ゆーいちです。

2010年2月6日(土) openSUSE勉強会で行った内容を公開しちゃいます。
手抜きな部分もあるかもしれません。。。
いや、結構。。

まず、自己紹介をしていきましょう。
ということで進行役の方から”時計回り”に自己紹介。
↓
今回のサーバ構築に関する発表者のPCにトラブル発生
↓
PC復旧の間、別のPCを利用してサーバ構築をしよう
↓
1クリックインストールを使用して、WordPressを導入しよう！

Software.openSUSE.org へアクセスし、パッケージ検索をクリック。

検索するパッケージを”wordpress“と入力して、対象OSをopenSUSE11.2に。
「検索」をクリック。

パッケージが見つかったので、「1クリックインストール」をクリック。

リポジトリの追加とか出てきて・・・
Apacheとか自動的にインストールされて。。
インストール完了！！

さてさて、YaST2(GUI)でHTTP設定をしたいよね。
パッケージをさらにインストールします。(yast2-http-server)

方法は下記のブログに詳しく載っています！
Bloody Rose – HTTP サーバメニューを YaST に追加する方法

手間を省いちゃいました。
スイマセン( -.-) =з

先ほどのブログに、YaST2にHTTPサーバメニューを追加する方法から
サービスを起動するまでがしっかりかかれていますm(_ _)m

さて、HTTPDを動作させたところで、WordPressの起動確認。
ブラウザに入力「http://127.0.0.1/wordpress/」
結果。。。Databaseがインストールされておらず、Error！

MySQLが入っていないので、インストールしましょう。
1クリックインストールでMySQLを選択。
↓
ネット回線が遅く、タイムアウト。
↓
仕方なく、openSUSE11.2のDVDからMySQLをインストール。
(リポジトリ管理でDVDの優先度を上げておきましょうね)

インストールが完了したら、自分のDBを作成します。
そして、CREATEしたDBに対して、WORDPRESSのテーブルを作成してあげる。
確認…

結果、先ほどと同様のError。。。

どうもWordPressが動かないと思ったら、ファイアウォールが動いていた。
→ すぐさま、ファイアウォールを無効にする。

再度、WordPressの起動確認 → 動作OK!!

adminのパスワードが表示されるので、それをメモします。
（メモしないと二度と入れなくなります）

そして、、、
WordPressの管理画面が出てきて、無事成功しました。

なかなか、一発でうまくいかないものですね。
てんやわんやでした（汗

●時間が余ったので、
SUSE Studioのご紹介。
↓
SUSE Studioで最小構成のServer構築ご紹介。
↓
お片付け

といった、2月の勉強会でした。
かなり準備不足でしたが、とりあえず、とりあえずちゃんとWordPressが動作したのでよしとしたいです。

以上、報告でした～～～。

こんばんは、桔梗です。
Linuxでサーバーを立てるとき、どのように考えて作っていますか？

これは今の職場で実際にあった話ですので、参考にしてください。

・必要ないパッケージまで全部入れる。
これはまず、間違っているでしょう。OSはRHEL3.9です。RHELの古いやつはアップデートにものすごい時間がかかるんです。
さらに、パッケージによっては強制的に設定ファイル上書きするみたいで、必要な設定ファイルを全部バックアップとって・・・とやるから一日がけなんですよね。その点、SUSEであれば、DeltaRPM の機能で差分だけの提供ですから、設定ファイル書き換えなんていう事態も発生しないと思います。そして何より、アップデートにさほど時間がかからない点でしょうか。
後は、必要ないパッケージまで入れることで、セキュリティホールを生み出しています。いやね、使いもしないもの入れておいて、クラッキングされた後が怖い。自分ならそんな変な構成はしませんよ。
私なら、必要最低限のパッケージを導入した後に必要なものを導入していきます。これが一番構築の手間はかかるけれども、後の管理は楽です。SUSEなら、CUI上でもYaSTくんが使えるのでGUIじゃなくてもさほど苦労しないかと思います。

・セキュリティOSが有効になっていない
外部に公開しているサーバーなのに、セキュリティOSが有効ではありませんでした。
RHELなのでSELinuxなのですが、SELinux Policy Editorができたとはいえまだ、難解な面は残っています。とは言っても、軍の用途にも耐えられるくらい強力なものです。いくら強力なものを作ったとしても使い勝手がよくなければ、ユーザーは増えないものですよね。
SUSEであれば、AppArmerという機能があります。SELinuxより設定が簡単で使い勝手がよいものです。これはYaSTくんから設定が可能です。拍子抜けするくらい簡単に設定ができますよ。

・FWの設定は？
FWの設定はGUIでやれば今でこそ簡単ですが、実際に運用されているサーバー群でどれだけXが使えるというのでしょうか。
FWはGWでやっているから安全だ、という人がいますが、実際は違います。GWに設置してあるFWは確かに外からの攻撃には強いですが、 LAN内部からの攻撃は素通りしてしまいます。また、LAN内部のユーザー全体がTelnet等でサーバーにアクセスできてしまうのも考え物です。サーバーごとに制御をかけるのであれば、サーバー自体にもFWの設定は必要でしょうね。

サーバーを守る手段は考えてみればいくらでもあるものです。
攻撃にあったときに被害を最低限にとどめるために、もう一度セキュリティを見直しを含めて、サーバー全体を見直してみませんか？
そして、実際にこれじゃだめだ、ということがわかったとき、乗り換え対象のディストリビュージョンとして、openSUSEやSLES、SLEDが候補に挙がってくれれば幸いです。openSUSEやSLES、SLEDであればセキュリティ対策はとても簡単にできるものなのですから。

気がついたら一年ぶりですか?
どうも、お久しぶりです、桔梗です。
仕事が忙しくてなかなか更新する暇がありませんでした。

表記、八月勉強会のネタですが・・・・
C++＆QtによるSUSE Linuxでのクロスプラットホーム開発入門＆SUSE LinuxでWAFを作ろうの二本立てを予定していますが、どこまで準備できるのかが疑問です。
現在、メインマシンがトラブル(発熱)を抱えており、プレゼンで使えるマシンがない状態になっています。
仕方ない、はやりのNetBookでも買おうかな・・・・
#それはそれでWintelの策略に乗ったみたいで悔しい。

ちなみにIDEは物置から引っ張り出してきたBorland　C++ BuilderXもしくは、Turbo C++を予定していますが、
時代が時代なのできちんとKDEのIDEでもやる予定です。

こんばんは、kazuhisyaです。

オープンソースカンファレンス2009 Sebdaiで使用した資料をアップ致しました。
今回は仮想化(Xen)について話させて頂きました。
興味のある方は是非ご覧になってみてください。

オープンソースカンファレンス2009 Sendai openSUSEコミュニティ資料

<< Wednesday, January 7th, 2009 by Andreas Jaeger >>

openSUSE プロジェクトで使われているバグ・レポート・ツール(bugzilla.novell.com)が、1月10日にバージョン 3.2 へとアップデートされます(いくつかの Novell 独自の変更が含まれています)。

変更の中で特筆すべきことは、バグ報告にあたって新たにガイド・モードが追加され、これが Novell 外のアカウントで報告する際のデフォルトとなるということです。

ガイドなしモードを使っていて、ガイド・モードに切り替えたい場合は(あるいは、その逆を望む場合は)、”新しいバグレポート”のテンプレートをブックマークしておくことも可能です(詳細については下記をご覧ください)。こうしておくと、ブックマークの URL を編集して“?format=guided”を追記したり(ガイド・モードに切り替えたい場合)、この部分を削除して元に戻すことができるようになります。このブックマークを使うことにより簡単にアクセスできるようになりますし、あらかじめいくつかの情報 — たとえば“Found By”の欄には“Community User”が記入済み — が記入されている openSUSE 11.1 のバグレポート用のブックマークを既に作ってあります。ただし、ガイド・モードが使えるようになるのは bugzilla がアップデートされた後のことになりますので、ご注意ください。

アップストリームの bugzilla についての 3.2 で変更点については、bugzilla 側にドキュメントがあります。我々が用意した bugzilla にはいくつかのバグ・フィックスと拡張が追加されています。

bugzilla はこのアップデート作業のため、10日の 10:00 AM から 2:00 PM の間(Mountain Time – 訳注:日本時間だと11日 2:00 AM から 6:00 AM の間)、使用できなくなります。

なお、バグ報告にあたっては、ガイドラインにも目を通しておいてください。

手順：新しいバグ報告のテンプレート作成方法

• “New”を選択して新規のバグ報告を作成します。事前に定義しておきたい属性の値を記入してください。
• このボタンをクリックします。
• 新しいページが表示されます：
• ハイパーリンク上で右クリックして、[このリンクをブックマーク](Firefox の場合)を選んでブックマークに追加してください。
• このブックマークを選択すれば、事前に属性が記入されている新たな不具合報告を作成することができます。

原文はこちら

(open)SUSE には YaST という強力な管理ツールが備わっているのであまり必要性は感じないかもしれませんが、いろいろなディストリビューションで使える Webmin という管理ツールがあります。私の場合、UNIX に関する知識を持っていない者に管理業務の一部を委任したいときなど(例えば、単純に「再起動してね」なんてことを頼むような場合)、Webmin を仕込んでおくと説明が簡単になるので、結構重宝してたりします。また、Webmin のユーザ管理用モジュールといえる Usermin も、例えば登録した Samba ユーザに「初期パスワードを自分固有のパスワードに替えてね」なんてお願いしたいときなど、このインターフェイスを通じてやってもらうと簡単だったりします。

さて、メイン機を openSUSE 11.1 にアップグレードしたのに伴って、また例によってこの Webmin/Usermin を導入しようとしたところ、11.0 まででは起こっていなかった問題が発生しましたので、覚書をここに残しておきます。

1. Webmin/Usermin のインストール

Webin のサイトより、Webmin/Usermin の RPM パッケージ(2008年12月31日時点での最新版は webmin-1.441-1.noarch.rpm、usermin-1.370-1.noarch.rpm となります)をダウンロードし、それぞれ普通にインストールします。

# rpm -Uvh webmin-1.441-1.noarch.rpm

# rpm -Uvh usermin-1.370-1.noarch.rpm

2. システム起動時に自動実行するするように設定

chkconfig コマンドを使って、それぞれシステム起動時に開始するよう設定します。

# chkconfig webmin on

# chkconfig usermin on

なお、サービスを手動で開始/停止するときは、

# /etc/init.d/webmin {start/stop}

…のようにします。(# rcwebmin {start/stop} では開始/停止できません)

3. Firewall のポートを開く

YaST -> セキュリティとユーザ -> ファイアウォール と展開し、開いた[ファイアウォールの設定]の左ペインで[許可するサービス]を選択して、[詳細]を選択します。ここの TCP ポートのところに [10000 20000]と、スペースで区切って Webmin/Usermin が使うポートを記入し、設定します。

4. perl-Authen-PAM の追加インストール

さて、11.0 までだとここまでの作業で Webmin が使えるようになっていたのですが、今回はブラウザで https://IP_ADDRESS_OF_SERVER:10000/ を開こうとしてもエラーになってしまいます。Webmin のエラー・ログが吐き出される /var/webmin/miniserv.error を覗いてみると、以下のようなエラーが。

[31/Dec/2008:01:04:10 +0900] miniserv.pl started
[31/Dec/2008:01:04:10 +0900] Perl module Authen::PAM needed for PAM is not installed : Can’t locate Authen/PAM.pm
in @INC (@INC contains: /usr/libexec/webmin /usr/lib/perl5/5.10.0/x86_64-linux-thread-multi /usr/lib/perl5/5.10.
0 /usr/lib/perl5/site_perl/5.10.0/x86_64-linux-thread-multi /usr/lib/perl5/site_perl/5.10.0 /usr/lib/perl5/vendor
_perl/5.10.0/x86_64-linux-thread-multi /usr/lib/perl5/vendor_perl/5.10.0 /usr/lib/perl5/vendor_perl .) at (eval 1
0) line 1.
BEGIN failed–compilation aborted at (eval 10) line 1.

どうも、Perl のモジュールである Authen::PAM が入ってないよ、ということらしい。

ところが、openSUSE 11.1 には、この RPM パッケージは用意されていません。…ということで、今回は SLE 10 用の SRPM を持ってきて、そちらを使うことにしてみました。

こちらから、perl-Authen-PAM-0.16-6.1-sle10.rf.src.rpm をダウンロードしてリビルドします。

$ rpmbuild –rebuild perl-Authen-PAM-0.16-6.1-sle10.rf.src.rpm

(私の場合は $HOME 以下に rpm ディレクトリを配置し、.rpmmacros も置いてあるので一般ユーザで実行していますが、その準備をしていない場合は root 権限で実行してください。/usr/src/packages/RPM/以下の該当するアーキテクチャ名のディレクトリ以下にバイナリの RPM パッケージができるはずです)

出来上がった RPM パッケージをインストールします。

# rpm -Uvh perl-Authen-PAM-0.16-6.1.sle10.rf.*.rpm

インストールが完了したら、以下の通り Webmin を再起動します。

# /etc/init.d/webmin restart

これで、ブラウザで htps://IP_ADDRESS_OF_SERVER:10000/ を開けば – 証明書が不正だと叱られるかもしれませんが – webmin のログイン画面が現れるはずです。

足りないと言われていたのは Perl のモジュールでしたから、CPAN 経由で導入するという手もあるかもしれませんが、なるべくなら RPM で管理しておきたいので、今回はこういう方法で入れてみました。とりあえず、openSUSE 11.1 で SLE 10 用の SRPM が再構築して使えそうだ、という目処がたったところが収穫でしょうか。

news.opensuse.org に流れた告知ですが、現在公開中の openSUSE 11.1 Beta1及び SUSE Linux Enterprise 11 Beta1(こちらは一般公開されていません) に含まれる Intel e1000e ネットワークカードドライバに深刻な不具合が発見されています。

e1000e ドライバ(e1000 ドライバなら問題はないとのこと)を使用するネットワークカードが付いているハードウェアをopenSUSE 11.1 Beta1 もしくは SUSE Linux Enterprise 11 Beta1 で起動した場合、最悪ネットワークカードを壊してしまう可能性もあります。

お使いのハードウェアに付いているネットワークカードが該当するかどうかは、上記からも辿れるこことかここあたりの情報を参照して確認してください。

もし Intel 製の Gigabit Eathernet Card が装着されていて、上記を参照しても該当しているか否か確認が取れないようでしたら、念のため openSUSE 11.1 Beta1 及び SUSE Linux Enterprise 11 Beta1 ではマシンを起動しないようにしておいたほうが良さそうです。