2010 年 01 月 24 日 - 東京エリアDebian勉強会

第 31 回 関西 Debian 勉強会資料
関西 Debian 勉強会担当者 佐々木・ 倉敷・ のがた
2010 年 01 月 24 日
第 31 回 関西 Debian 勉強会 2010 年 01 月
1 Introduction
Debian JP
関西 Debian 勉強会は Debian GNU/Linux のさまざまなトピック (新しいパッケージ、 Debian 特有の機能の仕組、
Debian 界隈で起こった出来事、などなど)について話し合う会です。
目的として次の三つを考えています。
• ML や掲示板ではなく、直接顔を合わせる事での情報交換の促進
• 定期的に集まれる場所
• 資料の作成
それでは、楽しい一時をお楽しみ下さい。
1
関西デビアン勉強会
目次
1
Introduction
1
2
最近の Debian 関係のイベント報告
3
3
Xen で作る自宅サーバ
4
4
関西 Debian 勉強会
2009 年度各種イベント開催実績と総括
21
5
今後の予定
24
6
メモ
25
7
索引
26
2
第 31 回 関西 Debian 勉強会 2010 年 01 月
2 最近の Debian 関係のイベント
報告
Debian JP
2.1 前回の関西 Debian 勉強会
前回の関西 Debian 勉強会は 2009 年 12 月 27 日に大阪福島区民センターにて開催されました。
発表は、まささんによる、 GPS レシーバと EeePC を組み合わせて自分の現在地をリアルタイムに表示させる
「 ハンド
メイド GPS ロガーの構築」と、たなかとしひささんによる、 Open Street Map の紹介と Debian での実演
「 Debian
を使って愉しむ Open Street Map 入門」でした。
関西 Debian 勉強会では、最近 GPS ロガーを持っている人が増えているわけですが、今後ますます増えそうな気がし
ます*1 。
2.2 第 60 回東京エリア Debian 勉強会 - BSP 2010/Tokyo
1 月 23 日 (昨日), 第 60 回東京エリア Debian 勉強会 - BSP 2010/Tokyo が開催されました。この原稿を執筆してい
る時点では未来の出来事なわけですが、 (恐らく) 盛大に Bug Squash が行なわれた事と想像されます。
Debian の次期安定版、コードネーム Squeeze のリリースフリーズは 2010 年 3 月が予定されています。バグ潰しだけ
ではなくドキュメント/po の翻訳などやっておきたい事がある人は早めにやっつけてしまいましょう。
現在の RC バグの状況は http://bugs.debian.org/release-critical/ で確認できます。
*1
というか、ついに佐々木も購入してしまいました (笑)
3
第 31 回 関西 Debian 勉強会 2010 年 01 月
3 Xen で作る自宅サーバ
川江 浩
3.1 はじめに
近年、 CPU の性能がパワフルになるにつれて、高価なハードウェアを前提とした仮想化技術がパーソナルベースでも使
えるようになってきました。
そこで、脚光を浴びてきた仮想化技術の代表格である Xen を使って、インタネット関連のサーバ群を構築しましたの
で、 Debian ベースで Xen の仮想サーバを構築する時に注意することや、上記サーバ群を構築する際に思ったことをレ
ポートします。
また、以下の仕様はパーソナルベースでの運用を前提に構築したものです。仕様を試そうとするときは、必ずデータ等の
バックアップをとって自己責任で行ってください。より詳しく知りたい方は専門書を参照してください。
3.2 Xen とは
Xen は、仮想マシンソフトウェアの一つで、 OS より 1 つの下の階層でハイパーバイザというプログラムを動かすもの
です。このタイプはハイパーバイザ型と呼ばれ、
「 VMware Infrastrucure」などがあります。
他方、仮想マシンソフトウェ アにはアプリケーショ ンタイプと呼ばれるものがあり、「 VMware Workstation」
「 VirtualBox」
「 QEMU」が有名です。
3.3 Xen の特徴
Xen は仮想化するためのモデルとして、準仮想化と完全仮想化の 2 つを提供しています。
• 準仮想化 (ParaVirtualization)
Xen での準仮想化はハードウェアをエミュレートする代わりに、仮想マシン用のハードウェアを使用します。この
ハードウェアは操作をするためにハイパーバイザコールを呼び出します。ハイパーバイザコールは仮想マシン環境に
対応し、 OS は Xen 仮想ハードウェア用に修正する必要があります。
• 完全仮想化 (FullVirtualization)
Xen は完全仮想化機能も提供しています。この機能を利用すると、デフォルトの OS をそのまま Xen 上で動作させ
ることができます。
3.4 Xen の形態
Xen は Linux をベースに作られていますので、 Xen 用にコンパイルされたカーネルを利用します。このカーネルは
起動時にハイパーバイザをロードし、その上にカーネルをロードします。イメージ的にはハイパーバイザ上を管理 OS の
4
DomainO が動き、その OS に管理される形でゲスト OS と呼ばれる DomainU が動きます。
• Domain-O( 管理 OS)以下 DomO
Xen を起動した OS。ハードウェアを管理し、ハイパーバイザ上で動作するゲスト OS の管理を行う。
• Domain-U( DomU-準仮想化)以下 DomU
Domain-O によって起動、管理されるゲスト OS。特に、準仮想化で動作する。
• HVM Domain( HVM-完全仮想化)以下 HVM
Domain-O によって起動、管理されるゲスト OS であるが、完全仮想化である HVM(Hardware Virtual Machine)
で動作する。
図 1 Xen のハイパーバイザモデルのイメージ
5
3.5 Xen の導入
次に, Xen をインストールします. インストールは各アーキテクチャによって異なります.
*2
ここでは, インテルをベー
スに Lenny の Xen カーネルイメージ 2.6.26 を以下の様にインストールします.
# aptitude install xen-linux-system-2.6.26-2-xen-686
また, Debian には DomU を作るツールも用意してありますので, これもインストールします.
# aptitude install xen-tools
各インストールが済んだら, /xen/xen/xend-config.sxp ファイルの以下の箇所を変えます.
(network-script ’network-bridge netdev=eth1’)
(network-script ’network-bridge netdev=eth0’)
再起動し, DomO の起動を確認します.
# xm list
Name
Domain-0
ID
0
Mem
1478
VCPUs
1
State
r-----
Time (s)
217.6
3.6 DomU の設定
Xen のツールを使ってゲスト OS を以下の手順で入れます. (etch や Ubuntu, CentOS も可能).
1. 設定ファイルの編集
2. xen-create-image の実行
3. DomU の起動
3.6.1 設定ファイルの編集
設定ファイルは, /etc/xen-tools/xen-tools.conf です. 以下, DomU に Lenny をインストールものとして編集します.
*2
詳しくは, 仮想化技術 Xen -概念と内部構造などを参照してください. 完全仮想化を目的にするのであれば Intel-VT や AMV-V が, CPU で
仮想化支援機能を持っています.
6
##
# /etc/xen-tools/xen-tools.conf
##
(中略)
# Output directory for storing loopback images.
#
# If you choose to use loopback images, which are simple to manage but
# slower than LVM partitions, then specify a directory here and uncomment
# the line.
#
# New instances will be stored in subdirectories named after their
# hostnames.
#
##
dir = /home/xen (イメージファイルの保管場所です)
#
(中略)
##
# Disk and Sizing options.
##
size
= 4Gb
# Disk image size.
#memory = 128Mb
# Memory size
memory = 384Mb
# Memory size
#swap
= 128Mb
# Swap size
swap
= 512Mb
# Swap size
# noswap = 1
# Don’t use swap at all for the new system.
fs
= ext3
# use the EXT3 filesystem for the disk image.
#dist
= etch
# Default distribution to install.
dist
= lenny
# Default distribution to install.
# Currently supported and tested distributions include:
#
# via Debootstrap:
#
# Debian:
#
sid, sarge, etch, lenny.(他のディストリビューションの選択も可能)
#
# Ubuntu:
#
edgy, feisty, dapper.
#
# via Rinse:
#
centos-4, centos-5.
#
fedora-core-4, fedora-core-5, fedora-core-6, fedora-core-7
##
# Networking setup values.
##
#
## Uncomment and adjust these network settings if you wish to give your
# new instances static IP addresses.
#
# gateway
= 192.168.1.1
gateway
= 192.168.0.1
# netmask
= 255.255.255.0
netmask
= 255.255.255.0
# broadcast = 192.168.1.255
broadcast = 192.168.0.255
#(ネットワークはご自由に)
#(以下はデフォルトにしました)
# Default kernel and ramdisk to use for the virtual servers
#
kernel
= /boot/vmlinuz-‘uname -r‘
initrd
= /boot/initrd.img-‘uname -r‘
# The architecture to use when using debootstrap, rinse, or rpmstrap.
#
# This is most useful on 64 bit host machines, for other systems it
# doesn’t need to be used.
#
# arch=[i386|amd64]
#
# The default mirror for debootstrap to install Debian-derived distributions
#
mirror = http://ftp.jp.debian.org/debian/
# If you’re using the lenny or later version of the Xen guest kernel you will
# need to make sure that you use ’hvc0’ for the guest serial device,
# and ’xvdX’ instead of ’sdX’ for serial devices.
#
# You may specify the things to use here:
#
serial_device = hvc0 #default
# serial_device = tty1
#
disk_device = xvda #default
# disk_device = sda
#
#
#
#
#
#
#
#
#
#
Here we specify the output directory which the Xen configuration
files will be written to, and the suffix to give them.
Historically xen-tools have created configuration files in /etc/xen,
and given each file the name $hostname.cfg. If you want to change
that behaviour you may do so here.
output
= /etc/xen
extension = .cfg
7
3.6.2 xen-create-image の実行
次に, DomU のイメージを作ります. 同時に DomU に割り当てる IP アドレスをオプションで指定します. 例えば, ア
ドレスを 192.168.0.2, ホストネームを dns とするなら以下のようにします.
# xen-create-image --ip 192.168.0.2 --hostname dns
DomU の制作には, イメージディスクの大きさやネットワークの状況によって異なりますが, 自分の環境では 10G のイ
メージで 30 分ぐらいでした.
3.6.3 DomU の起動
無事に, インストールができたら起動して, 稼働状況を見てみましょう.
# xen create -c dns.cfg
# xm list
Name
Domain-0
dns
mail
www
ID
0
5
2
4
Mem VCPUs
1478
4
384
1
384
1
1792
1
State
r-----b----b----b----
*3
Time (s)
429.8
10.5
123.6
23.1
起動してくる画面は, 全くの初期状態でログインプロンプトしか出ません. root でログインしてパスワードとユーザを作
成します.
# passwd
# adduser ipv6waterstar
3.6.4 バックアップ, 他
また, DomU をデフォルトでインストールした場合, DomO の/home/xen/domain に各 DomU のドメインごとに
メージファイルが置かれます. また, 設定ファイルは/etc/xen に ”.cfg”ファイルとして保存されます.
従って, 例えば何らかの設定ミスをして DomU が起動不能になっても, 上記のイメージと設定ファイルのバックアップ
があれば, 各ディレクトリと設定ファイルをそのままコピーし直すだけで, 同じ環境の DomU を復元できます.
また, 管理用の DomO はセキュリティの関係からプロセス数が少ない方がいいのですが, 後述のように設定ファイルを
多数, 作成する場合のことも考えると, GUI で操作ができるなどの利点から, gnome などをインストールすることを勧め
ます.
3.7 Xen のネットワークの概要
Xen は仮想インターフェイスをベースにしたネットワーク機能を持っています.
具体的には, DomU の各ホストを直接外部ネットワークに接続するブリッジ経由の接続. 仮想インターフェイスを通し
て, DomO のルーティングし, ネットワークインターフェイスに出力するブリッジを経由しない接続 (NAT 接続) の二つ
の形態があります.
ブリッジ経由の接続のイメージはハードウェア上に, DomO と複数の DomU の仮想 PC があって, それぞれが対等に
ネットワークハブで繋がっているような状態です.
今回は, 各 DomU サーバをインターネットサーバとして運用したいので, 仮想インターフェイスを使って直接, セグメン
トが異なる外部ネットワークに接続できるブリッジ経由の接続でネットワークを構成します.
DomU は仮想マシンを作成するときに, IP アドレスを割り当てたので特別な設定は必要ありません. 同時に, Mac アド
レスも各仮想インターフェイスごとに自動的に割り当てられます.
また, IP アドレスを後から変更したいときなどは/etx/xen 以下の”.cfg”ファイルを書き換えます.
例 dns.cfg
*3
Xen には管理用ツールとして「 xm 」などがあります. 詳しくは, Xen 徹底入門などを参照してください.
8
#
# Configuration file for the Xen instance www, created
# by xen-tools 3.9 on Tue Nov 17 10:35:03 2009.
#
#
# Kernel + memory size
#
kernel
= ’/boot/vmlinuz-2.6.26-2-xen-686’
ramdisk
= ’/boot/initrd.img-2.6.26-2-xen-686’
memory
= ’384’(メモリーの容量の変更も可能)
#
# Disk device (s).
#
root
= ’/dev/xvda2 ro’
disk
= [
’file:/home/xen/domains/www/swap.img,xvda1,w’,
’file:/home/xen/domains/www/disk.img,xvda2,w’,
]
#
# Hostname
#
name
= ’dns’(ホスト名)
#
# Networking
#
vif
= [ ’ip=192.168.0.2,mac=00:12:34:56:78:9A’ ]
(アドレスの変更も可能ですが, DomU の interfaces を書き換えているときはそちらも書き換えてください)
#
# Behaviour
#
on_poweroff = ’destroy’
on_reboot
= ’restart’
on_crash
= ’restart’
3.7.1 各インターネットサーバの設定する前の注意事項
次に, DNS, Mail サーバ, Web サーバのパッケージを, 各 DomU にインストールします.
インストールは, 仮想マシンでもノーマルのインストールと変わりません. ただ, Xen のネッ トワーク構成は独特の
「 癖」のようなものがあります. 以下, いくつか例を挙げます.
1. NTP を使った時間の設定
2. SSH でのログイン
3. その他
3.7.2 NTP を使った時間の設定
DomU は Dom0 からのみ時刻を更新できるという Xen の仕様なので, Dom0 で時刻を合わせていれば, DomU も正
確な時刻を得ることができます. ただ, DomU で ntpd や ntpdate を実行するのであれば, 時刻同期できないことがあり
ます.
普通に DomU で時計を合わせるのであれば, Aisa/Tokyo に合わせることで日本時間にできます (デフォ ルトでは
UTC).
# dpkg-reconfigure tzdata
# date
Tue Jan 24 15:00:00 JST 2010
また, DomU で NTP 等を使うのであれば, DomU の/etc/sysctl.conf に xen.independent wallclock=1 を加え
て再起動してください.
3.7.3 SSH でのログイン
Xen で SSH を使って, ネットワーク越しにログインする場合も通常と同じでが, インストールしたばかりの DomU は
何も入っていないので, そのままではエラーになります.
具体的には, まず DomU に SSH をインストールします (ポート番号の変更などはお好みで).
9
# aptitude install ssh
次にローカルから SSH を使ってログインしようとしても, 以下のエラーがでます.
$ ssh mail.kinsen.gr.jp
[email protected] password:
PTY allocation request failed on channel 0
原因は, xen-tools を使った DomU の構築で
「 udev をインストールしないため」に起こります. 従って, DomU に
udev をインストールすることで解決します.
# aptitude install udev
3.7.4 その他
その他, Xen でサーバを運用するときにいくつか気づいたものを挙げます.
まず, DomO と DomU がブリッジ経由で接続している場合, iptables で FORWARD を使うと DomU からネット
ワークに繋がらない現象が起こります (理由は不明).
また, 完全仮想化でゲスト OS を動かそうとするのであれば, CD をゲスト OS からマウントし, VNC などを立ち上げ
てインストールする必要があります (検証はしてませんので, 可能かどうかは不明).
詳しくは, 以下のドキュメント等を参照してください.
• http://wiki.debian.org/Xen
3.8 各インターネットサーバの設定
次に, 各インターネットサーバの設定の手順を説明します. ここでの環境は, グローバル IP アドレスが 1 つで, インター
ネットには電話会社から提供されているルータで外部ネットワークに, 繋がっていることを前提とします.
3.8.1 DNS の概要
DNS サーバはホスト名と IP アドレスを対応させたゾーンと呼ばれるファイルを持ち, ホスト名の検索に対して対応す
る IP アドレスを返します. また, ゾーンファイルの内容を他のサーバに転送します.
具体的に www.kinsen.gr.jp というホスト名に対応する IP アドレスを (再帰) 検索する場合, まず, jp ドメインの IP
アドレスを問い合わせる必要があります. そのために, ルートサーバで jp ドメインの IP アドレスを検索し, jp サーバに接
続します. 同様に, jp に属する gr ドメインの IP アドレスを検索し, さらには gr ドメインに属する kinsen そして www
と順次, 各 IP アドレスを検索し, 各サーバに接続していきます. そして最終的に, www.kinsen.gr.jp の IP アドレスが
203.141.158.41 である事がわかります.
Debian には DNS サーバとして bind9 のパッケージが用意されています. 以下, インストールと設定を行います.
3.8.2 DNS の設定
bind9, bind9utils パッケージをインストールします.
# aptitude install bind9
# aptitude install bind9utils
今回はパーソナルユースなので 1 個のグローバル IP アドレスを使うことを前提とし, ネームサーバの設定には view や
match-client を使います (例として, 内部ゾーンで, 192.168.0.0/24 ネットワーク内に各サーバを, グローバルアドレスと
して 203.141.158.41 を使うものとします).
view は指定の IP アドレスやネットワークごとに, 個別のオプションとゾーンデータを提供します.
具体的には, acl で IP アドレスとネットワークを指定し, match-clients で acl にマッチするクライアントと, その他の
クライアントごとに別々ゾーンを提供します. これを利用し, 1 台のサーバで内部用 (acl にマッチする) と外部用 (acl に
10
マッチしない) の DNS を構築します.
なお, グローバル IP アドレスが複数の場合は, 各 DomU にグローバル IP アドレスを設定してください.
*4
3.8.3 view の設定
通常, BIND で view を設定する場合, named.conf に view や acl, match-clients の設定を書き加えます. だだ,
Debian では, named.conf.options や named.conf.local などのファイルがありますので, それらを利用します.
まず, named.conf に以下のように書き換え, include を使って設定ファイルを挿入するようにします.
// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local
include "/etc/bind/named.conf.acl"; //view を使うアドレスの範囲を設定する
include "/etc/bind/named.conf.options"; //BIND の調整ためのオプション
view "internal"{ // 内部用ゾーンの設定
match-clients { localnet; }; // 内部ゾーンの適用範囲の設定
recursion yes;
include "/etc/bind/named.conf.conf"; // 内部用ゾーンの初期設定
include "/etc/bind/named.conf.local"; // 内部用ゾーンのローカル設定
};
view "external" { // 外部用ゾーンの設定
match-clients { any; }; // 外部ゾーンの適用範囲の設定
recursion no;
include "/etc/bind/named.conf.view"; // 外部用ゾーンのローカル設定
};
3.8.4 named.conf.acl の設定
acl ステートメントでは, アドレスマッチリストを設定します.
named.conf.acl の内容は以下の通り
acl localnet{
192.168.0.0/24;
127.0.0.1;
};
3.8.5 named.conf.options の設定
options ステートメントでは, BIND の動作に関わるもろもろのオプションを設定します.
named.conf.options の内容は以下の通り
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
//
//
//
//
If your ISP provided one or more IP addresses for stable
nameservers, you probably want to use them as forwarders.
Uncomment the following block, and insert the addresses replacing
the all-0’s placeholder.
forwarders {
123.456.789.001; 123.456.789.002;
//ISP で指定された DNS に代理問い合わせを要求するアドレスを記入します.
};
allow-query { any; }; // 問い合わせ可能なホストを無制限に
allow-transfer { localnet; }; // 転送先を限定
version "no version"; // バージョン表示を無効に
auth-nxdomain no;
# conform to RFC1035
listen-on-v6 { any; };
};
3.8.6 named.conf.conf の設定
このファイルはもとの named.conf (初期設定) ファイルです.
*4
詳しくは, DNS BIND 第 5 版などを参照してください.
11
named.conf.conf の内容は以下の通り.
// prime the server with knowledge of the root servers
zone "." {
type hint;
file "/etc/bind/db.root";
};
// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912
zone "localhost" {
type master;
file "/etc/bind/db.local";
};
zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};
zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};
zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};
3.8.7 named.conf.local の設定
ローカルネット用の初期設定ファイル.
named.conf.local の内容は以下の通り
//
// Do any local configuration here
//
zone "kinsen.gr.jp" {
type master;
file "/etc/bind/db.in-kinsen.gr.jp"; // 内部順引きゾーンテーブル
};
zone "0.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.192.168.0"; // 内部逆引きゾーンテーブル
};
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
以下は各ゾーンファイルの設定例です.
1. 順引きゾーンテーブル
12
;
; BIND data file for kinsen.gr.jp
;
$TTL
86400
@
IN
SOA
dns.kinsen.gr.jp. root.dns.kinsen.gr.jp. (
1
; Serial
1800
; Refresh
900
; Retry
604800
; Expire
1200 )
; Negative Cache TTL
; localhost
localhost
localhost
IN
NS
dns
IN
IN
A
AAAA
IN
MX
IN
IN
IN
IN
IN
IN
IN
IN
A
AAAA
A
AAAA
A
AAAA
A
AAAA
192.168.0.1
2001:
192.168.0.2
2001:
192.168.0.3
2001:
192.168.0.4
2001:
IN
CNAME
noren
IN
IN
A
MX 0
192.168.0.2
mail
127.0.0.1
::1
; Mail exchange
;
; Host entry
;
noren
;
dns
;
mail
;
www
;
;
; Alias
;
;www
;
; Domain
@
0
mail.kinsen.gr.jp.
2. 逆引きゾーンテーブル
;
;BIND data file for 219.117.222 network
;
$TTL
86400
@
IN
SOA
dns.kinsen.gr.jp.
1
;
1800
;
900
;
604800
;
1200 )
;
IN
;
; Host entry
;
1
2
3
4
IN
IN
IN
IN
NS
PTR
PTR
PTR
PTR
root.dns.kinsen.gr.jp. (
Serial
Refresh
Retry
Expire
Negative Cache TTL
dns
noren.kinsen.gr.jp.
dns.kinsen.gr.jp.
mail.kinsen.gr.jp.
www.kinsen.gr.jp.
3.8.8 named.conf.view の設定
グローバルネット用の初期設定ファイルです. named.conf.view の設定は以下の通り
zone "." {
type hint;
file "/etc/bind/db.root";
};
zone "kinsen.gr.jp"{
type master;
file "/etc/bind/db.out-kinsen.gr.jp"; // 外部順引きゾーンテーブル
allow-transfer{
localnet;
123.456.789.001;
123.456.789.002;
};
};
zone "158.141.203.in-addr.arpa"{
type master;
file "/etc/bind/db.203.141.158"; // 外部逆引きゾーンテーブル
allow-transfer{
localnet;
123.456.789.001;
123.456.789.002;
};
};
以下は各ゾーンテーブルの設定例です.
13
1. 順引きゾーンテーブル
;
; BIND data file for kinsen.gr.jp
;
$TTL
86400
@
IN
SOA
dns.kinsen.gr.jp. root.dns.kinsen.gr.jp. (
1
; Serial
1800
; Refresh
900
; Retry
604800
; Expire
1200 )
; Negative Cache TTL
; localhost
localhost
localhost
IN
NS
IN
IN
A
AAAA
IN
MX
IN
IN
IN
IN
IN
IN
IN
IN
A
AAAA
A
AAAA
A
AAAA
A
AAAA
IN
IN
A
MX 0
dns
127.0.0.1
::1
; Mail exchange
;
; Host entry
;
noren
;
dns
;
mail
;
www
;
;
; Domain
@
0 mail.kinsen.gr.jp.
203.141.158.41
2001:
203.141.158.41
2001:
203.141.158.41
2001:
203.141.158.41
2001:
203.141.158.41
mail
2. 逆引きゾーンテーブル
;
;BIND data file for 203.141.158 network
;
$TTL
86400
@
IN
SOA
dns.kinsen.gr.jp.
1
;
1800
;
900
;
604800
;
1200 )
;
IN
;
; Host entry
;
41
41
41
41
IN
IN
IN
IN
NS
PTR
PTR
PTR
PTR
root.dns.kinsen.gr.jp. (
Serial
Refresh
Retry
Expire
Negative Cache TTL
dns
noren.kinsen.gr.jp.
dns.kinsen.gr.jp.
mail.kinsen.gr.jp.
www.kinsen.gr.jp.
以上の設定が終わったら, BIND を再読み込み, 再起動します.
# /etc/init.d/bind9 reload
# /etc/init.d/bind9 restart
注ー必ず再読み込みからしてください.
再読み込みでエラーがでたら必ず修正してください.
14
正常に読み込みが終わったら設定内容を dig や nslookup を使って確かめます.
$ dig @localhost dns.kinsen.gr.jp (ホスト名はいろいろ試してください)
; <<>> DiG 9.5.1-P3 <<>> @localhost dns.kinsen.gr.jp
; (2 servers found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55957
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;dns.kinsen.gr.jp.
IN
A
86400
IN
A
192.168.0.2
;; AUTHORITY SECTION:
kinsen.gr.jp.
86400
IN
NS
dns.kinsen.gr.jp.
;; ANSWER SECTION:
dns.kinsen.gr.jp.
;;
;;
;;
;;
Query time: 0 msec
SERVER: 127.0.0.1#53 (127.0.0.1)
WHEN: Thu Jan 21 07:26:57 2010
MSG SIZE rcvd: 64
$ dig @localhost kinsen.gr.jp MX (メールについても確認します)
; <<>> DiG 9.5.1-P3 <<>> @localhost kinsen.gr.jp MX
; (2 servers found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 640
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2
;; QUESTION SECTION:
;kinsen.gr.jp.
IN
MX
;; ANSWER SECTION:
kinsen.gr.jp.
86400
IN
MX
0 mail.kinsen.gr.jp.
;; AUTHORITY SECTION:
kinsen.gr.jp.
86400
IN
NS
dns.kinsen.gr.jp.
;; ADDITIONAL SECTION:
mail.kinsen.gr.jp.
dns.kinsen.gr.jp.
86400
86400
IN
IN
A
A
192.168.0.3
192.168.0.2
;;
;;
;;
;;
Query time: 0 msec
SERVER: 127.0.0.1#53 (127.0.0.1)
WHEN: Thu Jan 21 07:25:15 2010
MSG SIZE rcvd: 101
$ nslookup -type=mx kinsen.gr.jp (このコマンドでもいいです)
Server:
192.168.0.2
Address:
192.168.0.2#53
kinsen.gr.jp
mail exchanger = 0 mail.kinsen.gr.jp.
3.9 Mail サーバの設定
Mail サーバはメールの送受信を行います. 具体的には 2 つの機能に分別できます.
• MTA (Mail Transfer Agent メール転送エージェント)
ユーザが送信したメールを受け取って, 他のサーバとバケツリレー式に目的地まで配送したり, 届いたメールを保管
する機能
• MDA (Mail Delivery Agent メール配送エージェント)
振り分けられたメールをサーバ内のユーザや別のサーバへ配送する機能
Debian では Exim がデフォルトのメールサーバになっていますが, インストールしたばかりの DomU にはインストー
ルされていません. そこで, 今回は設定が容易で, 柔軟性も高く, ドキュメントも豊富な MTA の postfix をインストール
します.
*5
また, Mail サーバからメールを取り出すために MDA は postfix と相性のよい Dovecot にし, IMAP プロトコルを使
用します.
*5
より詳しくは, Postfix 詳解 MTA の理解とメールサーバの構築, 運用を参照してください.
15
3.9.1 postfix の設定
次に, postfix をインストールし, 大まかな設定を dpkg-reconfitgure postfix で行い, 詳細な設定は後述の/etc/postfix/
の main.cf で直接, 書き換えるようにします.
# aptitude install postfix
# dpkg-reconfitgure postfix
以下, コンソールに設定画面が表示されます. 最初にサイトのタイプ, 次に各完全修飾ドメイン名, ルートやポストマス
ターとしてメールを受け取るユーザ, メールを受け取ることのできるその他のドメイン, メールの同期, 送信可能なネット
ワークの範囲, メールボックスのサイズ, 使用するプロトコルの種類などを環境に合わせて設定します.
1.General type of mail configuration: Internet Site
2.System mail name: mail.kinsen.ge.jp
3.Root and postmaster mail recipient: ipv6waterstar
4.Other destinations for mail: mail.kinsen.gr.jp, kinsen.gr.jp, localhost
5.Force synchronous updates on mail queue?: No
6.Local networks: 127.0.0.0/8
7.Mialbox size limit (bytes): 0
8.Local address extension character: +
9.Internet protocols to use: all
3.9.2 Maildir の設定
また, 受信したメールを Mail ディレクトリで扱うように設定します. Maildir は保管する受信メールの取扱いが容易で,
dovecot でも同様に扱うことができます.
# postconf -e "home_mailbox = Maildir/"
# postconf -e "mailbox_command ="
3.9.3 再起動とテスト
大まかな設定が終わったら, 設定を読み込んでテストをしてみましょう.
# /etc/init.d/postfix reload
# /etc/init.d/postfix restart
テストは telnet を使います. ただし, DomU には Telnet はインストールされていませんので, インストールしておい
てください.
# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is ’^]’.
220 mail.kinsen.gr.jp ESMTP Postfix (Debian/GNU)
以上のようにでれば正常です. 引き続き自分宛にメールを送ってみましょう.
mail from: [email protected]
rcpt to: [email protected]
data
To: [email protected]
From: [email protected]
Subject: Test
This is my frist email on debian. Is it successed to send your mail?
(本文ができたら)
.
(を入力し)
quit (で終了しましょう)
16
3.9.4 main.cf の設定
次に, メールサーバを立ち上げた場合, 気になるのは spam などの迷惑メール対策です. postfix は main.cf で詳細な設
定が可能で, spam についてもアンチ spam 用の設定があります.
以下, main.cf の該当箇所を書き換えます.
smtpd_recipient_restrictions = reject_invalid_hostname,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_rbl_client sbl.spamhaus.org,
permit
smtpd_helo_restrictions = reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
reject_unknown_helo_hostname (この設定を入れると, proxy 経由のメールが受け取れなくなります)
また, RBL (spam のブラックリスト) を使うこともできます.
smtpd_client_restrictions = reject_rbl_client dnsbl.sorbs.net
3.9.5 その他オプション (SMPT-AUTH, Sasl, TLS, サブミッション) の設定
また, Postfix はオプションで様々なセキュリティの設定が行えますので, 代表的なものをいくつか設定します.
• SMPT-AUTH (メール送信に使うプロトコルである SMTP にユーザ認証機能を追加した仕様)
SMTP がもともと認証を持たない仕様であったため, spam や不正中継などが横行し, 対策として, メール送信の際
に SMTP サーバとユーザとの間で認証を行い, 認証された場合のみメールの送信を許可するようにしたも. 認証方
式としては PLAIN, LOGIN, DIGEST-MD5, CRAM-MD5 などがある.
• Sasl (Simple Authentication and Security Layer)
プロトコルから認証機構を分離して, SASL でサポートする任意の認証機構を任意のプロトコルで使うことができる.
• TLS (Transport Layer Security SSL から名称変更)
インターネットで情報を暗号化し, 送受信するプロトコル. 通常は, TCP をラッピングする形で利用する. HTTP
での利用を意識して設計 (ただし, 特定のプロトコルを前提とはしない).
• サブミッションポート (認証機能付きポート 587 番)
迷惑メール対策として, ISP がポート番号の 25 を自身のサーバのメールの送信にのみ開放し事により, 一般のユー
ザが外部のサーバからメールの送信することができなくなったため, 認証機能付きポートを開放する事でメールの送
信を可能にしたもの.
以上のオプションを使用するために, Sasl の認証機構を使ってユーザの認証 (SMPT-AUTH) を行い, ユーザ認証で用
いるパスワード (平文) を TLS で暗号化します. そして, メール送信のために認証機能のついたサブミッションポートを使
用するための設定をします.
3.9.6 Sasl, TLS, サブミッションポートのインストールと設定
sasl2-bin, libsasl2-modules, postfix-tls をインストールします.
# aptitude install sasl2-bin
# aptitude install libsasl2-bin
# aptitude install postfix-tls
/etc/postfix/sasl/smtpd.conf を書き加えます.
pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
/etc/default/saslauthd で sasl デーモンを許可し, /etc/init.d/saslauthd start で起動します.
START=yes
17
/etc/postfix/main.cf の以下を書き換え, smtpd recipient restrictions へ新たな設定を加えます.
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = reject_invalid_hostname,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_rbl_client sbl.spamhaus.org,
permit_sasl_authenticated, //
permit_mynetworks,
// 以上を加えます.
reject_unauth_destination, //
permit
Postfix ユーザに sasl グループを加えます.
# adduser postfix sasl
bind を使い, saslauthd に名前をつける.
# /var/run/saslauthd /var/spool/postfix/var/run/saslauthd bind bind 0 0
fstab に加えます.
# cd /var/spool/postfix
# mkdir -p var/run/saslauthd
# mount /var/spool/postfix/var/run/saslauthd
設定が終わったら, sasl と postfix を再起動します.
# /etc/init.d/saslauthd restart
# /etc/init.d/postfix reload // エラーがでたら, 必ず設定を確認して下さい.
# /etc/init.d/postfix restart
再起動ができたら, テストをしてみましょう
# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is ’^]’.
220 mail.kinsen.gr.jp ESMTP Postfix (Debian/GNU)
ehlo local (ローカルで調べます)
250-mail.kinsen.gr.jp
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS (TLS の確認)
250-AUTH PLAIN LOGIN (SMTP-AUTH の確認)
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit (で終了します)
221 2.0.0 Bye
Connection closed by foreign host.
次に, 現在の設定ではパスワードが平文でネットワーク上を流れる事になりますので, パスワードを TLS で暗号化する
ために, main.cf を書き換えます. また, 証明書や鍵については以下を参照して下さい.
• http://yocum.org/faqs/postfix-tls-sasl.html
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/ssl/certs/cacert.pem
//
smtpd_tls_cert_file = /etc/ssl/certs/cacert.pem // この部分は個々の鍵の作成の内容ごとに変わります.
smtpd_tls_["CAfile"] = /etc/ssl/certs/cacert.pem //
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
18
サブミッションポートについては以下の通り設定します. /etc/postfix/master.cf ファイルを以下の用に書き換えます
submission
-o
-o
-o
inet n
smtpd_etrn_restrictions=reject
smtpd_enforce_tls=yes
smtpd_sasl_auth_enable=yes
-
smtpd
設定ができたら, Postfix を再起動し, 設定を確認しましょう.
$ netstat -at
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address
Foreign Address
tcp
0
0 *:imaps
*:*
tcp
0
0 *:submission
*:*
tcp
0
0 *:imap2
*:*
tcp
0
0 *:smtp
*:*
tcp6
0
0 [::]:submission
[::]:*
tcp6
0
0 [::]:smtp
[::]:*
State
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
以上で, Postfix の設定は以上ですがより詳しく知りたい方は
• http://wiki.debian.org/Postfix を参照して下さい.
なお, 今回は触れませんでしたが, 上記以外の spam 対策として, spamassassin やウィルス対策として Clamav などが
あります.
3.9.7 dovecot の設定
Dovecot は Linux のような UNIX ライクな OS で動作する, POP3/IMAP に対応した MDA です.
今回は, IMAP プロトコルを使います. IMAP (InternetMessageAccessProtocol) は, メールサーバのメールにアクセ
スし操作するためのプロトコルで, オフラインとオンラインの双方で利用できます. オフラインではローカルでメールを扱
い, オンラインでメールの保管されてメールディレクトリと同期してメールを扱います. これにより, 複数のクライアント
でもディレクトリによって一元管理ができます.
因みに, Dovecot を Debian で動かすための設定を書いた適当なドキュメントがありません. そこで, 下記の Ubuntu
の設定をそのまま使います. また, より詳しい情報は Dovecot の wiki などを参照して下さい.
• https://help.ubuntu.com/community/Dovecot
• http://wiki.dovecot.org/
3.10 Dovecot のインストールと設定
今回は, プロトコルを imap に限定したので, Dovecot の imap のパッケージのみをインストールします.
# aptitude install dovecot-imapd
次に, /etc/dovecot/dovecot.conf の設定を以下のように書き換えます.
protocols = imap imaps
// プロトコルの設定
(中略)
listen = *
//IP アドレスの Ver
(中略)
mail_location = maildir:~/Maildir // メールディレクトリの設定
3.11 Dovecot でのユーザ認証と SSL の設定
また, Dovecot でもユーザの認証と SSL でパスワードの暗号化をします. 以下その設定です.
19
disable_plaintext_auth = no // 認証の許可
(中略)
ssl_disable = no //ssl の許可と認証鍵の設定
ssl_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
ssl_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
以上で, Dovecot の設定ができましたので, 再起動してテストしてみましょう.
# /etc/init.d/dovecot restart
# telnet localhost 143
Trying localhost...
Connected to localhost.
Escape character is ’^]’.
+OK dovecot ready.
以上のようにでたら OK です. netstat などでポートも確かめておいて下さい.
3.12 まとめ
最後は, Web サーバの設定なのですが, 今の時点で Web サーバの構築ができていない状況です. 仕様としては Red5*6 を
インストールし, 動画サイトの運営を目標としたい思っています. 構築できましたら, また発表します.
以上が, Xen でサーバを作るときの基本的な設定です. Xen を使うとソフトベースであるため比較的楽にサーバの構築
ができます. ですが, 1 台の PC で, 1 年, 24 時間, サーバを動かすことを考えると, 改善する点も多数あると考えていま
す. あと, サーバ群の PC が 1 台に集中できるので, 省スペースで省エネルギー (電気代は月 700 円ぐらい) です.
今後は, 各サーバを IPv6 に対応させる事や, 仮想化の
「 主流」になるとだろう
「 KVM 」と比較していきたいと思いま
す. 設定方法も, もっといい方法を見つけていきたいと思います. また, 何かありましたら, メールを送っていただけるとあ
りがたいです.
• [email protected]
*6
http://osflash.org/red5
20
第 31 回 関西 Debian 勉強会 2010 年 01 月
4 関西 Debian 勉強会
2009 年度各種イベント開催実
績と総括
倉敷・ 佐々木・ 野方
■※ 2009 年 12 月資料の再録です
4.1 運営状況
関西は運営に関わっている人に学生が多いので、いろいろ無理をお願いする場面も多かったような気がします。
4.1.1 勉強会全体
今年度途中 (7 月) より、運営担当が山下尊也から倉敷・ 佐々木・ 野方の三名体制に交代しました。これは山下の身辺が
多忙になり身動きがとれないという理由からです。幸い、以前より分担に向け運営の見直しを進めていたこともあり、大き
な混乱もなく継続することができました。
年度当初、ライブ中継に若干盛り上がりを見せましたが、その後、うまく継続できませんでした。問題としては IP アン
リーチャブルな会場をメインにしていることと、中継の実作業を担っていた人が運営側にシフトし、余力を回せなくなって
いることが原因と思われます。
5 月には神戸市を中心とした関西地域の新型インフルエンザ流行により、勉強会を中止する出来事がありました。社会的
な要因により勉強会開催の判断を迫られる状況は初めてでしたが、こういう事は二度とあって欲しくないですね。
9 月は京都リサーチパークにお邪魔して勉強会初の京都で開催しました。会場を変えると、いつもとは違う参加者も増え
るので、たまに場所を変えるのもよいのではと思いました。
講師については現状、固定化している中、継続して常連参加者への講師依頼をするほかに、 DMC を取り入れたり、 LT
発表も可能な参加者自己紹介の常設などをおこないました。
LT 発表可能な参加者自己紹介は、話題にバリエーションが加わったなど興味深いこともあった反面、年度後半は関西の
勉強会参加者も参加している Open Street Map にトピックを持っていかれてしまった感もあり、うまくバランスを取る
必要がありそうです。
また、今年度は佐々木、山下の 2 名が Package Maintainer として Debian の New queue に新しくパッケージを送り
込みました。来年もこの流れを維持できればと思います。
4.1.2 扱ったテーマ
勉強会の内容としては、パッケージ開発自体に加えて、 Debian の体制にまつわる話 (gpg や mentors など) や、周辺
ツールの利用 (bash や reportbug や gdb など) をとりあげました。来年度のテーマについては、年末年始に相談をする
予定をしています。
21
翻訳関連では、東京での流れに乗り DDTSS のハンズオン実習をしましたが、予想外に反応がありました。もともと需
要があったのか、実習したことで身近になったのか、はよくわかりませんが…。
4.1.3 イベント関連
例年通り、夏のオープンソースカンファレンス [email protected](OSC) と、秋の関西オープンフォーラム (KOF) に出展
しました。
セッションでは、 OSC では大浦さんによる Debian GNU/kFreeBSD について、 KOF では矢吹さんに DD になるま
での軌跡をお話してもらいました。矢吹さんは、関西 Debian 勉強会立ち上げの立役者なので、できれば勉強会にも来て欲
しいところですが、最近は、なかなかご多忙で難しいとのことです。
また、四国ではじまっ たオープンフォ ース勉強会
*7 と、岡山でのオープンセミナー@岡山 *8
に、野方が参加して
Debian Live やノウハウの紹介などを行いました。
4.2 開催実績
関西 Debian 勉強会の出席状況を確認してみましょう。グラフで見ると図 2 になります。表で見ると表 3 です。
図 2 関西の参加人数推移
*7
*8
http://openforce.project2108.com/
http://openseminar.okaya.ma/
22
表 1 関西 Debian 勉強会参加人数 (2007 年)
参加人数
表 2 関西 Debian 勉強会参加人数 (2008 年)
内容
参加人数
2007 年 3 月
19
開催にあたり
2008 年 2 月
20
2007 年 4 月
25
goodbye、 youtube、プ
2008 年 3 月
23
23
社会契約、テーマ、 de-
2008 年 4 月
24
bian/rules、 bugreport
2007 年 7 月
20 前後
2007 年 8 月
20
2007 年 9 月
2007 年 10 月
16
22
2007 年 11 月
20 前後
2007 年 12 月
15
2008 年 5 月
25
patch、
Debian
ipv6,
emacs,
us-
tream.tv
dpatch
2008 年 6 月
20
pbuilder, hotplug, ssl
ライブラリ、翻訳、
2008 年 8 月
13
coLinux
debtorrent
2008 年 9 月
17
debian mentors, ubiq-
日本語入力、 SPAM フ
uity, DFSG
ィルタ
2008 年 10 月
11
cdbs,cdn.debian.or.jp
KOF
2008 年 11 月
35
KOF
忘年会、 iPod touch
2008 年 12 月
?
TeX 資料作成ハンズオン
表 3 関西 Debian 勉強会参加人数 (2009 年)
参加人数
coLinux,
GNU/kFreeBSD, sid
OSC-Kansai
Inkscape、
PC Cluster, GIS, TEX
bug report, developer
corner, GPG
ロジェクトトラッカー
2007 年 6 月
内容
内容
2009 年 1 月
18
DMCK, LT
2009 年 3 月
12
Git
2009 年 4 月
13
Installing sid,
Man-
coosi, keysign
2009 年 6 月
18
Debian Live, bash
2009 年 7 月
30?
OSC2009Kansai
2009 年 8 月
14
DDTSS, lintian
2009 年 9 月
14
reportbug,
debian
mentors
2009 年 10 月
16
gdb, packaging
2009 年 11 月
35
KOF2009
2009 年 12 月
??
GPS program, OpenStreetMap
23
第 31 回 関西 Debian 勉強会 2010 年 01 月
5 今後の予定
Debian JP
5.1 次回の関西 Debian 勉強会
次回、 2010 年 2 月の関西 Debian 勉強会は 2 月 28 日に福島区民センターで行ないます。
5.2 オープンソースカンファレンス Kansai @ Kobe 2010
2010 年 3 月 13 日土曜日に JR 神戸駅すぐそばの神戸市産業振興センターにて、オープンソースカンファレンス Kansai
@ Kobe 2010 が開催されます。関西 Debian 勉強会では、現在参加を検討しています。
24
第 31 回 関西 Debian 勉強会 2010 年 01 月
6 メモ
25
第 31 回 関西 Debian 勉強会 2010 年 01 月
7 索引
2009 年, 21
関西 Debian 勉強会, 21
26
関西デビアン勉強会
Debian 勉強会資料
2010 年 01 月 24 日
初版第 1 刷発行
関西 Debian 勉強会( 編集・ 印刷・ 発行)
27