7. NEXTSTEPでインターネットサーバを構築する

bindのインストール

先づはBIND ネットワークアプリケーションのベース
bind-8.1.2-REL
(http://www.isc.org/bind.html)
bind.8.1.2-nextstep.d.tar.gz
(ftp://ftp.iij.ad.jp/pub/next/apps/internet/misc/bind.8.1.2-nextstep.d.tar.gz)
makeできるんだけども -posix なのでヘロヘロ(;_;)
なので、本当は8をつかいたいけどbind-4.9.7-RELをいれる
bind-4.9.7-RELはほぼmake一発にちかい

• named サーバプログラムを悪用したアタック
(http://www.jpcert.or.jp/info/98-0002/98-0002-01.html)

• CERT* Advisory CA-98.05 bind_problems
(http://www.cert.org/advisories/CA-98.05.bind_problems.html)

• Denial-of-Service Vulnerabilities in BIND 4.9 and BIND 8 Releases(resolverの問題)
(http://www.cert.org/advisories/CA-98.05.bind_problems.html#TOPIC2)

sendmailのインストール

sendmail-8.9.1
(http://www.sendmail.org/)
古いresolverに問題があるのでmakeする
でもなぜか新らしいresolverがリンクできない(;_;)
しかたがないのでパッケージをいれた(;_;)
パッケージ:sendmail.8.9.1.NI.b.tar.gz
(http://www.peak.org/next/apps/mail/sendmail/sendmail.8.9.1.NI.b.tar.gz)

• 電子メール配送プログラムの不正利用 (予期しない中継)
(http://www.jpcert.or.jp/tech/97-0001/97-0001-03.html)
(sendmail関連の穴はたくさんあるのでいちいち引用はしません)

sendmail.cfの設定

CF-3.7Wpl2.tar.gz
(ftp://ftp.kyoto.wide.ad.jp/mail/CF/CF-3.7Wpl2.tar.gz)
SPAM対策はデフォでONになっています
perlがあったほうがいいのでインストールしておきます

apacheのインストール

apache_1.3.3
(http://www.apache.org/)
これもなんかmakeできんかったのでパッケージ(1.2.6)をいれた
パッケージ:apache.1.2.6.3.NIHS.b.tar.gz
(http://www.peak.org/next/apps/internet/www/apache/apache.1.2.6.3.NIHS.b.tar.gz)
1.2.6には穴(DoS)があります

sshのインストール

ssh-1.2.26
ssh2はライセンスがきびしくなった(;_;)
パッケージ:ssh.1.2.26.1.NIS.b.tar.gz
(http://www.peak.org/next/apps/internet/ssh/ssh.1.2.26.1.NIS.b.tar.gz)
なぜかIIJミラーがあるのでそこからとるのが吉

他にやるべき事

inetd.confの不要なエントリを削除(というよりもinetdを起動しない)
tcp_wapperでアクセス制御(inetdを起動しなければ不要)
rc* で不要なサービスを停止
tcp_wappedなportmapperに交換してアクセス制御

最低限必要なサービス

• nmserver*
• portmap**
• nibindd*
• netinfod*
• lookupd*
• pbs*
• updated
• cron
• syslogd***


* はNEXTSTEPに固有のサービス
** rpc関連のサービスをつかわなければ停止すべきです
*** NEXTSTEPのsyslogはバギーです

環境設定に極力パッケージをつかってみた

インストールメモ

• perl パッケージ
(http://www.peak.org/next/apps/devtools/perl/perl.5.004_04.NIHS.bd.pkg.tar.gz)
• GNU sh-utils パッケージ
(http://www.peak.org/next/apps/unix/GNU_sh-utils.1.16.NIHS.b.tar.gz)

• bin user(uid=3)を作成
• GNU m4 パッケージ
(http://www.peak.org/next/apps/devtools/m4.1.4.NIHS.bsd.tar.gz)

• tcp_wrappers_7.6
(ftp://info.cert.org/pub/tools/tcp_wrappers/tcp_wrappers_7.6.tar.gz)

• portmap_5beta
(ftp://ftp.auscert.org.au/pub/mirrors/ftp.win.tue.nl/portmap/portmap_5beta.tar.gz)

おまけ: Y2K対応について

NeXTanswersによるとOPENSTEPでは

• The /bin/date command
• OPENSTEP and the hardware clock
• The ftpd daemon
• The RCS tools
• The Mach Sybase client libraries

NEXTSTEPはサポートしない

いちばんヤバそうなdateについての対応は date.0.2.NIHS.bs.tar.gz
(http://www.peak.org/next/apps/unix/date.0.2.NIHS.bs.tar.gz)