4-6. 再びインタ−ネット・サ−バ (1) メ−ルサ−バの入れ替え `24/12〜 -------------------------------------------------------------------------------- これまで SPARCstation 5 で動いてきた hostA と hostB を、新しいマシンに置き換える。 選んだマシンは Sun Fire V210、Solaris 9 である。これで5年から7年間動いてもらう。 FIRE ホスト、現行 Ultra 10 も続いて新しいマシンにする。 これら3台の電気はUPS からとることにし、ネットワ−クによる制御とする。UPSは APC 製 Smart-UPS 1500RM で、3台のマシンを実際めんどうみるのは負荷大と思われる。モニタは別電源にするとか 1台は別に Smart-UPS 750RM 用意して、こっちでみんどうみさせるとか考えたい。 -------------------------------------------------------------------------------- * ホストの設定 一応SI業者さんにやってもらいました。MAIL ホストには Sun がメンテナンスしている sendmail、WWW ホストには http://www.sendmail.org からのを。フリ−の BIND と POP3 のソフト、InterScan VirusWall は最新のを入れてもらった。WWW ホストの sendmail の 制御ファイルは、現状のをそのまま使った。MAIL はこれまで万能 sendmail.cf を用いて きたが、今回業者さんに新たに用意してもらった。しかしそのままでは、内部ネットワ− クのホストから MAIL の Mail-Store に自分宛に送るのでさえ、DNS が見えないと言って、 メ−ル送信ができなかった。テスト環境で一応、メ−ルの動作を確認しようとして、その 際 DNS サ−バがなかったので分かった。つまり本番で WWW で namedデ−モンが止まって いたりしたら、社内間のメ−ルでさえもやりとりできなくなる。それはかなり都合が悪い と言わざるを得えない。Mail-Store の sendmail は DNS に関係なく、アクセスできなけ ればいけない。そのため下記では小生が MAIL の sendmail.cf を設定し直した。 hostA sendmail-8.12.11/8.12.10 下記(A)を使用 □ WWW' BIND 9.2.4 |.3 --------------------- 202.241.128.0 | □ WWW sendmail-8.12.10+Sun/8.12.10 下記(B)を使用 |.2 |.1 hostB InterScan VirusWall 3.8, 新パタ−ン番号対応 FIRE □------- 192.168.2.0 □ MAIL Qpopper 4.0.5 |.2 |.1 ----------------------------------- 192.168.1.0 |.11 □ UPS新設( hostB, FIRE, WWW ホスト用 ) WWW# ls -l /usr/lib/send* -r-xr-sr-x 1 root smmsp 640284 ... sendmail << www.sendmail.org。(A) -r-xr-sr-x 1 root smmsp 976724 ... sendmail.SOLARIS << Sun Solaris 純正。(B) * ホストの基本設定 [ WWW ] hostA /etc/hostname.bge0 /etc/defaultrouter /etc/resolv.conf ------------------ ------------------- ---------------------- |hostA |192.168.2.2 |domain nix.co.jj |nameserver 127.0.0.1 /etc/hosts ---------------------------------------------- /etc/nsswitch.conf |127.0.0.1 localhost ------------------- |#202.241.128.3 hostA mail.nix.co.jj loghost | | |192.168.2.1 hostA mail.nix.co.jj loghost |hosts: files dns |192.168.1.1 hostB | | /etc/nodename /etc/netmasks /etc/rc2.d/S72inetsvc ------------- ----------------------------- ---------------------- |hostA |192.168.2.0 255.255.255.0 |#/usr/sbin/inetd -s [ MAIL ] hostB /etc/hostname.bge0 /etc/defaultrouter /etc/resolv.conf ------------------ ------------------- ------------------------- |hostB |192.168.1.2 |domain nix.co.jj |nameserver 202.241.128.3 /etc/hosts ---------------------------------------------- /etc/nsswitch.conf |127.0.0.1 localhost ------------------- |192.168.1.1 hostB hostB.nix.co.jj loghost | | |202.241.128.3 hostA |hosts: files dns | | /etc/nodename /etc/netmasks ------------- ----------------------------- /etc/rc2.d/S72inetsvc は |hostB |192.168.1.0 255.255.255.0 そのままでよし。 * メ−ルサ−バの設定 [ MAIL ] hostB /usr/lib/mail/cf/katou.mc # cd /usr/lib/mail/cf -------------------------------------- # /usr/ccs/bin/make katou.cf |OSTYPE(`solaris8')dnl # /etc/rc2.d/S88sendmail stop |DwhostB # cp katou.cf /etc/mail/sendmail.cf |Dmnix.co.jj # /etc/rc2.d/S88sendmail start |define(`confDOMAIN_NAME',`$w.$m')dnl |LOCAL_DOMAIN(`$m')dnl /etc/mail/local-host-names |MASQUERADE_AS(`nix.co.jj')dnl --------------------------- |MASQUERADE_DOMAIN(`nix.co.jj')dnl |nix.co.jj |FEATURE(`masquerade_entire_domain')dnl ↑ |define(`confTO_IDENT',`0s')dnl |FEATURE(`use_cw_file')dnl << a) この2つとlocal-host-names |FEATURE(`accept_unresolvable_domains')dnl << b) を小生が追加した。 |define(`SMART_HOST',`smtp:[202.241.128.3]')dnl |LOCAL_NET_CONFIG << c) 小生がテストして確認したと |R$*<@$*.>$* $#smtp $@$2. $:$1<@$2.>$3 << d) ころ、この2つは無くても有 |MAILER(`local')dnl っても関係なかった。コメン |MAILER(`smtp')dnl トにすること。 SI業者さんによると c),d)の記述がミソらしい。直接こんな風に書いてしまうなんてま るでよろしくない。「sendmail と qmail による Linuxメ−ルサ−バ−構築ガイド」エ− アイ出版 2002.06 にこのように書かれている。それに http://www.atmarkit.co.jp/にも BBS の "[Sendmail8.12.11] DNSが引けない環境下で静的配送を行いたい"、 ここにも 同じような記述があった。小生はいろいろテストして、これら記述は取ってしまったが。 [ WWW ] sendmail.cf の元になる ikken.mc に、いろいろオプションを付けたければ、"15-7.メ− ルサ−バの運用は大変, (1) cf による続SPAM対策" での TTT.mcファイルを参照され たし。ikken.mc は "15-6.メ−ルサ−バ・システム, (5) システムとしてのメ−ルサ−バ へ" の TTT.mc と同じである。他の制御ファイルも同じである。 /usr/lib/mail/cf/ikken.mc /etc/mail/mailertable --------------------------------------- ------------------------------- |Dwmail |nix.co.jj esmtp:[192.168.1.1] |Dmnix.co.jj |VERSIONID(`Katou:2002/10/02') /etc/mail/access |OSTYPE(solaris2)dnl ------------------------------ |dnl DOMAIN(generic)dnl |Connect: 192.168.1.1 RELAY |undefine(`UUCP_RELAY')dnl |To: nix.co.jj RELAY |undefine(`BITNET_RELAY')dnl |nix.co.jj RELAY |FEATURE(`nouucp',`reject')dnl |define(`confPRIVACY_FLAGS',`goaway')dnl # cd /usr/lib/mail/cf |define(`confDOMAIN_NAME',`$w.$m')dnl # /usr/ccs/bin/make ikken.cf |define(`always_add_domain')dnl # cp ikken.cf /etc/mail/sendmail.cf |define(`DATABASE_MAP_TYPE',`dbm')dnl |FEATURE(`mailertable')dnl |FEATURE(`access_db')dnl |MAILER(local)dnl |MAILER(smtp)dnl # cd /etc/mail # ./makemap dbm access < access # ./makemap dbm mailertable < mailertable * 移行のための MAIL ホストのメ−ルボックスのコピ− ユ−ザのホ−ムディレクトリを手作業で作るか、今のマシンからコピ−するか。できるだ け手作業はやめたい。パ−ミッションとユ−ザID、グル−プIDを維持して、ネットワ −ク越しにファイルを転送しないといけない。/etc/passwd と /etc/group ファイルにつ いても同様である。下記の SS5 が稼働中の MAIL ホスト。V210 新しいホストで先ずは適 当なIPアドレス、例えば 192.168.1.9 でも付けてコピ−作業する。 rsh コマンドでの コピ−は V210 の方には新しくコピ−されることになる。正確にはコピ−先にコピ−元と 同じファイル名のファイルがあれば上書き、すでにコピ−先だけにあるファイルはそのま ま、コピ−元にだけあるファイルはコピ−。ということになる。注意されたい。 SS5 -> V210 へのコピ− SS5の /.rhosts V210の/var/mail/内のファイルは一旦 --------- 消してコピ−した方がいい。V210にあ |+ った以前のメ−ルが残る場合がある。 V210# cd /usr/people V210# rsh 192.168.1.1 'cd /usr/people; tar cf - .' | tar xvf - | x ./katou, 0 bytes, 0 テープブロック x ./katou/.forward, 38 bytes, 1 テープブロック V210# cd /var/mail 溜めているメ−ルもこれで移す。 V210# rsh 192.168.1.1 'cd /var/mail; tar cf - .' | tar xvf - * 移行のための MAIL ホストのアカウントのコピ− SS5 の /etc/passwd、/etc/group、/etc/shadow ファイルの追加したアカウントのところ を V210 のファイルに追加すればいい。V210 と SS5 では若干エントリとIDが違ってい るところがあるので、そのままコピ−というのはよくない。/etc/shadow のパスワ−ドの 暗号化されたところを、そのまま文字列コピ−して本当に有効になるのかと思ってしまう が、問題はない。試し vi でそのまま同じように記述したら、それで V210 でロッグイン できた。たくさんのユ−ザのアカウントは SS5 のそれぞれのファイルの該当部を、catコ マンドでファイルの連結をすればいい。実際に数回はやってみた。 * この際だからゴミ・メ−ルを整理する ホストを移行するに当たり、これまでのホストのメ−ルの様子を見た。Mail-Store のSS5 は溜まったメ−ルはなかった。Mail-Relay の SS5には /var/spool/mqueue に300ぐら いファイルが溜まっていた。# mailq をやると5〜6個しかエントリがなく、残りは死ん だメ−ル?。念のため mqueue のファイル全部を more コマンドで見たが、迷惑メ−ルな どゴミ・メ−ルだった。そのまま消去しても問題なし。Mail-Relay の sendmailを止めて、 # mailq で今日の日付のキュ−のメ−ルを more で見て、ゴミ・メ−ルでないことを一応 確認して、一挙に消してしまおう。 (2) Sun V210 サ−バの基本と設定 * Solaris 9, Sun Fire V210 の使い方 ネットワ−ク・ケ−ブルを外しても起動した。 そのまま自分のインタ−フェ−スに ping 打っても反応した。ディスプレイを途中ではずしてもOK。キ−ボ−ドとマウスは USB接 続で、途中で外してもOK、どっちに差してもOKだった。 V210 はイサ−ネット・インタ−フェ−スが4つある。/etc/hostname.bge0 ファイルにホ スト名を記入する。/etc/nodename にも記入すること。nsswitch.conf と resolv.confの 変更は直ちに有効になる。1番目のインタ−フェ−スは背面一番左である。 電源を切るには電源ボタンを4秒間押し続ける。または #shutdown -y -g0 -i5 と打つと 直ちに Shutdown started. する。i0 でOSを止める、マシンは動いたままで、ROM モニ タの ok プロンプトが出ている。i5 だと電源も切って完全にマシンは停止する。 V210 の RAID 機能、ディスク1個追加して RAID 1のミラ−構成にした。ディスクが壊れ てもそのままミラ−のディスクでマシンは稼働する。ソフトはSolaris Volume Managerで、 ソフトウェアRAID である。デ−モンは /etc/rc2.d/S95svm.sync である。 ディスクはホットスワップ対応のため、ディスク故障の際はマシンを稼働させたまま交換 できる。OSから切り離しディスク装着のレバ−を引いて抜き、新しいのを入れる。ミラ −にコピ−するのが1〜2時間。RAID情報の書込みのため、その後マシンをリブ−トする。 CD-ROM を入れても認識しない場合。# iostat -En で CD-ROM のデバイスを確認、c0t0d0。 /etc/rc2.d/K05volmgt start で vold と sdtvolcheck デ−モンが動いていたら、止める。 # mount -F hsfs -o ro /dev/dsk/c0t0d0s0 /cdrom/cdrom0。# eject /dev/dsk/c0t0d0s0 CD-ROM を入れても内容を認識しない場合。CD-ROM自体は認識している。/etc/inetd.conf に以下を記述のこと。説明は # smserverd to support removable media devices である。 100155/1 tli rpc/ticotsord wait root /usr/lib/smedia/rpc.smserverd rpc.smserverd * ユ−ザアカウントの登録 # useradd -u 123 -g 100 satou これはよろしくない。勝手に/home/satou と いうホ−ムディレクトリになる。でもディレ # cat /etc/passwd クトリは作られない。/etc/shadow にもエン satou:x:123:100::/home/satou:/bin/sh トリは作られるが、パスワ−ド部はロックさ れた状態である。パスワ−ドは後から設定す # cat /etc/shadow る、 # passwd satou でパスワ−ドを入れる。 satou:*LK*::::::: アカウントを消すのは # userdel satou、ホ −ムディレクトリまでは消されない。 こうしたら所望のディレクトリができる。 # useradd -u 123 -g 100 -d /usr/people/satou -m satou * MAIL ホストに Usermin を設定する メ−ルの利便性アップのためメ−ルサ−バに Usermin をインスト−ルする。Perl ベ−ス で簡単にインスト−ルもできる。Usermin は多くのプロバイダで当り前のようにユ−ザ操 作で使われている。パスワ−ド変更とメ−ルの転送、それにWebメ−ルも考えてみよう。 先ずは http://www.webmin.com/ からダウンロ−ドする。Perlコマンドが入っているか確 認しておく。# /usr/bin/perl -v で"v5.6.1 built for sun4-solaris-64int"と出た。こ の Usermin ソフトを入れることによる影響は Solaris の設定にはない。sendmail.cf が 勝手に書き換えられると言ったようなことはないということ。小生が見たところだが。 # cd /usr/local/source; ls -l -rw-r--r-- 1 root other 2565132 8月 12日 14:46 usermin-1.150.tar.gz # gunzip usermin-1.150.tar.gz # tar xf usermin-1.150.tar # cd usermin-1.150 # ./setup.sh /usr/local/usermin これで Usermin は動いていた。 /usr/bin/perl /usr/local/usermin/miniserv.pl /etc/usermin/miniserv.conf /etc/usermin/config ファイルの最後に lang=ja_JP.euc を入れる。直ちに反映された。 /etc/usermin/webmin.acl -------------------------------------- |user: at changepass forward mailbox これだけにした。この変更も直ちに反映。 後から起動するには # /etc/usermin/start とやればいい。これを /etc/rc2.d に設定す ればマシン起動時に起動する。# cp /etc/usermin/start /etc/rc2.d/S77Usermin とかす る。# chmod 744 S77Usermin。/etc/rc2.d に S77xxx が無かったと言うことで。 ユ−ザはブラウザから http://192.168.1.1:20000 にアクセス。 MAIL ホストのアカウン トをロッグイン画面に入れる。これで Usermin の使えるメニュ−は{メ−ル}にRead Mail, メ−ル転送。{ログイン}でパスワ−ド変更。{その他}でScheduled Commands、これは一体 何、デフォルトで入っている?。Read Mail がWebメ−ルで、メ−ルの送信ができるこ とも確認した。Webメ−ルの画面、Cobalt の奴よりスカスカ反応は速いです。 webmin.acl に procmail と spam も入れてみる。procmail は Procmail Mail Filter と いうメニュ−が出てくる、これは使えるようになっている。結構たくさんの設定メニュ− があり使うのは易しそうにはない。 spam は SpamAssasin Filter というメニュ−が出て くる、クリックするとこのステムには、コマンド spamassasinがないと出て使うことはで きない。アサッシンというと、マハラジャの怪しげなお香みたいなのを連想する。 * WWW ホストのネ−ムサ−バ /etc/rc2.d/S88inetsvc に /usr/local/sbin/named & 記載。named -v で表示されたのは BIND 9.2.4。/etc/named.conf が起動ファイル。 /usr/local/etc/named.xxx に制御ファ イルを置く。named 制御ファイルの再読み込みに、# /usr/local/sbin/rndc reload とい うようにできそうな気がするが、できない。 # ls /usr/local/sbin dnssec-keygen dnssec-signzone named-checkconf rndc-confgen dnssec-makekeyset lwresd named-checkzone dnssec-signkey named rndc # ls /usr/local/bin host nsupdate dig nslookup PowerChute jvm isc-config.sh * KVMスイッチを使ってみる CTCP オリジナル商品のKVMスイッチ http://www.ctc-g.co.jp/~cstcsp/。 CI-KVM/USB 4ポ−ト、20万円弱。専用ケ−ブル CI-KVMCBL-USB50 1本 1.5 万円、かなり高い気が。 専用ケ−ブルは 5m が最大で、コンピュ−タ側は D-sub 15 ピン3列が1個と USBが1個。 USB は1個でマウスとキ−ボ−ド両方共制御できるということ、知らんかった。SUB 延長 ケ−ブル 5m をかましてみた、エレコムの USB2-EXA50、USB 2.0 &1.0 対応、金メッキ2 重シ−ルド、つないで 20m まで延長できる。KVMスイッチはデフォルトは Sun の日本 語キ−ボ−ドを使う設定になっている。ディップスイッチの7番を OFFにすると英語キ− ボ−ド用になる。そのままだと英語キ−ボ−ドでは、 | や { とかが別な文字が出てきた。 Sun の画面のウィンドウ操作でマウスの左ボタンが効かなくなっていた。真ん中のボタン で同じ操作ができるのでまあいいが。モニタの方のケ−ブルを長くするのに、オス・メス の VGAモニタケ−ブルをかました。ソニ−の SDM-X75FS液晶モニタも付けたら一応映った。 SPARCstation 2 ----- メス オス 延長モニタケ−ブル のモニタ | |―――◇◆ Sun 純正 ―――――■□―― ----- |13W3 to VGA Adapter V210 | | ---------------------|----- -------□------- | 専用 | KVM Switch □ | ■D-sub15オス | ■ | ――――――□■ ■ ■ ■ ■ | □D-sub15メス | = = | | ケ−ブル | 1 2 3 4 = = | -------|------- ♀♂ | 5m ------------------|----|-- =USB ―――――==―― | | USB延長ケ−ブル 5m 英語キ−ボ−ド マウス ソニ−の液晶モニタで、画面がどうもぼやけている。液晶モニタが元々ぼやけていると思 った。モニタの画質の調整をやってみたがまるで変わらない。KVMスイッチを介さずに 直接 V210 にモニタなど付けてみた、これはまるできれいに映る。それがKVMスイッチ で専用ケ−ブルを介すだけで結構ぼける。延長モニタケ−ブルを介すと更にぼける。マシ ンのちょっとした設定程度には見るに耐えるが、あまりよろしくない。この高いKVMス イッチを購入した後、こんなのハッケ−ン。ATEN社の製品 CS-1734A、SunのマシンもOK、 約3万円。2006 NET&COMで見た。出入りのSI業者の営業さんに教えて上げました。ATEN のカタログを見るといろいろな製品がある。 Sun 13W3 対応コンソ−ルコンバ−タとかも あった、これで Sun SS5 用のモニタを付けることもできる。実は ATENの製品は他の人が 買っている。パソコン用の安い製品というイメ−ジがあったが、そんなことなさそう。 (3) UPSはネットワ−ク装置 `25/03 * UPSの設定 V210 を2台、UPSで電源の制御するようにしたい旨をSI業者に要望した。 それで提 案してくれたのが APC 製 Smart-UPS 1500RM だった、http://www.apc.co.jp/。これでワ −クステ−ションなら2台までだそうだ、3台はしんどいという。2Uサイズのラックマ ウント型。すごく重たい、1人だと持ち上げるのがやっとこさである。この上3Uタイプ なんてのは、2人でも持てないのではないか。このUPS、電気をコンピュ−タに供給し て制御するのはワ−クステ−ションで2台だが、電気の供給なしでコンピュ−タをシャッ トダウンしたり起動させたりする制御は、50台までできるようになっている。しかしそ れなりのライセンス代は必要になるのだが。以下ちょっとメモ。UPS内臓バッテリの取 り替え時期の目安、使用温度5〜25度で2.5 年、30度 1.7 年、35度 1.2 年。コン ピュ−タなんかをUPSにつなぎ過ぎると Overload/過負荷表示灯がつくという。 納入の際 PowerChute Business Editionソフトがきた。営業さんが発注を間違えたらしい。 UPSとコンピュ−タとは RS-232C または USB 接続して制御する。UPSの1500RM本体 には RS-232C 1つと USB ポ−トが1つある、しかし両方使えるのではなくどちらか1つ である。UPSに RS-232C ポ−トを8個追加するオプションもある。V210 には USBポ− トもRS-232C の口もある。しかし当初からネットワ−ク管理するつもりだったので、結局 どうしたかというと、Network Management Card と PowerChute Network Shutdownオプシ ョンを導入した。これらはペアで使用する。Network Management Card はUPSにイ−サ ネットカ−ドを追加して、ネットワ−ク経由で管理するソフトである。 アクセスは SNMP, Web,Telnet。PowerChute Network Shutdown はそのクライアント用のソフトである。イン スト−ルするとソフトは常駐し Network Management Card からの指令を待つ。 お値段はどうなるか。APC のサイトを探したら価格表があった。たかがUPSなのに何と 細かく一杯記載されているのか。これはSI業者さんでもちゃんと見積りできないはずだ。 ともかく本体は Smart-UPS 1500RM の SUA1500RMJ2U 約15.4万円。V210 をとりあえず 2台を電気供給、パソコン1台を別電源ということで、PowerChute Network Shutdown 1 ノ−ドライセンスCDパック 16,485 円を先ず1個。PowerChute Network Shutdown 追加 1ノ−ドライセンスパック 14,175円を2個いることになる。NMC自体はクライアントIP を50まで記入はできるが、ライセンスは別途必要ということである。しかし、1ノ−ド ライセンスCDパックだけで、テストしたところ複数台めんどうみてしまうようだが。ち なみ追加5ノ−ドライセンスパックは 62,790 円である。購入したらユ−ザ登録をするこ と、UPS本体に NMS、それぞれの PNS のライセンスの保証登録カ−ドを送る。 ※Network Management Card: NMC、PowerChute Network Shutdown: PNS と略す。 * UPSの Network Management Card の設定画面 ------------------------------- | http://192.168.1.11/ << UPS本体に付けたIPアドレス。 よい子の |------------------------------ 話の中でのIPアドレスです。 | Network Management Card | | | |>Smart-UPS 1500 RM | |>Events | |>Data | |>Network | << Boot Mode [Manual] にした、UPSのIPア |>System | ドレスなど。他 DNS などの設定は、UPSの | Logout | 基本機能を使う分にはしなくていい。 |>Help | [Smart-UPS 1500 RM] -> [Diagnostics] で Initiate a UPS diagnostic function [No Action] [Control] で Initiate a UPS control action [No Action] Signal PowerChute server shutdown ●Yes ○No [Configuration]で Shutdown Parameters の Low-Battery Duration [2] Minutes Shutdown Delay [90] Seconds Return Delay [00] Seconds [PowerShute] で Shutdown Behavior Settings の Maximum Shutdown Time [2 minutes] On-Battery Shutdown Behavior [Reboot On Line Return] PowerChute Clients [ 192.168.1.1, 192.168.1.2, 192.168.2.1 ] [Scheduling] で Add a new Daily, Weekly, or One-Time schedueld shutdown. [Network] -> [TCP/IP] Boot Mode: Manual, System IP: 192.168.1.11, Subnet Mask: 255.255.255.0, Default Gateway: 192.168.1.2, Host Name: UPS1500, Domain Name: nix.co.jj [Help] -> [About System] Application module information の Version: v.2.5.1 APC OS(AOS) information の Version: v.2.5.0 * UPSとマシンの動作 上記ではマシン V210 の電源はUPSからとっている。時刻でUPSを停めると V210 は ok プロンプトになって、それから5分ぐらいしてシャットダウンする。 電源をUPSか らとっていないと ok が出たそのままになる。UPSの時刻での再起動は、 V210 の電源 をUPSからとっていれば V210 も起動してくる。 # shutdown -y -g0 -i5 で落とすと電源が通電してもマシンは起動してこない。上記のよ うに ok プロンプトでマシンが止まって、通電したら起動する。マシンの電源をUPSか らとっている場合、UPSでスケジュ−リングでマシンが再起動するのは、このためであ る。何か特別な信号をUPSからマシンに送っているということではない。 /etc/rc2.d/S99PowerChute start は /usr/local/bin/PowerChute/powerchute.sh を起動 する。デ−モンは # ps -ef で/usr/j2se/jre/bin/java -Xrs なんたら。UPSを時刻で 停止すると、UPS本体でマシンのIP登録関係なく同じセグメントのUPSクライアン トは反応する。停止させないようにするには # /etc/rc2.d/S99PowerChute stop をやる。 UPS本体でパソコンのIPを登録していようがいまいが関係なく、同じセグメントにあ るとUPSを停止させるとパソコンはシャットダウンした。シャットダウンしないように するには、[コントロ−ルパネル]->[管理ツ−ル]->[サ−ビス]でデ−モンを止める。サ− ビス名: PowerChuteNetShut、スタ−トアップの種類: 無効、サ−ビスの停止: 停止。 落雷の様な瞬停の場合を想定。UPSの電源コンセントを抜いた。V210は直ちにシャット ダウンを開始して止まった。UPSの電源コンセントを入れたら、すぐに V210 は起動し てきた。V210は停止している際、他のコンピュ−タから ping を打っても反応しなかった。 でもUPSの電源を入れたら、同時に V210 も立ち上がってきた。 /etc/rc2.d/xS85power これは Solaris 9 のOSに、元々入っている電源系の制御ファイ ルだと思う。このように起動しないようにしておく。xS85powerでは /usr/sbin/pmconfig、 設定ファイルは /etc/power.conf を使っている。Ultra 10 のSolaris 2.6 にもS85power があって /usr/lib/power/powerd、GSEE 社のUPSと接続していた。 * 日付と時刻を指定してシャットダウンさせる 3月3日の10時にUPSをシャットダウンするように設定したところ。時刻が来たらす ぐに V210 と PC1 はシャットダウンを開始した。V210 は ok プロンプトになる。PC1 は "コンピュ−タの電源を切ることができます" の表示が出てそのまま、この状態で PC1 に ping 打っても反応はなし。シャットダウンを開始してその後、 5分程してUPSの電源 が切られ、フロントパネルのランプが全部消えた。しかしUPSには http://... アクセ スできた。この間もUPSから UDP/3052 パケットはずっと出ていた。 その後UPSの "Test" ボタン押したら電源が入った。この時UPSからブ−ンという音 が2度した。突入電流が流れたのか。UPSに電源を入れるには http://... での NMCア クセス [Smart-UPS 1500] -> [Control] の {Action} で、[Turn UPS On] を選び [Next] ボタン押してもできる。UPSの電源が入ると同時に V210 も動いた。PC1 は "コンピュ −タの電源を切ることができます" の表示のまま、PC1 の電源をUPSから取ればUPS の電源が切られた時に同時に PC1 も電源が切られる。 [Smart-UPS 1500 RM] -> [Scheduling] ------------------------------------------------------------------------- |Schedule a one-time shutdown: | Name of Schedule shutdown: [ Shutdown ] | | Shutdown on: [03▽]/[03▽] at [10▽]:[00▽] << ここだけ設定した。 | | Turn back on: | ● Never << Never 指定はUPSは停 | ○ Immediately 止したらそのまま。復帰 | ○ [01▽]/[01▽] at [00▽]:[00▽] させるには3番目を選ぶ。 | The turn on time will be rouded to the nearest six minute interval. | The maximum sleep time for this UPS is 359.9 hours. | | Signal servers running PowerChute to shutdown: << クライアントがシャット | ● Yes ダウンするまで、余裕を | ○ No もってUPSをシャット ↓ ダウンさせるか。 Scheduling ---------------------------------------------------------------------------- |Name | Interval | Shutdown Time | Turn Back On | Status | |---------|----------|---------------------|---------------------|---------| |Shutdown | One | 03/03/2005 at 10:00 | Never | Enabled | ---------------------------------------------------------------------------- PC1 の設定、PC1でブラウザから http://127.0.0.1:3052、PowerChute Network Shutdown へアクセス。[Configure Events] の {UPS: On Battey} の {Shut Down System}の丸をク リックする。すると次の画面が出てくるので、下記のところをチェックする。 --------------------------------------------------------------------- |Do you want to shut down the system when the selected event happen?| |-------------------------------------------------------------------| | Yes,I want to shut down the system. [〆] | << 注。 | Shutdown the system only when the event lasts this long [0 ] | << A --------------------------------------------------------------------- * 日付と時刻を指定してシャットダウンさせて復帰させる [Smart-UPS 1500 RM]->[Scheduling] の {Turn back on} のところに復帰させる時刻を指 定する。以下は3月3日の11時に管理対象のホストをシャットダウンさせ、11時20 分に再起動させるよう入れた。11時5分ぐらいにUPSはスリ−プモ−ドになり、フロ ントパネルのランプ2ヵ所が上下に連動してずっと点滅する。22分になるとUPSは目 覚めたかのように定常のモ−ドになり電気を供給し始める。 {Turn Back On} の時間は入 力した時刻より2分進んだのが、実際スケジュ−ルされる。 V210 では11時ちょうどに シャットダウンが開始し、UPSがスリ−プモ−ドになると同時に V210 の電源が切られ る。11時22分のUPSの目覚めと同時に V210 も起動を始める。 Scheduling ---------------------------------------------------------------------------- |Name | Interval | Shutdown Time | Turn Back On | Status | |---------|----------|---------------------|---------------------|---------| |Shutdown | One | 03/03/2005 at 11:00 | 03/03/2005 at 11:22 | Enabled | ---------------------------------------------------------------------------- スケジュ−ルは {Shutdown Time}時間が過ぎたらもうキャンセルできない。スケジュ−ル の表示も出なくなってしまうが、裏で実行は継続されている。コンピュ−タのシャットダ ウンが成功するしないは関係ない。しばらくするとUPSがシャットダウンし、スリ−プ モ−ドになる。スリ−プモ−ドを解除して、すぐさまUPSを稼働するには前面の"Test" ボタンを押せばよい。停電したけど、すぐに電気は復旧したということはままある。 * Spmart-UPS のイベント遅延時間 `2b/04 Spmart-UPS には FIRE と MAIL のIPアドレスを次のように記入、"PowerChute Clients [ 192.168.1.1, 192.168.1.2 ]"。FIRE と MAIL ホストに PowerChute Network Shutdown をインスト−ルしておく。FireWall-1 ではル−ルの追加、UPS から 192.168.1.255 への 3052/UDP パケットを accept。これで FIRE ホストがUPSからの信号を受けることがで きる。MAIL ホストはそのままUPSからの信号を受ける。PowerChute Network Shutdown の設定。ブラウザから http://192.168.1.1:3052/ アクセスする。[Configure Events]の {UPS: On Battey} の {Shut Down System}の丸をクリックして出る画面のAの値を確認す る。デフォルトは0になっている?、この値を 300 つまり5分ぐらいにすること。 別なパソコンからこうしてアクセスすればいいのだが、FIREホストはファイアウォ−ルの ル−ルで多分アクセスできない。その場合は FIRE ホストで Netscape ブラウザを使えば いいのだが、これまでのところ FIRE ではコンソ−ル画面を使うようになっている。多分 Xウィンドウなど不要なサ−ビスを稼働させておかないという安全上の話があったように 思う。FireWall-1 で指定パソコンのIPアドレスを FIREへ向けて 3052/TCP パケットを 許可する。そうして FIRE のAの値を見たら 300 秒に設定されていた。 停電をUPSが 検知するとブロ−ドキャストを送り、PowerChute が入っているホストに知らせる。 それ らのホストがすぐに応答を返す。それが下のログの Graceful sutdown である。 応答を返すホストは早い者勝ちで、Aの値は FIRE が早ければ300、MAIL が早ければ0 と いうことで処理される。ここでは MAIL の方が早く、つまり直ちにUPSのシャットダウ ンプロセスを開始することになる。UPSが停止するのは A,e,f,g の時間を足した5分 30秒後になる。問題がある。もし停電が起きても数分で復電したら。すでにUPSのシ ャットダウン手続きは開始されてしまっているので、そのまま突っ走るのみである。Aの 値を5分とかにしておけば、その間に復電したら何事も無かったことにできる。Aの時間 はどこまでできるか。バッテリが持つ時間は分かる。 http://192.168.1.11、デフォルト のアカウントは apc。[Smart-UPS 1500RM]->[Status] の "Runtime: 30 minutes" とか。 A:[300] A:[0] A S b c d Smart-UPS ------ ------ |---->|------->----->-----> 1500RM |FIRE| |MAIL| PC | | e 2min f 2min g 90sec □ ------ ------ □ 停電 |---------->-------->------> |---> |.11 |.2 |.1 | Low-Battery 固定 Shutdown UPS出 -------------------------------- Duration Delay 力開始 UPS から 3052/UDP パケットを 192.168.1.255 へ信号を送信 a:Aの値でイベント遅延時間 0。b:コマンド 0。 c:10秒で固定。d:OSシャットダウン開始。 [Smart-UPS 1500 RM] の [Events]->[Log] << ちょうど0時に停電が起きたとして >> 00:05:39 UPS: Turned on. すぐにまたUPS起動 00:05:36 UPS: Turned off. UPS停止 00:04:03 UPS: Started reboot sequence. 00:02:50 UPS: Returned from battery backup power. 00:00:03 UPS: Graceful sutdown by PowerChute ns from 192.168.1.1. 00:00:00 UPS: Switched to battery backup power. 停電を検知 (4) InterScan ソフトの入れ替え `25/04〜 * InterScan のバ−ジョンアップ 2005年4月1日、CTCのサポ−トセンタ−から InterScan VirusWall 3.8 Solaris 版は2005年9月30日にサポ−トを終了するとのメ−ルがあった。新しいのにしない といけない。InterScan VirusWall Enterprise Edition に移行してくれ。 困ったものだ。 ずっとお世話になっているSI業者さんに、作業をしてもらうことにした。新しいライセ ンスも業者が申請手続きして、9月末に箱がメディアとマニュルそれにライセンスが届い た。 入っていたのは InterScan Messaging Security Suite と InterScan Web Security Suite の日本語マニュル Windows 版、Linux 版、Solaris 版で計5冊。それにCD-ROM 各 1枚。比較的分かりやすいマニュアルみたいだ。作業も同じく末にやってもらった。ほぼ 1日かかると見た方がいい。結構大変である。小一時間、メ−ルが止まりますよと社内ア ナウンスして作業できる程簡単ではないということ。実はこの時点、SS5 がまだ本稼働で V210 は予備にしていた。このためユ−ザには影響なく存分に作業はやってもらった。 作業してもらってしばらく様子を見て、 小生が SS5 から V210 に置き換えることにした。 その間これまでの InterScan のウィルスチェックは働くのか。2005/09/30 にもサポ−ト 終了のメ−ルがきた。明けて10月3日、これまでの InterScan用のパタ−ンファイルを 取って来ていた。まだ動くようだ。新しい InterScan のマニュアルを見ると Postfix の 字が目立つ。どうも MTA は sendmail より Postfix を推奨しているみたいである。新し い InterScan へのアクセスは http://xxx:8081/IMSS.html,https://xxx:8445/IMSS.html とやる。eManagerフィルタ、これもライセンスを入れてみた。ライセンスシ−トに書いて ある文字列を入れる。どうもあまり実際には使われていないみたいである。十分フィルタ リングの機能を確認して、使えそうなところから使うなら使ってみるという感じか。パタ −ンファイルは予約アップデ−トで毎時にできるが。更新はだいたい1日1回である。 バ−ジョンアップのこと。今回のは、これまでの InterScanとは別物である。すでに入っ ているのはアンインスト−ルしてからインスト−ル作業を行なった。ウィルスチェックは メ−ル送信(SMTP)時だけでなく、受信(POP3)の際もチェックが可能になった。デ−モンは InterScan 専用の /etc/rc2.d/S99ISIMSS と一部修正された /etc/rc2.d/S88sendmail で ある。メ−ルは sendmail-rx.cf を制御ファイルとする sendmail が TCP/25 番で受けて、 InterScan の TCP/10025 番に渡す。ここでウィルスチェックをして sendmail-tx.cfを制 御ファイルとする sendmail が TCP/10026 番で受けて配信する。ポ−ト番号10025,10026 番は任意のに変えることができる。POP3 でメ−ル受信するのは、 InterScan が TCP/110 で代理になり要求を受け、POP3 サ−バに例えば TCP/120 でアクセスし、ウィルスチェッ クしてユ−ザにメ−ルを渡す。ここでは POP3 ではウィルスチェックはしないが。 * 新しい Mail-Store の sendmail と InterScan の動き `25/10 内外からメ−ルが入って来る。 ↓TCP/25 sendmail ( sendmail-rx.cf 使用 ) /var/spool/mqueue-rx ↓TCP/10025 ------------------------------------ |ここの所でウィルスチェックをする | |InterScan Messaging Security Suite| /opt/trend/imss/queue/postpone ------------------------------------ ↓TCP/10026 sendmail ( sendmail-tx.cf 使用 ) /var/spool/mqueue ↓ 外へのメ−ルは Mail-Relay へ、内部ユ−ザのメ−ルは /var/mail/xxx へ。 # ps -ef | grep send root ... ? 0:00 /usr/lib/sendmail -bd -q1h -C/etc/mail/sendmail-rx.cf root ... ? 0:00 /usr/lib/sendmail -bd -q1h -C/etc/mail/sendmail-tx.cf smmsp ... ? 0:00 /usr/lib/sendmail -Ac -q15m InterScan を停めたらどうなるか。#/etc/rc2.d/S99ISIMSS stop。メ−ルを送ろうとする と /var/spool/mqueue-rx/ にメ−ルは溜まった。メ−ルソフトでは POP3アクセスが失敗 した。qXXX ファイルには "MDeferred: Connection refused by [127.0.0.1]"と出ていた。 ----------------------------------------------------------------- |InterScan Messaging Security Suite 画面はこんな感じ |---------------------------------------------------------------- |▼設定 |・アップデ−ト | ・手動アップデ−ト | [コンポ−ネントのダウンロ−ド元] | ●トレンドマイクロのアップデ−トサ−バ | ○インタ−ネット上の他のサ−バ | [アップデ−ト開始] | ・予約アップデ−ト | 〆予約アップデ−トを有効にする | [コンポ−ネント] 〆パタ−ンファイル 〆検索エンジン 〆スパムデ−タベ−ス | [スケジュ−ル] 実行周期は[毎時] | [コンポ−ネントのダウンロ−ド元] | ●トレンドマイクロのアップデ−トサ−バ | ○インタ−ネット上の他のサ−バ | URL: [ http://202.232.140.20/activeupdate/japan ] << これは効かない。 | | ・プロキシ設定 << プロキシを間にかます理由は特にない。 /var/spool/cron/crontabs/root デフォルトのまま、毎日午前3時に --------------------------------------------- logadmコマンドを実行する。実行内 |10 3 * * * /usr/sbin/logadm 容は /etc/logadm.conf。 | | |0 * * * * /opt/trend/imss/script/S99update この2つは InterScan VirusWallの |30 * * * * /opt/trend/imss/script/S99purgefile 設定で追加されたもの。 * /etc/hosts とDNSの設定 以下 `26/01 再度動作確認 /etc/hosts どうもここでの sendmail は /etc/ --------------------------------------------- nsswitch.confに 'dns' の記述があ |127.0.0.1 localhost れば最初にDNSを見てエントリが |192.168.1.1 hostB hostB.nix.co.jj loghost なければ、次に /etc/hosts を見る |202.241.128.3 hostA みたいである。 /etc/nsswitch.conf /etc/resolv.conf "nameserver 127.0.0.1"にしたこと ------------------ ---------------------- に注意。InterScan のパタ−ンファ | | |domain nix.co.jj イルを取りに行くのは、named.conf |hosts: files dns |nameserver 127.0.0.1 の options 部だけでできる。 /etc/named.conf /etc/named.hosts ---------------------------------- ------------------------------------------- |options { |$TTL 86400 | directory "/usr/local/etc"; |@ IN SOA nsi.nix.co.jj. katou.nix.co.jj. ( | forward only; | 1 3600 300 36000 3600 ) << 適当でよし。 | forwarders { 202.241.128.3; }; | IN NS nsi.nix.co.jj. |}; |nsi IN A 192.168.1.1 |zone "nix.co.jj" { |hostB IN A 192.168.1.1 | type master; | file "/etc/named.hosts"; |}; 正常な場合、DNSに hostB.nix.co.jj エントリがある場合、送信メ−ルの From: アド レスは root@nix.co.jj になった。DNSに hostB.nix.co.jj がない場合 /etc/hostsに hostB.nix.co.jj エントリがあると、送信メ−ルの From: アドレスは root@nix.co.jjに なった。/etc/hosts に hostB.nix.co.jj エントリがないと root@hostB.co.jj になった。 * sendmail 制御ファイルの作成 /usr/lib/mail/cf/sendmail-tx.mc /etc/mail/local-host-names -------------------------------------- --------------------------- |OSTYPE(`solaris8') |nix.co.jj |DwhostB |Dmnix.co.jj |define(`confDOMAIN_NAME', `$w.$m') # cd /usr/lib/mail/cf |LOCAL_DOMAIN(`$m') # /usr/ccs/bin/make sendmail-tx.mc |MASQUERADE_AS(`nix.co.jj') # /usr/ccs/bin/make sendmail-rx.mc |MASQUERADE_DOMAIN(`nix.co.jj') |FEATURE(`masquerade_entire_domain') sendmail-tx.cf と sendmail-rx.cf を |define(`confTO_IDENT', `0s') /etc/mail/ にコピ−する。 |FEATURE(`use_cw_file') |FEATURE(`accept_unqualified_senders') |FEATURE(`accept_unresolvable_domains') |define(`SMART_HOST',`smtp:[192.168.2.1]') DMZにある実ホスト。仮想IPを指定 | してもいいが、実IPを指定する方が素 |dnl 追加はじめ 直でいいのでないかと思う。 |FEATURE(`no_default_msa') |DAEMON_OPTIONS(`Port=10026,Addr=127.0.0.1, Name=MTA') |dnl 追加おわり | |MAILER(`local') |MAILER(`smtp') FEATURE(`no_default_msa') を定義すると、sendmail-tx.cf で "O DaemonPortOptio ns=Port=587, Name=MSA, M=E" が出なくなる。定義しないか、記述がある場合コメン トにしておかないと、# /etc/rc2.d/S88sendmail start をやるとエラ−が出て起動 しない、... mail.alert] daemon MSA: problem creating SMTP socket。 /usr/lib/mail/cf/sendmail-rx.mc ---------------------------------------- | ここまでは上と同じ FEATURE(`promiscuous_relay')がないと、 |FEATURE(`accept_unresolvable_domains') katou@nix.co.jj ヘはメ−ルは出せたが |FEATURE(`promiscuous_relay') ikken@tcp-ip.or.jj はエラ−になった。 | |dnl 追加はじめ |define(`confPID_FILE', `/var/run/sendmail-rx.pid') |define(`STATUS_FILE', `/etc/mail/statistics-rx') |define(`QUEUE_DIR', `/var/spool/mqueue-rx') |トレンドマイクロのサイトの製品Q&A(トラブルシュ−ティング)の solution 9155 の |記述、"InterScan Messaging Security Suite、UNIX:MTA に Sendmailを使用する場合の |変更点" の追加をここにすること。対象は2004年9月時点の Sendmail 8.12.11との |こと。「操作マニュル」の P.28,29の変更点の記述よりやや多くなっている。 追加記述 |の "[127.0.0.1]" のところはカッコもちゃんと付けること、でないとDNSを検索する |設定(nsswitch.conf) にするとメ−ル送信で Host unknown とエラ−になる。 |dnl 追加おわり | |dnl MAILER(`local') |MAILER(`smtp') (5) FireWall-1 ソフトの入れ替え `25/04〜 * FireWall-1 用サ−バ NOKIA はどうか FireWall-1 を NOKIA にしたらなんぼになるか。IP380 辺りでいいだろう。1Uタイプの アプライアンス、本体価格自体は198万円。FireWall-1のライセンスはこれまでのが使 える。そのまま使えるのか移行手続きが必要なのかはハテナ。NOKIA とは別に管理用のマ シンが1台必要とのこと、CTCさんによれば Sun のマシンを推奨。どうも NOKIA は二 重化のHA構成も意識して、別に ManagerServer を立てるようにしているらしい。Sunの マシンは例えば Sun Blade 150 Workstation。保守はこれまでのCTCでなく、(株)アズ ジェンドがやることになるという。それで Sun のマシンより NOKIA のハ−ド一体型の方 が安くなると思いきや、設定なんやかんやで400万円程になる。二重化にするとおよそ 800万円、内 FireWall-1 のライセンスはHA構成との差額分で変更するとかで123 万円。まるで安くない。Interop 2005 のアズジェンドでのブ−スで、NOKIA高いねと言う と最近は NetScreen に押されている、値段は相談に乗りますと話ていた。SecuRemote の 機能は使ってない、これからも使う予定はない、この際なしにすればちっと安くなるか。 * FireWall-1 用のライセンスの確認 `25/07 250ユ−ザから無制限にアップする手続きをして、2004年9月にメ−ルでライセン スが来ていた。CPVP-VCT-U-NG ( Check Point Enterprise - Unlimited users )。これは Next Generation のタイプである。今、動いているのは Next Generationではない。今の FireWall-1に、このライセンスを入れたらおかしくなるかも?。よくわからんです。フォ −バルクリエイティブのサイトに Next Generation Application Intelligence の価格表 があった。CPVP-VCT-U-NG は336万円で、この説明には VPN-1 Pro Gateways 無制限と SmartCenter 無制限が一体化した製品とある。単体の VPN-1 Pro Gateways Unlimited そ れにSmartCenter Enterprise, SmartView Tracker, Smart Dashboard, VPN-1 SecuRemote が含まれる。管理するゲ−トウェイは無制限、どういうこと?。SmartCenter Enterprise 自体は SmartView Trackerと Smart Dashboardを含む、224万円のライセンス。ひょっ として VPN-1 Pro Gateways Unlimited 168万円でもいいのでないか、FireWall-1それ に VPN-1, FloodGate-1, SmartDefense, VPN-1 SecuRemote が含まれている。 * 昨今の FireWall-1 について FireWall-1 V.4.1 サポ−ト終了 2003/06/30。FireWall-1 Next Generation の NGFP3 の 新機能 SmartDefence。FireWall-1 のプラットフォ−ム Alteon あり、ただし Alteon は 負荷分散のアプライアンス製品の中の1つという位置付けみたい。その後ファイアウォ− ル単品の製品も出したもよう。製品体系が分かりにくく、価格も高そうである。東芝の1 Uをプラットフォ−ムにした FireWall-1 NG もあった。`23/03 に東芝の営業さんがやっ てきた。MAGNIA 2000Ri/FireWall Internet Appliance Server。CPU Pentium Ш, 256 MB, IDE-HDD。MAGNIA は東芝の商標、ということは東芝製ということ?。どうもOSは Linux らしい、ファイアウォ−ル用にチュ−ニングしてある。 SmartDefence はマルチレイヤセ キュリティ保護ア−キテクチャ。その中のワ−ム攻撃などに対処する機能が Application Intelligence という技術、設定は SmartDashboard の中の SmartDefense で行なう。 防 御するためのシグネチャなどは、Check Point 社のサ−バに手動で接続してアカウントを 入れ取ってくるという。 * FireWall-1 用マシンの購入 Sun Fire V250 タワ−型サ−バはどうか。ドットコムプライス 526,050 円税込み。 V250 は 2004/10/07 に日本では発表された。高さ48.7/幅22/奥行61.4。73.4 GB 最大8台まで。 Enterprise250 の後継機種。1 CPU、メモリ 512 MB 増設で 1 MB、ディスク1本追加して ミラ−対応する。動作時の騒音 V250 は 5.8 bels?、因みにV210 は 6.6 bels。Interop 2005 の Sun のブ−スで実際に V250 扱った人に音のこと聞いてみた。サ−バ・タイプな のでそれなりに音はする、しかし V210 程まででもないとのことだった。その後懇意にし ている業者さんのところで、実物の V250 を見せてもらった。わざわざロビ−まで持って 来て動かしてくれました。自分の後ろで動いている SS5の騒音と遜色なかった。これなら 音的にはオフィス内においても問題ないと思う。結構重いです。しっかりした造りになっ ている。何とファンが6か7個ある。筐体のフロントを開けたところにディスクが入って いて、その横の箱のようなところから何か音がする。2つの箱、その中にディスクを冷や す専用のファンが入っていた。さすがサ−バ・タイプだけのことはある。 * 続 FireWall-1 用マシンの購入 あくまでも音の静かなのを選ぶとするとワ−クステ−ションタイプの Sun Blade 2500 が ある。RAID 1 対応にしてざくっと百万円である。何とV250 は2005年6月9日が最終 受注日で終わっていた。サン・マイクロシステムズ(株)の SunCenter にV250 の音のこと で問い合わせした際、その旨返事に書いてあったのだが、何かの間違いだろうと思ったの だ。これで Blade 2500 に決定!。サ−バタイプではないが、ディスクの抜き差し、電源 の二重化など保守性が V250 とはやや劣るが、それ以外は問題はないと聞いている。保守 契約はこの際、365日24時間対応にするか。大体平日9〜5時の料金の倍程度である。 24時間対応でも安い、初年度約7万円、次年度12万円。V250の方はなぜか結構高かっ た、ノ−マル年約27万円、24時間対応で年約47万円。基本的に9〜5時の対応とい うのは、その間しか故障など電話の受け付けをしてもらえないということである。さてマ シンがやってきました。音はほとんど気になりませんでした、めでたしめでたし。 * 新 FireWall-1 のインスト−ル `26/01 FireWall-1の現在の状態を、画面を見ながら全部鉛筆で書き出した。その前に不要になっ たオブジェクトとル−ルを削除しておくこと。ル−ルはできるだけ少なく、まとめること ができるのはまとめておいた方がいい。ざっと30のル−ルがあった。20位までには絞 れたかも知れないが、なかなか減らすのはル−ルの確認をしてのことで難しい。これまで 追加したのServices、Group Properties、Workstation Properties、Network Properties、 それにフィルタリング・ル−ル。全部書き出して、エディタで清書してプリントした。そ れから再度チェックしたら数ヵ所書き間違えていた。追加した Services は適当な名前付 けをしてないと最初からあったものと区別つかなくなるので注意したい、せめてコメント を書いておくようにしたい。パソコンに管理ソフトをインスト−ルする。パソコンのIP アドレスを FireWall-1 に登録する。ル−ルの追加操作は SmartDashboard を使う。これ ら作業はおよそ7年前にやってもらった同じSEさんにやってもらった。 パソコンに3つのアイコンがあった。SmartDashboard R55, SmartView Tracker R55 それ に SmartView Status R55。SmartDashboard が、これまでの FireWall-1 のメインの画面 と同じものである。SmartDashboard 画面左はしにオブジェクトの一覧が出て、 それ以外 にはル−ル画面が出る。ル−ル画面はほとんど FireWall-1 の画面と同じだった。オブジ ェクトの操作がマウスのドラッグで簡単に動くので注意されたいとのこと。管理用パソコ ンの {アプリケ−ションの追加と削除} に "Check Point SmartConsole NG_A1_R55" があ った。SmartDashboard の最初の画面に、SmartCenter Server [ 192.168.1.2 ] が入って いる。FIRE ホストのこれまでの設定との違い、仮想IPホストの ARP アドレスは登録し なくてもいい、NetScreen では最初からそうなっていたが。 SmartDefense はとりあえず 使わない、DefensePro がその任をする。使う場合はよく理解してからにしたい。 「NETWORK MAGAZINE」2005/12, "特別付録 FireWall-1 の徹底活用術他"、結構詳しく書い てある。それにざくっと日本語マニュルも目を通してみないかん、8万円もしたのだから。 展示会でブ−スに置いていた FireWall-1 のホワイトペ−パも見てみないかん。 * 新 FireWall-1 へアクセスする予備のソフト `26/01 fwgui_541010001_2.exe 28.7MB(30,095,865バイト)、これを他のパソコンに持って行って FireWall-1 にそのIPアドレスを登録すればアクセスできるようになる。 さてどうやっ て登録するのか。分からなければ 自分の PC のIPアドレスを 192.168.1.3 にすれば済 む。管理用PC が壊れてしまった場合の予備機として。自分のPC からも FireWall-1 にア クセスできるようにしておく。fwgui_..2.exe をクリックすると。 ------------------------------------------------------------------ | Check Point SmartConsole NG with Application Intelligence (R55) |----------------------------------------------------------------- | 〆SmartDashboard | SmartView Tracker 最低限必要なのは SmartDashboard だけ。チェッ | SmartView Status クしてインスト−ルを続ける。アイコンを出すか | SmartUpdate 聞いてくるだけで終わった。 | SecureClient Packaging Tool | SmartView Monitor アイコンをクリックすると画面が出る、アカウン | SmartView Reporter トとIPアドレスを入れる。初めてアクセスする | User Monitor と Fingerprint が表示されて確認を求められた。 | SmartLSM ---------------------------- * FireWall-1 ホストの設定とディスクのチェック |TCP |IIJ /etc/nodename /etc/netmasks --|-------|-- ------------- -------------------------- | □.9 □ | LinkProof |hostG |192.168.1.0 255.255.255.0 --------------- |.9 /etc/defaultrouter /etc/nsswitch.conf ---------------------- 202.241.128.0 ------------------ ------------------ | |202.241.128.9 |hosts: files (bge0).2|.2(bge2) FIRE □------ 192.168.2.0 /etc/resolv.conf 関係なし。 kkk.cf .2|(bge1) □ MAIL | |.1 FIREホストは Ultra 10 から Sun Blade 2500 ------------------------ 192.168.1.0 に置き換えた。V210 でも十分構わない。 FIREホストは Solaris 9 で、ディスクを2つ入れてミラ−リングさせる。 このディスク の RAID 機能は、旧 DiskSuite というソフト(有償だったと思う)で、 今はOSにビルト インされている Solaris Volume Manager である。 デ−モンは /etc/rc2.d/S95svm.sync。 ディスクは筐体の外から見て、正常に動いているのかどうかは分からない。ハ−ド的なト ラブルならランプがついたりするのだが。この RAID はソフトウェア制御のためコマンド metastat で見るしかない。クロ−ンを使って metastatの出力を、定期的にメ−ルで管理 者に送るような管理が必要である。metastatの英語モ−ドでは Okay, Needs maintenance, Last erred, Unavailable。日本語モ−ドでは "状態: 正常", "状態: 保守が必要"という 表示が出て来る。これらのキ−ワ−ドを検知して、メ−ルのサブジェクトに正常か異常か だけ、できれば出したいものだ。シェルスクリプトを久しぶりに書いてみるとしよう。 /usr/lib/mail/cf/kkk.mc ここの記述は「Solaris 9 システム --------------------------------------------- 管理ハンドブック」P.248 を参考に |VERSIONID(`@(#)main.mc 1.5 (Sun) 08/10/00') した。本当これだけの mc ファイル。 |OSTYPE(`solaris8')dnl |FEATURE(`nullclient',`192.168.1.1')dnl メ−ルは MAIL ホストへ送る指示。 # /usr/ccs/bin/make kkk.cf # cp /usr/lib/mail/cf/kkk.cf /etc/mail/sendmail.cf << sendmail.cfのパ−ミション は -r--r--r-- 1 root bin。 # /etc/rc2.d/xS88sendmail start # ps -ef | grep send* root 962 1 0 12:10:29 pts/5 0:00 /usr/lib/sendmail -bd -q15m root 963 1 0 12:10:29 pts/5 0:00 /usr/lib/sendmail -Ac -q15m /etc/hosts --------------------------------------------- |127.0.0.1 localhost |202.241.128.2 hostG hostG.nix.co.jj loghost hostG.nix.co.jj を追加した。これ |192.168.1.2 hostG-1 を追加しないと、メ−ルを送信でき |192.168.2.2 hostG-2 なかった。 /var/spool/cron/crontabs/root MAILホストに来たメ−ルは、差出人 -------------------------------- Super-User [root@192.168.1.2],宛 |0 6 * * * /var/spool/disk_check 先 katou@nix.co.jj になっていた。 /var/spool/disk_check # chmod 744 disk_check --------------------------------------------- |#!/bin/sh |/usr/sbin/metastat | /usr/ucb/mail -s "DISK CHECK" katou@nix.co.jj * FireWall-1 の運用まだまだ終わりでなし "20-1.マトリックス実現までの間に, (2)最後の検討はDNSであがり,実はマシンの置き 換えでもある"。`27/12 の記事で、DNSのプログラムを BIND 8 から BIND 9 に変えた 際に起きたトラブル。名前解決できなくなった。Solaris 9 に入っていた BIND 8 にその 場で変えたら問題なかった。パケットの中身が BIND 8 と 9では異なっているらしい、そ れで FireWall-1 が BIND 9 のパケットに対してはシビアにチェックして止めたというこ とが分かった。FireWall-1 の {SmartDefence} の {Application Intelligence} の{DNS} の所、〆UDP protocol enforcement のチェックを外したら、 ホスト名の解決がすかすか っとできるようになった。BIND 9 ではセキュリティが強化されたということなのだろう。 `2b/03 に起こった問題?。停電により FireWall-1制御のパソコンが停止。電源入れて特 に問題はなし。でも社外へのアクセスができない。社内間でも異様に遅い。`27/12でのこ とで設定が戻ってしまったかも。メモを頼りに設定を戻したつもりが `27/12 のヶ所では なく次の所をいじったらスカスカ行くようになった。別な問題があったのかも知れないが、 一応書いておく。[Manage]->[Services]->[name] {UDP Services Properties}、メニュ− の[Advanced] で。デフォルトは Source Port []、Protocol Type []、〆Accept Replies、 〆Match for Any、Virtual Session Timeout ◎Default、 〆Synchronize connection on Cluster になっていた。Synchronize のチェックを外したら通るようになった。 ------------------------------------------------------------------------------------ [ 付録 ] メ−ルサ−バの動作テスト * テストその1 --- 前の InterScan で [ メ−ル中継のテスト環境 ] いきなり本番サ−バと交換するのは危なっかしい。テスト環境でメ−ルのリレ−がちゃん と動くかチェックすることにする。簡単のため WWW も MAILホストも同じセグメントに置 く。WWW を 202.241.128.3 から 192.168.1.2 に一時的にする。WWW で稼働する namedデ −モンも 192.168.1.2 の情報を持つようにする。 □ WWW □ MAIL □ PC |.2 |.1 |.3 ------------------------------ 192.168.1.0 << WWW ホストの設定 >> # ifconfig bge0 192.168.1.2 << これで直ちにホストのIPアドレスは変わる。 /etc/nsswitch.conf /etc/resolv.conf nsswitch.conf と resolv.conf ------------------ ----------------------- の変更は、その場で有効になる。 |hosts: file dns |domain nix.co.jj |nameserver 192.168.1.2 /etc/hosts -------------------------------------------- |127.0.0.1 localhost |192.168.1.2 hostA mail.nix.co.jj loghost |192/168.1.1 hostB /etc/named.conf /usr/local/etc/named.test ------------------------------------- ----------------------------------------- |zone "nix.co.jj" { |$TTL 3600 | type master; |@ IN SOA ns0.nix.co.jj. netmaster.. ( | file "/usr/local/etc/named.test"; | 1 3600 300 36000 3600 ) |}; | IN NS ns0.nix.co.jj. | IN MX 10 mail.nix.co.jj. DNS 制御ファイルはだいたいこんな |ns0 IN A 192.168.1.2 感じで。#/usr/local/sbin/named & |mail IN A 192.168.1.2 << MAIL ホストの設定 >> /etc/mail/sendmail.cf ----------------------- |DSsmtp:[192.168.1.2]') << ここだけ直接変更してみた。 [ テスト環境でのメ−ル送受信のテスト ] PC から katou@nix.co.jj 宛にメ−ルを送る。すぐにそのメ−ルを POP3 で受ける。PCの メ−ルの設定、SMTP と POP3 サ−バのアドレスに 192.168.1.1 を指定すること。 WWW から # Mail -v katou@nix.co.jj とやる。PC でそのメ−ルを受ける。WWW で named を停止して、メ−ルを katou@nix.co.jj に送ると Name Server timeout になった。 PC から ikken@tcp-ip.or.jj 宛のメ−ルを送る。WWW の /var/spool/mqueue にメ−ルが 溜まっていればOK。送りそこねたメ−ルは、このディレクトリに溜まる。 WWW から # Mail -v katou@nix.co.jj。MAILでは # tail /var/mail/katou で確認できる。 WWW の /etc/hosts に 192.168.1.2 mail.nix.co.jj がないとエラ−で送れない。 WWW の /etc/hosts に 192.168.1.2 mail.nix.co.jj がないと #newaliase が終わらない。 DNS の MX mail.nix.co.jj を見て、/etc/hosts に同じのがあるか見ているのでないか。 WWW の ikken.mc の Dwmail は DwhostA とした方が書式上正しいかも。元々sendmail.cf ファイルで Dj$w のところで、$w は hostname で出てくるマシンの名前だった。 WWW 単独稼働テスト。WWW から # Mail -v ikken@tcp-ip.or.jj したところ /var/spool/ clientmqueue にメ−ルは溜まった。ここには sm-client.pid ファイルができていた。 [ メ−ルの送信テスト、MAILホストから実行 ] # /usr/lib/sendmail -bt ADDRESS TEST MODE (ruleset 3 NOT automatically invoked) Enter
> 3,0 katou canonify input: katou Canonify2 input: katou Canonify2 returns: katou canonify returns: katou parse input: katou Parse0 input: katou Parse0 returns: katou Parse1 input: katou Parse1 returns: $# local $: katou parse returns: $# local $: katou > 3,0 katou@nix.co.jj canonify input: katou @ nix . co . jj Canonify2 input: katou < @ nix . co . jj > Canonify2 returns: katou < @ nix . co . jj . > canonify returns: katou < @ nix . co . jj . > parse input: katou < @ nix . co . jj . > Parse0 input: katou < @ nix . co . jj . > Parse0 returns: katou < @ nix . co . jj . > Parse1 input: katou < @ nix . co . jj . > Parse1 returns: $# local $: katou parse returns: $# local $: katou > 3,0 ikken@tcp-ip.or.jj canonify input: ikken @ tcp-ip . or . jj Canonify2 input: ikken < @ tcp-ip . or . jj > Canonify2 returns: ikken < @ tcp-ip . or . jj > canonify returns: ikken < @ tcp-ip . or . jj > parse input: ikken < @ tcp-ip . or . jj > Parse0 input: ikken < @ tcp-ip . or . jj > Parse0 returns: ikken < @ tcp-ip . or . jj > Parse1 input: ikken < @ tcp-ip . or . jj > MailerToTriple input: < smtp : [ 192 . 168 . 1 . 2 ] > ikken < @ tcp-ip . or . jj > MailerToTriple returns: $# smtp $@ [ 192 . 168 . 1 . 2 ] $: ikken < @ tcp-ip . or . jj > Parse1 returns: $# smtp $@ [ 192 . 168 . 1 . 2 ] $: ikken < @ tcp-ip . or . jj > parse returns: $# smtp $@ [ 192 . 168 . 1 . 2 ] $: ikken < @ tcp-ip . or . jj > > Ctrl+D で抜ける。 * テストその2 --- 前の InterScan で 新しい MAIL ホスト V210 で InterScan VirusWall を停止して、純粋な Mail-Storeとし て動かしてみた。V210 に入って /usr/ucb/mail -v ikken@tcp-ip.or.jj とやったら、メ −ルは外へ配信されていった。パソコン PC で送信メ−ルサ−バを V210 の 192.168.1.9 にして、 ikken@tcp-ip.or.jj にメ−ルを送信しようとしたら次のようなメッセ−ジが出 てできなかった。InterScan が働いている際は、メ−ルは先ず InterScanが受取ってウィ ルスチェックをして、sendmail に渡す。この時 sendmailはロ−カルから、つまりこのホ ストから発信されたメ−ルとして受け取るということでないのか。それで、InterScan が 動いていれば問題なくメ−ル送信ができた。こういうこともあらじめテストしておく、あ るいは現象を知っておくことは大切である。なんせこれでこのマシンは Mail-Sotre とし てこれから永い年月動いてもらわないけないのだから。ここでのテストは Mail-Store が 2台あっても、それぞれ Mail-Relay へ中継していく動きを利用した。 逆の Mail-Relay から Mail-Store ヘは既存設置の方 192.168.1.1 に行く。 Netscape Messengerにて -------------------------------------------------------------------------------- |メ−ルの送信中にエラ−が発生しました。 | |メ−ルサ−バは以下のように応答しました: | |5.7.1...Relaying denied IP name lookup failed[192.168.1.8]| |メッセ−ジの宛先を確認して、やり直してください。 | -------------------------------------------------------------------------------- : □ Router □ WWW' named WWW と MAIL は既存設置のマシン SS5で、 | |.3 V210 が MAILホストと置き換えるマシン。 ------------------------ 202.241.128.0 | □ WWW (Mail-Relay) PC |.2 |.1 (Mail-Store) □ □------- 192.168.2.0 □ MAIL □ 新しいMAILホスト V210 |.8 |.2 |.1 |.9 ------------------------------------------------------------ 192.168.1.0 以下新しい MAIL ホスト V210 にて、IPアドレスが本番機と異なるだけ。 # cd /usr/lib/mail;ls -F README cf/ domain/ feature/ m4/ mailer/ ostype/ sh/ # ls cf Makefile katou.mc # cd /usr/lib/mail/cf # /usr/ccs/bin/make katou.cf << katou.cf を作る。普通はこの2行出るだけ。 test ! -f katou.cf || /usr/bin/mv katou.cf katou.cf.prev /usr/ccs/bin/m4 ../m4/cf.m4 katou.mc > katou.cf /usr/lib/mail/cf/katou.mc /etc/mail/local-host-names -------------------------- -------------------------- |OSTYPE(`solaris8') |nix.co.jj |DwhostB |Dmnix.co.jj |define(`confDOMAIN_NAME', `$w.$m') |LOCAL_DOMAIN(`$m') |MASQUERADE_AS(`nix.co.jj') *** コメント部は取った *** |MASQUERADE_DOMAIN(`nix.co.jj') |FEATURE(`masquerade_entire_domain') |define(`confTO_IDENT', `0s') |FEATURE(`use_cw_file') |FEATURE(`accept_unresolvable_domains') |define(`SMART_HOST', `smtp:[202.241.128.3]') |FEATURE(`relay_local_from') << これを追加した。 これでメ−ルを出せるよう |MAILER(`local') になった。/etc/mail/access で制御するのか |MAILER(`smtp') と最初思ったが違うみたい。make したら以下 の警告が出た。 外にさらされるメ−ルサ−バ # cd /usr/lib/mail/cf ではこのオプションは使わない方がいい。 # /usr/ccs/bin/make katou.cf test ! -f katou.cf || /usr/bin/mv katou.cf katou.cf.prev /usr/ccs/bin/m4 ../m4/cf.m4 katou.mc > katou.cf *** WARNING: FEATURE(`relay_local_from') may cause your system to act as open relay. Use SMTP AUTH or STARTTLS instead. If you cannot use those, try FEATURE(`relay_mail_from'). # /etc/rc2.d/S88sendmail stop # /etc/rc2.d/S99IScanHttpd stop # /etc/rc2.d/S99ISmaild stop # /usr/lib/sendmail -bd -C/usr/lib/mail/cf/katou.cf & << これで稼働させる。