パソコンジィジの気ままなBlog
何気にGoogleのNewsを見てるとUbuntu 18.04がサポート期間の5年から10年に延長すとるいった記事を見つけた。これは凄いことで今までのUbuntu LTS(長期サポート)の期間は2年程度で長くて5年だったのがUbuntu 18.04が10年に延長だから他のLinux利用者もLTSのUbuntu 18.04に乗り換える可能性がある。確かに良いニュースだけど派生ディストリビューションのXubuntu、LubuntuやKubuntuなどはどうなるのかな?今のところXubuntu LTSのサポート期間は3年だけど。。。
とにかく海外のLinuxでは最も人気があるUbuntuだから、今まで以上にシェアを増やす可能性が出てきたね。
あるsystemファイルの修正してから再起動した後、端末エディターで確認しようとしたところ「sudoersのファイル内に[user name]はありません.この事は記録・報告されます。」えっ!root権限の「su -」コマンドを打つとパスワードが登録されてないのでroot権限も消えた!?
サイトを巡って見つけた解決方法は、一度確認したことのあるメニューをオープンして「Recovery mode のroot再設定」でpasswordを更新してから、root権限で「/etc/sudoersへ管理者の登録」なので早速施した。
|
1 2 3 |
# PC再起動でタイミング良く「SHIFTキーを押し続けてメニューをオープン」 # Recovery Modeを選ぶ # Rootを選択 |
再設定の方法は至って簡単でメニューから「rootを選択」するとroot権限でエディターが用意される。
|
1 2 3 4 5 |
# passwd root Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully *Ctrl+Alt+Delateで再起動 |
終了してデスクトップへ移動して端末エディタで「su -」で確認、次にGUIの「ユーザーとグルーブ」を開いて管理者権限を与えたいユーザーの「アカウントの種類」を管理者権限にしてからPC再起動後、端末エディターで「sudo su」で確認。
注意すべき操作(su -)を怠ったのでこのような自体に陥ったようだ。無事に再設定できたが余分な時間を費やしたハプニングなので気を付けないと。
Xubuntu 18.04の必要なパッケージとしてインストールしたWiresharkでネットワーク上のデータートラフィックを見ようと起動させたが。。。いつの間に端末エディターの「sudo」で起動させないと見ることができなくなった。セキュリティ面を考えるとこの起動方法で良いけど、デスクトップのアイコンクリックで起動させたいと思い一般Userを登録したが見ることができない。原因が分からない事が気になるので代替えでUbuntu標準の「tcpdump」を起動させて見ることにしたがエディターに流れるような表示だけで確認方法が解らないので難しい。Wiresharkのサイトを巡って「もしかしたら?」と言う方法を見つけたので試したところ正解だったようで、以前と同様ユーサーで見ることができるようになった。
|
1 2 3 4 5 6 |
# 一般ユーザをwiresharkグループに追加する。 $ sudo usermod -G wireshark [home user] # 再設定 --> 右矢印「はい」入力 $ sudo dpkg-reconfigure wireshark-common # root権限を持たずに実行 $ sudo chmod +x /usr/bin/dumpcap |
たまにデータートラフィックを確認するだけなので、取り合えずは管理者権限に戻して、端末エディターから「sudo wireshark」で起動させることにした。
Xubuntu 18.04では「tcpbump」が用意されているので端末エディターでデータートラフィックの確認ができる。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
$ sudo tcpdump -c 10 10行で終了 $ sudo tcpdump -i eth0 $ sudo tcpdump -Q in 又は、inout # ホスト名fugefuge.comの通信だけを表示 $ sudo tcpdump host fugefuge.com # IPアドレスでの指定も可能 $ sudo tcpdump host 192.168.xx.xx # wwwホストでポート番号443に関連する通信だけを表示 $ sudo tcpdump host www.fugefuge.com and port 443 # sshポートの通信のうちTCPパケットのみ表示 $ sudo tcpdump tcp port ssh *終了---->> Ctrl+C |
いろいろ組み合わせができるので「tcpdump」の確認方法を覚えれば良いかも。。。捨てがたい!
集中して作業してるときふと目に止まり「わ〜こんな時間!?」とデスクトップのアナログ時計を眺めると言った事が度々だったXubuntu16.04での自宅サーバー構築時、このままXubuntu18.04バージョンアップでもと思っていた「MacSlow’s Cairo-Clock」がデストップから姿が消えた!Xubuntu18.04のソフトウエア、Synapticパッケージマネージャーでも見当たらない。サイトで調べるとXubuntu18.04では機能的に使えないらしく削除されたらしい。「そんな馬鹿な!!!」と言うことでクリーンインストール後に絶対復活されるとの思いでXubuntu16.04のCairo-ClockやCairo-Dockをダウンロードして試した。
|
1 2 |
1.圧縮したCairo-Clockなのでインストールできない。 2.Cairo-Dockの時計(Cairo-Clock)、複製しても長方形で現たりするので醜い姿だ。 |
そんなこんなしてる間に、操作中での削除ミスでPCフリーズ!再度Xubuntu18.04をインストールせざるを得なくなった。自宅サーバの再構築を済ませ落ち着いたところで、新たな気持ちでサイト巡りで調査、すると今まで気が付かなかった「PKGS.ORG」でナナナなんと端末からインストールできるXubuntu16.04版の「amd64.deb」なるものを発見!
|
1 2 3 4 5 6 7 8 |
# https://pkgs.org/download/cairo-clockからダウンロード cairo-clock_0.3.4-2ubuntu 2_amd64.deb *Debパッケージをダブルクリックして現れたSoftwareのページから「インストール」 # 端末からのインストールの場合(xubuntu16.04) sudo apt-get update sudo apt-get install cairo-clock # ペクタ画像によるアナログ時計 Mirco "MacSlow" Müller |
これは試すしかない!!!!!
即ダウロードして、Xubuntu18.04なので端末からインストールでなく「deb」をダブルクリック!だ。現れたソフトウエアのCairo-Clock用ページからインストール、「起動」をクリックすると。。。幽霊のように「Cairo-Clock」が現れたよ!!!
迷わずXubuntu18.04のデスクトップへ気に入ってたClockを貼り付けた。意固地になっていたがこれで平常心に戻れそう。
自宅サーバーを構築する場合、一番にセキュリティに関しての不安がつきまとい「これで安心だ」と思うことがない。
確かに知識や経験が欠けてるから攻撃に対しての防御やアプローチで判らないところがあって頭を悩まけど、その分インストールしたfail2banはサイトに情報が溢れているのと、初期段階である程度の防御が可能になるフィルターが準備されているので必要に応じで有効にする。
# Fail2Banのインストールと準備
|
1 2 3 4 |
$ sudo apt install fail2ban #sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local #コピーしたjail.local(jail.conf) で若干の修正と有効設定 #fail2ban を再起動 |
# デフォルトではsshのみ有効、他は無効になっているので必要に応じて有効にする。filter.d内に用意されたフィルタの中に、postfix や dovecot 、proftpd などのフィルタもあるのでjail.localに「enabled = true」と追記して有効にする。
# 用意されていないフィルターは自由に作ってfilter.d内にファイル作成と、jail.localの末尾にactionの設定を記入する。
例) wordpress.conf
# コピーしたjail.localを端末エディターで有効設定と修正
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
1. 基本的な設定を修正 bantime = 2400 backend = gamin -->>警告の場合autoに戻す。 *遮断する秒数を設定 findtime = 600 # maxretry = 3 maxretry = 5 *遮断する条件、10分以内に5回認証に失敗したら遮断 # destemail = root@localhost destemail = user@osshinet.com 2. action の設定値を変更する。 # action = %(action_)s action = %(action_mw)s -->>警告の場合基本に戻す。 3. 起動と再起動 sudo /etc/init.d/fail2ban start sudo service fail2ban restart 4. 設定の確認 sudo iptables -L又は-S |
# ログのリアルタイム表示で確認して、問題がなければ作業完了。
|
1 2 |
cd /var/log/ sudo tail -f fail2ban.log |
作業も順調にいったので少しは安心できるかな?万全ではないがLogを見ながらBanの有効設定を増やすことになるね。
xubuntu18.04にアップグレードした後にエラーが発生して困ったけど、クリーンインストールなのでどうかな?とにかくアンチウイスルソフトは必要なのでClamAV,Deamon+ClamTkをインストールした。
|
1 2 3 |
# ClamAvのインストール $ sudo apt update $ sudo apt install clamav clamav-daemon |
|
1 2 3 4 5 6 |
# ウイルス定義の更新 $ sudo freshclam # エラーが出る場合はlog削除して新たに作成して再度実行 $ sudo rm -f /var/log/clamav/freshclam.log $ sudo touch /var/log/clamav/freshclam.log $ sudo chown clamav:clamav /var/log/clamav/freshclam.log |
|
1 2 3 |
# ログロテートの設定を変更 $ sudo vim /etc/logrotate.d/clamav-freshclam create 640 clamav adm -> creaate 640 clamav clamav |
|
1 2 3 4 5 6 7 8 9 |
# ウイルス定義の自動更新確認 $ sudo service clamav-freshclam status * /var/log/clamav/freshclam.logファイルにログが記録される。 # clamscanでウィルススキャンのを実行 $ mkdir ~/virus $ clamscan -r -i --move=$HOME/virus . -rオプションでディレクトリを再帰的に走査 -iオプションで検出ファイルのみ表示 –moveオプションで検出ファイルを指定のディレクトリへ移動 |
DesktopではやはりClamTkでのウイルスチェックが良いと思うので標準のSoftworeからインストールしてスケジュール設定を施した。手動での実行、ClamTkでの実行でもしっかりスキャンしているようだ。
Linuxのネットワークの知識が散漫なので思わぬところで爆発した感じ。。。最終的にWineソフトを再インストールやwindowsのソフトを起動させようとしてる最中にネットワーク関連のエラーが発生して、自宅サーバすべてが起動できなくなる状態に至った。調べてみるとソケット関係のエラーで、素人に毛が生えた程度の知識では直したくても勝手が分からないので「Xubuntu 18.04」をクリーンインストールすることにした。
インストールはXubuntu 16.04と同じなのでスムーズだったが、ネットワーク関連の設定が全く違っていたので戸惑った分時間が掛かったが、Desktopのネットワークに関してはEthernet(ネットワーク設定)で設定するのみで深く考える必要がないことが分かってからは「Wordpress、Postfix&Dovecot、ProFTPD」の設定は思っていたより簡単に構築できた。
ただ再設定で今でも躓いてるLetsencryptに関してどうしようか迷っている最中で、現状の儘でクライアント証明書の失効を待って新たに申請しようか試案中!できれば再設定をしたいと思っているけどね。
Xubuntu 16.04をインストールするとディスプレイ解像度が標準の800×600なのでWindows10の解像度(1366×768)と同じに調整した。
|
1 2 3 4 5 6 7 8 |
# cvtコマンドで使いたいディスプレイの解像度を入力 $ cvt 1366 768 *Windows 1366 768 -->> Xubuntu 1368 768 # xrandrコマンドを使って/home/user/.profileに追記 xrandr --newmode xrandr --addmode VGA1 xrandr --output VGA1 --mode *Modeline -->>newmode, mode name -->>VGA1 |
//手順
# 端末で最初にcvtコマンドで解像度の出力モードを得る。
|
1 2 |
1368x768 59.88 Hz (CVT) hsync: 47.79 khz; pick:85.25 Mhz Modeline "1368x768_60.00" 85.25 1368 1440 1576 1784 768 771 781 798 -hsync +vsync |
# 出力された出力モードの情報をホームフォルダ内に.xprofileを作成して3行を記入して保存。又、まずは端末エディタで3行を記入してディスプレイの解像度を変更してから再起動する。
|
1 2 3 |
xrandr --newmode "1368x768_60.00" 85.25 1368 1440 1576 1784 768 771 781 798 -hsync +vsync xrandr --addmode VGA1 1368x768_60.00 xrandr --output VGA1 --mode 1368x768_60.00 |
再起動すると、設定の「ディスプレイ」に「解像度1368×768」が追加されて「適用」をクリックすると常時反映されるようになる。
PS. 忘れてたメモ!若干記事修正(2018-08-13)
インストールした時点でのユーザー(パスワード)は管理者権限を有するのでスーパーユーザーだと言ったところ、最初からUbuntuではRootのパスワードが無いので代わりにインストールしたユーザーが管理者権限を持つとなってる。。。と言うことは結局のところ覚えにくいパスワードだと作業に影響を及ぼすので覚えやすいパスワードを設定することになりセキュリティ的に良くないと思い始めた。Windowsでは滅茶苦茶難しい12桁のパスワードをログイン用に設定してたことを考えるとXubuntuのRoot(管理者)のパスワードを持った方が良いような気がする。そこでさっそく設定することにした。
|
1 2 3 |
Root: su- root passwd <--Root管理者のみ User(sudo): sudo user passwd <--管理者権限を持つ user(Root): sudo -s user passwd <--オプション-sでRoot管理者 |
[1] Sudoのオプション指定でroot権限のシェルを取得
|
1 2 3 4 |
User@HomeSV:~$ sudo -s [sudo] password for User: # Userのパスワード root@HomeSV:~# |
[2] rootにパスワードを設定
|
1 2 3 4 5 6 7 8 |
User@HomeSV:~$ sudo passwd root [sudo] password for User: # Userのパスワード Enter new UNIX password: # rootパスワード設定 Retype new UNIX password: # 確認再入力 passwd: password updated successfully |
[3] 「su -」でroot管理者
|
1 2 3 4 |
User@HomeSV:~$ su - Password: # rootパスワード入力 root@HomeSV:~# |
サイトを巡って得た情報だと、Rootのパスワード使用はGUIソフト以外は稀で意味がないと言った感じ、しかし、Root管理者にパスワードを設定したことで気分的に楽くになった。
設定方法は簡単でルーターで開閉してるポートと同じに設定、尚、インストール直後は「受信拒否」になってる。
|
1 2 |
# ufw(uncomplicated firewall)のインストール $ sudo apt-get install ufw |
[1] ufwをインストールした状態
|
1 2 |
ufw disable ufw default deny |
[2] ルールの追加/削除コマンド
|
1 2 3 |
ufw allow ポートNo./udp ufw allow ポートNo./tcp ルールの削除 (行番号指定) ufw delete 行No. |
[3] Defaultルールの設定
|
1 2 |
受信の許可 ufw default allow 受信の拒否 ufw default deny |
[4] ファイアウォールの有効化/無効化
|
1 2 |
有効化 ufw enable 無効化 ufw disable |
[5] ルールの表示コマンド
|
1 2 3 4 |
表示 ufw status 詳細 ufw status verbose 行番号付き ufw status numbered 詳細&行番号付き ufw status verbose numbered |
[6] ルールの再読み込み/初期化
|
1 2 |
設定ファイルの再読み込み ufw reload 設定初期化 (ルール全削除&ufw 無効化) ufw reset |
[7] ユーザが定義したルールは以下に保存される。
|
1 2 |
/etc/ufw/user6.rules /etc/ufw/user.rules |
# SSH (22/TCP) と TFTP (69/UDP) を許可する場合の設定例
|
1 2 3 4 |
ufw allow 22/tcp ufw allow 69/udp ufw default deny ufw enable |
*上記の操作は全て管理者権限(sudo or su)
