作 所 作 確 所 確 EC 作 所 作 成 確 所 確 認 要件 サイ 成 属 真日 認 属 日 件定 ト構築 高 空電気シ 平成 27 義書 築要件 高田浩生 システムズ 7 年6月 書 定義 ズ株式会社 12 日 社
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
作
所
作
確
所
確
EC
作
所
作 成
確
所
確 認
要件
サイ
成
属 真空
日
認
属
日
件定
ト構築
高
空電気シ
平成 27
義書
築要件
高田浩生
システムズ
7 年 6 月
書
定義
ズ株式会社
12 日
社
更新
日
14/
新履歴
日付
/7/2 第一一版
内容 担当
高
当
田
目次
1.
1.
1.
2.
2.
2.
3.
4.
4.
4.
5.
5.
5.
5.
5.
6.
7.
8.
8.
8.
8.
9.
9.
9.
9.
次
概要 ..
1 本シス
2 セキュ
サービス
1 管理ド
2 共有デ
仮想マシ
OS イン
1 DVD マ
2 wget .
ユーザア
1 パスワ
2 ホーム
3 プライ
4 Maildi
SELinux
ファイア
FTP サー
1 ファイ
2 TCP Wr
3 SELinu
MTA サー
1 ファイ
2 MX レコ
3 管理者
........
ステム構成
リティ対策
ス提供形
ドメイン ..
ディレクトリ
シン設定
ンストール
マウントポイ
.........
アカウン
ード ....
ムディレク
マリグルー
r .......
x .......
アウォー
ーバ .....
アウォール
rapper 設定
ux 設定 ..
ーバ ....
アウォール
コード ....
者用アカウン
.......
.........
策 .......
態 .....
.........
リ .......
.......
ル設定 ...
イント ...
.........
ト .....
.........
トリ .....
ープ .....
.........
.......
ル .....
.......
ル設定 ...
定 .......
.........
.......
ル設定 ...
.........
ント .....
........
.........
.........
........
.........
.........
........
........
.........
.........
........
.........
.........
.........
.........
........
........
........
.........
.........
.........
........
.........
.........
.........
.......
.........
.........
.......
.........
.........
.......
.......
.........
.........
.......
.........
.........
.........
.........
.......
.......
.......
.........
.........
.........
.......
.........
.........
.........
........
.........
.........
........
.........
.........
........
........
.........
.........
........
.........
.........
.........
.........
........
........
........
.........
.........
.........
........
.........
.........
.........
........
.........
.........
........
.........
.........
........
........
.........
.........
........
.........
.........
.........
.........
........
........
........
.........
.........
.........
........
.........
.........
.........
...1
.. 1
.. 1
...2
.. 2
.. 2
...3
...4
.. 5
.. 5
...6
.. 6
.. 6
.. 6
.. 6
...7
...8
...9
.. 9
.. 9
.. 9
.. 10
. 10
. 10
. 10
10.
10
10
11.
11
11
12.
12
12
12
12
12
12
12
12
12
POP サ
0.1 ファイ
0.2 平文テ
DNS サ
.1 ルート
.2 ファイ
検査結
2.1 仮想マ
2.2 OS イン
2.3 ユーザ
2.4 SELinu
2.5 ファイ
2.6 FTP サー
2.7 MTA サー
2.8 POP サー
2.9 DNS サー
サーバ ...
アウォール
テキストによ
サーバ ...
サーバ情報
アウォール
結果報告書
マシン設定
ンストール
ザアカウン
ux .......
アウォール
ーバ .....
ーバ .....
ーバ .....
ーバ .....
.......
ル設定 ...
よる認証 .
.......
報 .......
ル設定 ...
書 ......
.........
.........
ト .......
.........
ル .......
.........
.........
.........
.........
........
.........
.........
........
.........
.........
........
.........
.........
.........
.........
.........
.........
.........
.........
.........
.......
.........
.........
.......
.........
.........
.......
.........
.........
.........
.........
.........
.........
.........
.........
.........
........
.........
.........
........
.........
.........
........
.........
.........
.........
.........
.........
.........
.........
.........
.........
........
.........
.........
........
.........
.........
........
.........
.........
.........
.........
.........
.........
.........
.........
.........
.. 11
. 11
. 11
.. 12
. 12
. 12
.. 13
. 13
. 13
. 14
. 14
. 14
. 14
. 14
. 15
. 15
1. 概
本文
(以
1.1 本
一台
目の
(以
FTP サ
用す
1.2 本
によ
概要
文書では FT
以下、本シス
本シス本システム構
台目のマシン
のマシンは D
以下、スレー
サーバには
する。
セキュ
本システムは
る接続制限
192.
DNSマ
TP サービス
ステムとい
ステム構成構成図を図
ンは DNS マ
DNS スレー
ーブサーバと
は vsftpd、
ュリティ対
はセキュリ
限と SELinu
168.76.14
マスタサー
ス(以下、
いう)の構築
図 1 本
成 図 1 に示す。
マスタサーバ
ーブサーバ、
と呼ぶ)OSは
MTA サーバ
対策 ティ対策と
ux によるア
40
バ
1
本サービス
築作業に関
本システム
。本システ
バとする(
、FTP サー
はCentOS 6
バには post
として、フ
アクセス制
スという)
関する要件を
ム構成図
テムは2台
(以下、マス
バ、MTA サ
6.4を使用
tfix、POP
ファイアウォ
制限を行うも
19
DNSス
FTP/
を提供する
を定義する
の仮想マシ
スタサーバ
サーバ、POP
し、DNSサー
サーバには
ォール設定
ものとする
2.168.76.
スレーブサ
/MTA/POPサ
るためのサ
る。
シンからな
バと呼ぶ)二
P サーバと
ーバにはbi
は dovecot
定(iptable
る。
170
サーバ
サーバ
サイト
る。
二台
する
nd、
を使
es)
2. サ
本
登録
プ
ホ
2.1 ex
ドメ
2.2 全
リを
サービス
本システムの
録されたアカ
項
FTP ホス
MTA ホス
POP ホス
プロト
プライマリ
ホームディ
共通ディ
管理ドxample.com
イン上のホ
共有デ
全てのユーザ
を一つ用意す
ス提供形
のサービス
カウントを
目
スト名
スト名
スト名
トコル
リグループ
ィレクトリ
レクトリ
ドメイン m を管理ド
ホスト名解
ディレクト
ザが読み込
する。共有
形態
スの提供形態
を使用しサー
表 1 サ
ftp.
IPv4
shar
/hom
/hom
メインと呼
解決を行うマ
トリ 込み、書き込
有ディレク
2
態は表 1 の
ービスを利
サービス提
example.c
.example.
.example.
4 のみ
re
me/ユーザ名
me/share
呼ぶことと
マスタサー
込み、移動
トリのアク
の通りであ
利用する。
提供形態
内
com
com
com
名
する。本シ
ーバ、スレー
動することが
クセス権限は
る。利用者
内容
システム DNS
ーブサーバ
ができる共
は 770 とす
者はあらか
S サーバは
バとなる。
共通ディレク
する。
じめ
は管理
クト
3. 仮
仮
の通
CPU
メモ
ハー
仮想マシ
仮想マシンの
通りとする。
項
モリ
ードディスク
シン設定
の設定はマ
目
ク容量
定
マスタサーバ
表 2
1 個
512
8 GB
3
バ、スレー
仮想マシ
個
MB
B
ーブサーバと
ン設定
設定
とも共通で
定内容
で、設定は表表 2
4. O
マ
ーブ
OS イン
マスタサーバ
ブサーバの設
項
言語
キーボ
ホス
IP ア
ネット
ゲート
DN
タイム
システム
root パス
項
言語
キーボ
ホス
IP ア
ネット
ゲート
DN
タイム
システム
root パス
ンストール
バの CentOS
設定は表 4
目
語
ボード
ト名
ドレス
マスク
ウェイ
NS
ゾーン
クロック
スワード
目
語
ボード
ト名
ドレス
マスク
ウェイ
NS
ゾーン
クロック
スワード
ル設定
S 6.4 のイ
4 の通りとす
表 3 マ
Japa
日本
ns.e
192.
24
192.
192.
アジ
UTC で
maru
表 4 ス
Japa
日本
ftp.
192.
24
192.
192.
アジ
UTC で
maru
4
インストー
する。
マスタサー
anese(日本
本語
example.co
168.76.14
168.76.25
168.76.10
ジア/東京
ではない
ugame
スレーブサ
anese(日本
本語
example.c
168.76.17
168.76.25
168.76.10
ジア/東京
ではない
ugame
ル設定は表
ーバ設定
設定
本語)
om
40
54
00
ーバ設定
設定
本語)
com
70
54
00
表 3 の通り
定内容
定内容
とする。ススレ
4.1 /m
リ c6
るよ
4.2 wg
サー
DVD マmedia へ DV
6-mediaの
う設定する
wget get, opens
ーバ共通)
マウント
VD をマウン
のみを指定す
ること (マ
ssh-client
ポイント
ントするた
することに
マスタサーバ
ts をインス
5
ト めの設定を
により DVD上
バ、スレー
ストールす
を /etc/fs
上のパッケ
ーブサーバ共
すること (マ
tab に追加
ケージをイン
共通)
マスタサー
加し、レポ
ンストール
ーバ、スレー
ジト
ルでき
ーブ
5. ユ
ス
トを
ht
5.1 パ
5.2 ユ
ィレ
5.3 ユ
5.4 ユ
を~/
ユーザア
レーブサー
を登録するこ
ttp://www.
パスワパスワードは
ホーム
ユーザは /h
レクトリのア
プライ
ユーザはグル
Maildiユーザが受信
/Maildir/i
アカウン
ーバに以下
こと。
tsoftware
ワード はユーザア
ムディレク
home 直下に
アクセス権
イマリグル
ループ sha
r 信したメー
nbox に作成
ント
下のテキス
e.jp/tmp/u
アカウントと
クトリ にユーザ名
権限は 700
ループ are をプラ
ールをスプー
成すること
6
トファイル
userlist14
と同じとす
名と同じホー
とする。
ライマリグル
ールするた
と。
ルにより与え
40711
する。
ームディレ
ループとす
ための Mail
えられるユ
レクトリを持
する。
dir 形式の
ユーザアカウ
持つ。ホー
のディレク
ウン
ームデ
トリ
6. S
SELi
SELi
個別
SELinu
nux は Enf
nux の設定
別に記載する
x
forcing で運
定変更が必要
る。
運用するこ
要となる場
7
こと。個々
場合は、当該
のサーバイ
該サーバイ
インストー
ンストール
ル要件に伴
ル要件にお
伴い
おいて
7.
フ
接続
ール
別に
*f
:I
:F
:O
-A
-A
-A
-A
-A
-A
CO
ファイア
ファイアウォ
続のみを許可
ルの設定変更
に記載する。
filter
INPUT ACCE
FORWARD AC
OUTPUT ACC
A INPUT -m
A INPUT -p
A INPUT -i
A INPUT -m
A INPUT -j
A FORWARD
OMMIT
アウォー
ォールの初
可している
更が必要と
表
EPT [0:0]
CCEPT [0:0
CEPT [0:0]
m state --
p icmp -j
lo -j AC
m state --
j REJECT -
-j REJECT
ール
初期設定は表
。個々のサ
なる場合は
5 ファイ
0]
-state EST
ACCEPT
CCEPT
-state NEW
--reject-w
T --reject
8
表 5 の通り
サーバイン
は、当該サ
イアウォール
TABLISHED,
W -m tcp -
with icmp-
t-with icm
りとする。
ンストール要
サーバインス
ルの初期設
RELATED -
-p tcp --
-host-proh
mp-host-pr
ここでは S
要件に伴い
ストール要
設定
-j ACCEPT
dport 22
hibited
rohibited
※空行は無
SSH サーバ
いファイアウ
要件において
-j ACCEPT
無くとも良
への
ウォ
て個
T
良い。
8. F
FT
ル、
8.1 フ
/etc
設定
8.2 TC
8.3 SE
FTP サー
TP サーバに
TCP Wrapp
ファイファイアウォ
c/sysconfi
定する。
TCP WCP Wrapper
SELinELinux の設
ーバ
には vsftpd
per、SELin
イアウォーォールは TC
g/iptable
Wrapper により vsf
ux 設定 設定を変更
d を使用す
nux につい
ール設定CP/21 と TC
es-configに
設定 ftpdへのア
しホームデ
9
る。インス
て行う。
CP/22 への
にnf_conn
アクセスを
ディレクト
ストール後
のアクセスを
track_ftp
を 192.168.
リへのログ
の設定はフ
を許可し、
のヘルパー
76.0/24 に
グインを許
ファイアウ
ーモジュー
に限定する
許可すること
ォー
ールを
ること。
と。
9. M
MT
9.1 フ
9.2 ス
定す
9.3 メ
ルは
アカ
/etc
MTA サ
TA サーバ設
項
IP ア
ホス
IP プロ
メールド
メールボッ
メールスプ
ファイ
ファイアウォ
MX レレーブサー
すること。ま
管理者
ールボック
は root アカ
ウント ad
c/aliasese
サーバ
設定を表 6
目
ドレス
ト名
トコル
ドメイン
ックス形式
プール場所
イアウォー
ォールは TC
コード ーバをホス
また当該ホ
者用アカウ
クスをホー
カウントに
dmin を登録
e を設定す
6 に示す。
表 6
all
ipv4
exam
~/Ma
ール設定
CP/25 への
スト名 mail.
ホストに関す
ウント ームディレク
により受信す
録し、root
すること。
10
MTA サーバ
.example.
4
mple.com
dir
aildir/inb
のアクセスを
.example.
する MX レコ
クトリに置
することは
t 宛のメー
バ設定
設定
com
box
を許可する
comで名前
コードも併
置く設定とし
はできない。
ールは admi
定内容
ること。
前解決できる
併せて登録す
したため、
そこで管
n に配信さ
るよう DNS
すること。
root 宛の
管理用のユー
されるよう
を設
メー
ーザ
10.
PO
10.1フ
10.2平
POP
OP サーバ設
項
プロト
メールボッ
メールスプ
1 ファイ
ファイアウォ
2 平文テ平文テキス
サーバ
設定を表 7
目
トコル
ックス形式
プール場所
イアウォー
ォールは TC
テキストにトによる認
バ
7 に示す。
表 7
pop3
~/Ma
ール設定
CP/110 への
による認証認証を許可す
11
POP サーバ
3
dir
aildir/inb
のアクセス
証 すること。
バ設定
設定
box
スを許可する
定内容
ること。
11.
DN
解決
11.1本
.
M.RO
11.2フ
DNS
NS サーバに
決するための
1 ルート本システムで
OOT-SERVER
2 ファイ
ファイアウォ
サーバ
には BIND を
のマスタサ
トサーバ情で使用する
518400
RS.NET. 36
イアウォー
ォールは T
を使用する。
サーバ、スレ
情報 ルートサー
表 8 ル
IN NS M
600000 IN
ール設定
TCP/53 と
12
。DNS サー
レーブサー
ーバ情報を
ルートサー
M.ROOT-SER
A 192.
UDP/53 へ
ーバは管理
ーバの役割を
を表 8 に示
ーバ情報
RVERS.NET.
168.76.10
へのアクセス
ドメイン上
を担う。
す。
00
スを許可す
上のホスト名
すること。
名を
12.
12.1
メモ
CPU
ハー
12.2
言語
キー
ホス
IP ア
ネッ
ゲー
DNS
タイ
シス
root
DVD マ
言語
キー
ホス
IP ア
ネッ
ゲー
DNS
タイ
シス
root
検査結
1 仮想マ
モリサイズ
個数
ードディスク
2 OS イ
語
ーボード
ト名
アドレス
トマスク
ートウェイ
ムゾーン
テムクロッ
t パスワー
マウントポ
語
ーボード
ト名
アドレス
トマスク
ートウェイ
ムゾーン
テムクロッ
t パスワー
結果報告
マシン設定
ク容量
ンストー
ック
ド
ポイント
ック
ド
告書
定 項目
ル 項目
項目
13
目
目
目
検査結
検査結
検査結
結果
結果
結果
DVD マ
12.3
ユー
パス
プラ
ホー
共有
12.4
SELi
12.5
基本
SSH
FTP
DNS
MTA サ
POP サ
12.6
イン
ホー
匿名
TCP
12.7
IP ア
ホス
マウントポ
3 ユーザ
ーザアカウン
ワード
イマリグル
ームディレク
有ディレク
4 SELin
inux モード
5 ファイ
本設定
接続
サーバ接続
サーバ接続
サーバ接続
サーバ接続
6 FTP サ
ンストール
ームディレク
ユーザコン
Wrapper 設
7 MTA サ
アドレス
ト名
ポイント
ザアカウン
ント登録
ループ
クトリ
トリ
ux
ド
イアウォー
続
続
続
続
サーバ
クトリログ
ンテンツダ
設定
サーバ
ント 項目
項目
ール 項目
項目
グイン
ダウンロー
項目
14
目
目
目
目
ド
目
検査結
検査結
検査結
検査結
検査結
結果
結果
結果
結果
結果
IP プ
メー
メー
メー
12.8
プロ
メー
メー
平文
12.9
イン
ルー
マス
スレ
プロトコル
ールドメイン
ールボックス
ールスプール
8 POP サ
トコル
ールボックス
ールスプール
文認証の許可
9 DNS サ
ンストール
ートサーバ情
タサーバ設
レーブサーバ
ル
ン
ス形式
ル場所
サーバ
ス形式
ル場所
可
サーバ
情報
設定
バ設定
項目
項目
15
目
目
検査結
検査結
結果
結果
以上
Related Documents
