶SNS 1.0.1へのバージョンアップ手順
 http://blog.isnext.net/issy/archives/2015

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■Scientific Linux 5.6にphp5.2.xを導入するメモ
 Scientific Linux 5.6に標準導入されるのはCentOS5.6同様にphp5.1.6になるため、最新のWordPress3.2.xが動作できない。そこで5.2.x系の最新版を導入する(カスタマイズしたSNSアプリがphp5.3対応未完のため)。導入するリポジトリはIUS Community Projectのもの。同ProjectはPHP,Python,MySQLの最新版をRH系ディストリビューション向けに提供することを目的としている。いずれ5.3系にする場合にもメリットがあると思われるので導入することにした。

■IUSリポジトリの導入
 epelのリポジトリを同時にインストールする必要があるのでSLの設定で利用したyum-conf-epel-5-1を削除してから、IUSリポジトリをインストールする。詳細な説明は本家のガイドを参照。
[code]
# yum remove yum-conf-epel-5-1
# wget http://dl.iuscommunity.org/pub/ius/stable/Redhat/5/x86_64/ius-release-1.0-8.ius.el5.noarch.rpm
# wget http://dl.iuscommunity.org/pub/ius/stable/Redhat/5/x86_64/epel-release-5-4.noarch.rpm
# rpm -Uvh ius-release*.rpm epel-release*.rpm
# yum update
[/code]
■phpの入替え
 yumのreplaceプラグインを利用して一気に入替えを行う。epelからphp-eacceleratorを導入している場合、依存性欠如で削除されてしまうため注意が必要。
[code]
# yum install yum-plugin-replace
# yum replace php –replace-with php52
[/code]
■eAcceleratorをインストールする
 sourceforge.netから最新のeaccelerator-0.9.6.1.tar.bz2をダウンロードしておく。インストール手順の詳細はこちら

事前準備
# yum install php52-devel gcc

コンパイルインストール
[code]
# tar jxvf eaccelerator-0.9.6.1.tar.bz2
# cd eaccelerator-0.9.6.1
# phpize
# ./configure
# make
# make install
[/code]
設定ファイル作成
[code]
# vi /etc/php.d/eaccelerator.ini
 extension=”eaccelerator.so”
 ;zend_extension=”/usr/lib/php/modules/eaccelerator.so”
 eaccelerator.shm_size=”128″
 eaccelerator.cache_dir = “/var/cache/php-eaccelerator”
 eaccelerator.enable=”1″
 eaccelerator.optimizer=”1″
 eaccelerator.check_mtime=”1″
 eaccelerator.debug=”0″
 eaccelerator.log_file = “/var/log/httpd/eaccelerator_log”
 eaccelerator.name_space = “”
 eaccelerator.filter=””
 eaccelerator.shm_max=”0″
 eaccelerator.shm_ttl=”3600″
 eaccelerator.shm_prune_period=”0″
 eaccelerator.shm_only=”0″
 eaccelerator.compress=”1″
 eaccelerator.compress_level=”9″
 eaccelerator.keys = “shm_and_disk”
 eaccelerator.sessions = “shm_and_disk”
 eaccelerator.content = “shm_and_disk”
 ;eaccelerator.allowed_admin_path = “”
[/code]
キャッシュディレクトリ作成
[code]
# mkdir /var/cache/php-eaccelerator
# chmod 0777 /var/cache/php-eaccelerator
[/code]
apache再起動
# apachectl graceful

phpinfoで有効になっていることを確認する

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■Scientific Linux 5.6でSNSサーバを構築するメモ
 CentOS5系で運用中のSNSサーバをScientific Linux5系に移行するため、試験環境としてDell D520にインストールを行った時のメモ。ここからはSNS等アプリケーション導入前までの構築メモ。OS自体は前記事を参照。

 D520にScientific Linux 5.6をインストールしたメモ
 http://blog.isnext.net/issy/archives/1281

■高機能メールサーバCommuniGate Proをインストール
 phpアプリで必要なケースが多いのでpostfixを活かしたままCGPを有効にする
・postfix側の設定変更
 # vi /etc/postfix/master.cf
  smtp inet n – n – – smtpd
   ↓
  #smtp inet n – n – – smtpd
 # vi /etc/postfix/main.cf
  mydestination = $myhostname, localhost.$mydomain, localhost
   ↓
  mydestination = localhost
  追記
  relayhost = 自IPアドレス
  myhostname = po.ホストネーム セルフループ回避呪文
・postfixを再起動
 # service postfix restart
・postfixがsmtpをLISTENしてないことを確認
 # lsof -i

・CommuniGate Proの最新版をインストール
 (商用だがCommunityライセンス下で5ユーザまで無料で利用可能)
 # wget http://www.communigate.com/pub/CommuniGatePro/CGatePro-Linux.x86_64.rpm
 # rpm -ivh CGatePro-Linux.x86_64.rpm
 # service CommuniGate start
・CGPの管理画面にアクセスするためにiptableでポート追加
 # vi /etc/sysconfig/iptables
  -A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 8010 -j ACCEPT 追記
 # service iptables restart
・ブラウザでhttp://サーバIPアドレス:8010/へアクセスして設定
 postmasterのパスワード設定
 Basic認証が表示されるのでID:postmasterと設定したパスワードでログイン
  japanese japanese(ISO) (+0900)japan/Korea expert で設定

■日本語全文検索対応mysql/Tritonnインストール
・標準導入のMySQLを削除する
 # yum remove mysql
・perl-DBIのインストールを確認(あればOK)
 # rpm -qa | grep -i perl-DBI
・最新のtritonnパッケージ群をダウンロード
 # wget http://iij.dl.sourceforge.jp/tritonn/44614/MySQL-client-5.0.87-tritonn.1.0.12a.x86_64.rpm
 # wget http://iij.dl.sourceforge.jp/tritonn/44614/MySQL-devel-5.0.87-tritonn.1.0.12a.x86_64.rpm
 # wget http://iij.dl.sourceforge.jp/tritonn/44614/MySQL-server-5.0.87-tritonn.1.0.12a.x86_64.rpm
 # wget http://iij.dl.sourceforge.jp/tritonn/44614/MySQL-shared-5.0.87-tritonn.1.0.12a.x86_64.rpm
 # wget http://iij.dl.sourceforge.jp/tritonn/44614/mecab-0.98-tritonn.1.0.12a.x86_64.rpm
 # wget http://iij.dl.sourceforge.jp/tritonn/44614/mecab-ipadic-2.7.0.20070801-tritonn.1.0.12a.x86_64.rpm
 # wget http://iij.dl.sourceforge.jp/tritonn/44614/senna-1.1.4-tritonn.1.0.12a.x86_64.rpm
・以下の順番でインストール
 # rpm -ivh mecab-0.98-tritonn.1.0.12a.x86_64.rpm
 # rpm -ivh mecab-ipadic-2.7.0.20070801-tritonn.1.0.12a.x86_64.rpm
 # rpm -ivh senna-1.1.4-tritonn.1.0.12a.x86_64.rpm
 # rpm -ivh MySQL-shared-5.0.87-tritonn.1.0.12a.x86_64.rpm
 # rpm -ivh MySQL-client-5.0.87-tritonn.1.0.12a.x86_64.rpm
 # rpm -ivh MySQL-server-5.0.87-tritonn.1.0.12a.x86_64.rpm
 # rpm -ivh MySQL-devel-5.0.87-tritonn.1.0.12a.x86_64.rpm
・MySQLのパスワード設定を行う
 # /usr/bin/mysqladmin -u root password ‘rootpassword’
・ログインして動作確認
 # mysql -u root -p
・設定ファイルを適当に選んで配置する
 # cp /usr/share/mysql/my-large.cnf /etc/my.cnf
・utf8で使いたい場合には以下の行を各項目で追記
 # vi /etc/my.cnf
  [mysqld]
  default-character-set = utf8
  [mysqldump]
  default-character-set = utf8
  [mysql]
  default-character-set = utf8
・設定を反映させる(mysqldでないことに注意)
 # service mysql restart
・設定変更を確認
 # mysql -u root -p
  mysql> status
  …
  Server characterset: utf8
  Db characterset: utf8
  Client characterset: utf8
  Conn. characterset: utf8
  …

■MyNETS(SNSサーバアプリ)の導入準備をする
・MyNETSに必要なコンポーネントをインストール
 # yum install php-mcrypt php-mbstring php-gd php-mysql php-xmlrpc php-xml php-eaccelerator ImageMagick
・ImageMagickの強制アップデートをする
 SL5.6のImageMagickにもCentOSと同じ問題があるので最新版で入替えする
 # wget http://www.imagemagick.org/download/linux/CentOS/x86_64/ImageMagick-6.7.1-3.x86_64.rpm
 # rpm -Uvh –force ImageMagick-6.7.1-3.x86_64.rpm

■監視系に必要なアプリを導入する
・sysstatをインストール
 # yum install sysstat
・lm_sensorsをインストール
 # yum install lm_sensors
 # sensors-detect で設定
 # sensors で動作確認
・muninをインストール
 # yum install munin munin-node
 # munin-node-configure で設定確認
・apacheの監視を有効にする
 # vi /etc/httpd/conf/httpd.conf
  #ExtendedStatus On
   ↓
  ExtendedStatus On

  #<Location /server-status>
  # SetHandler server-status
  # Order deny,allow
  # Deny from all
  # Allow from .example.com
  #</Location>
   ↓
  <Location /server-status>
   SetHandler server-status
   Order deny,allow
   Deny from all
   Allow from 127.0.0.1
  </Location>
・muninを再設定する
 # munin-node-configure -suggest で設定可能な内容を確認
 # munin-node-configure -shell | sh で設定
 # munin-node-configure 設定を確認
 # service munin-node start 監視を開始

※MySQLに関するmunin監視設定は以下を参照

 muninで複数mysqldを監視する設定メモ
 http://blog.isnext.net/issy/archives/957

■SNSアプリケーションの導入
 以下のURLの「8)SNSサーバとしての設定」を参照

 カスタム版MyNETSとCentOS5で1万人規模のSNSを構築する
 http://blog.isnext.net/issy/archives/384

, , , , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■Ubuntu 10.04 LTS にDolphin 7をインストールする
 海外製のSNSプログラム Dolphin 7をインストールしてみる。Dolphin 7はファイルストレージのみならず、ビデオや音楽のストリーミング機能も内包しているので、クリエイター向けのサイトを作るには向いているかもしれない。

Dolphin
http://www.boonex.com/dolphin/
Dolphin インストール手順
http://www.boonex.com/trac/dolphin/wiki/DetailedInstall

■インストール準備
 インストール直後のubuntuマシンに必要な設定をしていく
 サーバ名:dolphin.example.com
 IPアドレス:192.168.0.100

[code]$ sudo vi /etc/security/limits.conf
 root harf nofile 41952
 root soft nofile 41952 の2行追記
$ sudo vi /etc/fstab
 / に noatime 追記
$ sudo mount -o remount /
$ sudo reboot

$ sudo apt-get install ssh
$ sudo apt-get install apache2
$ sudo apt-get install mysql-server
$ sudo vi /etc/mysql/my.cnf
 [client][mysqld_safe][mysqld][mysqldump]の各行に
 default-character-set = utf8 を追記
$ sudo /etc/init.d/mysql restart
$ sudo apt-get install alien
$ wget http://www.communigate.com/pub/CommuniGatePro/CGatePro-Linux.i386.rpm
$ sudo alien -d CGatePro-Linux.i386.rpm
$ sudo dpkg -i cgatepro-linux_5.3-10_i386.deb
$ sudo mkdir /var/lock/subsys
$ sudo chmod +w /opt/CommuniGate/Startup
$ sudo vi /opt/CommuniGate/Startup
 ulimit -u 2000 を ulimit -n 4096 に修正
$ sudo chmod -w /opt/CommuniGate/Startup
$ sudo apt-get install postfix
 スマートホスト
 po.dolphin.example.com
 192.168.0.100 で設定
$ sudo vi /etc/postfix/master.cf
 smtp inet n – – – – smtpd の行を
 10025 inet n – – – – smtpd に修正
$ sudo /etc/init.d/postfix restart
$ sudo /opt/CommuniGate/Startup start
$ sudo apt-get install php5 php5-gd php5-mcrypt php5-mysql php5-geoip php5-imagick php5-intl php5-xcache php5-xsl php5-xmlrpc php5-cli[/code]

■Dolphinのインストール
 UbuntuのWeb用標準ディレクトリ/var/wwwにインストールする

[code]$ mkdir ~/download
$ cd ~/download
$ wget http://get.boonex.com/Dolphin-v.7.0
$ mv Dolphin-v.7.0 Dolphin-v.7.0.zip
$ sudo unzip -d /var/www/ Dolphin-v.7.0.zip
$ cd /var/www
$ sudo mv index.html index.html.org
$ sudo chown -R www-data:www-data *
$ sudo chmod +x flash/modules/global/app/ffmpeg.exe

$ mysql -u root -p
 mysql> create database dolphin;
 mysql> grant all previleges on dolphin.* to doluser@localhost identified by ‘dolpasswd’;
 mysql> quit

$ sudo vi /etc/apache2/sites-enabled/000-default
 
  Options Indexes FollowSymLinks MultiViews
  AllowOverride All
  Order allow,deny
  allow from all
 
$ cd /etc/apache2/mods-enabled/
$ sudo ln -s ../mods-available/rewrite.load rewrite.load
$ sudo apache2ctl graceful[/code]

ブラウザで以下にアクセスして指示に従う
http://192.168.0.100/install/index.php

Dolphinの日本語化はこちらのコミュニティを参照
http://abaki.org/index.php

後からURLを変更したい場合には以下を修正
[code]$ sudo vi /var/www/inc/header.inc.php
 $site[‘url’] = “http://newurl.example.com/”;
$ sudo rm -rf /var/www/cache/*
$ sudo rm -rf /var/www/cache_public/*
$ sudo apache2ctl graceful[/code]

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

カスタム版MyNETSとCentOS5で1万人規模のSNSを構築する

■カスタム版MyNETSとCentOS5で1万人規模のSNSを構築する
 友人と運営しているSNSのカスタマイズが一段落したので、ご協力いただいた方々やMyNETSの開発元Usagi Projectの方々に了解をいただき、カスタム版をパッケージにまとめてダウンロードできるようにさせていただいた。近いうちにMyNETSの公式HPからもダウンロードリンクが貼られることになっているが、これまでの集大成でもあるので、こちらでも紹介しておこうと思う。

 MyNETSにゃっぽんカスタム版ダウンロード
 http://v-nyappon.net/download/

 こちらのblogでは内容に沿って、20100921版のINSTALLドキュメントの内容を掲載する(最新の状況は上記URLを参照のこと)。CentOS5.5 x86_64版のインストールとチューニング、CommuniGate ProやTritonnを始めとした関係アプリのインストールと設定、MyNETSの配置と設定など、かなりの長文になっているので、続きはご興味のある方だけどうぞ。

※INSTALL.txtにミスがあったため、0919版は削除して0921版にリンク修正しました。

※このカスタム版を作成するのに当り、本当にたくさんの方々から改修コードとアイデアをご提供いただいたことに深く感謝しています。謝辞はREADMEに、本家との違いはCHANGELOGに入れさせていただいています。ダウンロードの際はぜひご覧いただければと思います。

続きを読む

, , , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...