今晩は、梅田です。 レスをありがとうございました。言い忘れたのですが、 当方、デスクトップでもSuseを使い始めたいのですが サーバーも組みたいと考えて居ります。何はさておき ファイアーウォールを。 On Sat, 14 Aug 2010 10:24:50 +0900 Masaru Imai wrote:

PackmanやVideoLan、ビルドサービスリポジトリにて 既に同等パッケージが用意されてたりする場合もあります。

ビルドサービスの場合には http://download.opensuse.org/repositories/ 以下を眺めてみるなり https://build.opensuse.org/search でパッケージを探してみるとか。 Webブラウザでは http://download.opensuse.org/repositories/ でもビルドサービスのリポジトリを参照出来ますが YaST(YaST2)、zypperでリポジトリを登録する場合には

checkinstall、有るようですね。しかし、リポジトリの追加を した事が無く、

zypperコマンドからパッケージを> YaST(YaST2)、zypperでリポジトリを登録する場合には

(サーバ名) http://download.opensuse.org (サーバ内のディレクトリ) /pub/opensuse/repositories/

# zipper http://download.opensuse.org/pub/opemsuserepojitories/ で、出来ませんでした。何かおかしなことをやって居りますか？

(repositories以下は登録するリポジトリで変わる)検索して

# zypper se "check*"

するなどしてみて下さい。

これをやると、一覧に、checkinstallがあり、インストール 出来そうな物ですが、出来ませんでした。 補足質問１：先に記した通り、公開サーバーを作りたいの ですが、Emacs等が入って居ります。要らないパッケージ なので削除したいのですが # zypper remove emacs # zypper uninstall emacs # zypper del emacs どれも駄目でした。どうしたら削除できますか？ 補足質問２：今、サーバー構築に使おうという本ですが、 ディストリビューションのありとあらゆるところを最新版 にして、「OSを鍛えよ」というポリシーで書かれて居りま す。例えば、bashを替えたら（最新版を入手したら）、上 書きインストールになって、zypper等のコマンド、YaST2も 使えなくなったりとかが起きるのですか？wgetコマンドで YaST2の最新版を何処かから、入手して、使うのでしょう か？旧バージョンの環境設定は引き継がれないのでしょう か？それとも、当面は、ディストリビューションの提供す るパッケージに、頼った方が良いのでしょうか。 -- 梅田　光則 -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org

梅田です。 On Sun, 15 Aug 2010 07:44:24 +0900 Masaru Imai wrote:

今井です。

(2010年08月15日 04:03)m.umeda@kzc.biglobe.ne.jp wrote:

checkinstallに関してはインストール出来たのでしょうか?

CUIでYaST2が使えるかも？と考えて、試しにインストールし てみました。リポジトリの追加が出来たので、checkinstall はインストール出来ました。

...

補足質問１：先に記した通り、公開サーバーを作りたいの ですが、Emacs等が入って居ります。要らないパッケージ なので削除したいのですが

# zypper remove emacs

# zypper uninstall emacs

# zypper del emacs

どれも駄目でした。どうしたら削除できますか？

インストールの仕方にもよりますが(インストールパターン) emacs本当にインストールされていますか?

はい。確かに。現実に

zypper se "emacs*"等で出てても行の先頭が空欄であれば インストールされていません。

なぞしなくても、$ emacsで起動します。入れた記憶が無い のですが。存在は確認したので、早く、アンインストールし たいです。サーバーには、不要のアプリケーションですので。 viで必要な設定をしようと思います。

...

補足質問２：今、サーバー構築に使おうという本ですが、 ディストリビューションのありとあらゆるところを最新版 にして、「OSを鍛えよ」というポリシーで書かれて居りま す。

サーバを公開することが目的ならそういう無茶はどうかと思います。

最新版=安定、安全

ではありませんので。

自力で、バグ、セキュリティーホールを見つけて、自力修正出来なけ れば、仰るとおりですね。まめにアップデートして、対応したいと思 います。 -- 梅田　光則 -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org

松本です。 別途今井さんもレスつけてくれていますが、ちょっと補足を。 m.umeda@kzc.biglobe.ne.jp wrote:

On Sat, 14 Aug 2010 10:24:50 +0900 Masaru Imai wrote:

...

zypperコマンドからパッケージを> YaST(YaST2)、zypperでリポジトリを登録する場合には

(サーバ名) http://download.opensuse.org (サーバ内のディレクトリ) /pub/opensuse/repositories/

# zipper http://download.opensuse.org/pub/opemsuserepojitories/

で、出来ませんでした。何かおかしなことをやって居りますか？

はい、おかしなことをしています。

...

(repositories以下は登録するリポジトリで変わる)

これ↑の意味を理解していないようですね。 別スレッドでポインタを示しておきましたが、読んでくれていますか？ リポジトリを追加する場合はまずは以下を参照しましょう。 http://ja.opensuse.org/Zypper/Usage/11.1#.E3.83.AA.E3.83.9D.E3.82.B8.E3.83.8... たとえば (あくまで「たとえば」です。必要がなければこの通りにする必要はな く、自分にとって必要なリポジトリに置き換えて実行してください) DNS を動か すにあたってできるだけ最新の bind を使いたいという希望があり、それがある network リポジトリ http://download.opensuse.org/repositories/network/ をインストールソースとして追加したい場合、zypper コマンドでやるならば (openSUSE 11.3 の場合) http://download.opensuse.org/repositories/network/openSUSE_11.3/ 以下にある network.repo というファイルの URL を指定して以下のようにコマ ンドを実行します。 # zypper ar http://download.opensuse.org/repositories/network/openSUSE_11.3/network.repo 実際に追加できたかどうかは # zypper lr で確認できます。 で、こうやって登録した場合、デフォルトでは自動リフレッシュされるように なっていないので # zypper mr -r network ; network のところには、上記 zypper lr で得られた情報を元に ; 適宜変えてください として、自動更新を有効にします。 この後で # zypper ref でリポジトリ情報を更新し ; この時、このリポジトリを信頼していいかどうか以下のように ; 確認を求められるので ; ; New repository or package signing key received: ; Key ID: DE00FECD7B709911 ; Key Name: network OBS Project ; Key Fingerprint: CD5AA489AE5B7E40F53DD39FDE00FECD7B709911 ; Key Created: Tue Aug 3 22:14:25 2010 ; Key Expires: Thu Oct 11 22:14:25 2012 ; Repository: Networking services and related tools (openSUSE_11.3) ; ; Do you want to reject the key, trust temporarily, or trust always? \ ; [r/t/a/?] (r): ; ; 常用のリポジトリとして信頼するなら a を、その時だけ一時的に ; 利用したいだけなら t をタイプしてください。 その後 # zypper in bind などとして必要なパッケージをインストールすることになります。

...

# zypper se "check*"

するなどしてみて下さい。

これをやると、一覧に、checkinstallがあり、インストール 出来そうな物ですが、出来ませんでした。

「出来ませんでした」ではなく、実際に実行したコマンドと、その結果表示され たメッセージを *そのまま* 見せるようにしてください。

補足質問１：先に記した通り、公開サーバーを作りたいの ですが、Emacs等が入って居ります。要らないパッケージ なので削除したいのですが

# zypper remove emacs

# zypper uninstall emacs

# zypper del emacs

どれも駄目でした。どうしたら削除できますか？

これも同様、「駄目でした」ではなく、その結果表示されたメッセージを *その まま* 見せるようにしてください。 # zypper uninstall * と zypper del * については、 # そもそもそんなオプションがないので結果はたとえば # Unknown command 'uninstall' # Type 'zypper help' to get a list of global options and commands. # と表示されると思います。その2行目に書いてあるように # 使えるコマンドのオプションなどについては # 'zypper help' で確認してみてください。

補足質問２：今、サーバー構築に使おうという本ですが、 ディストリビューションのありとあらゆるところを最新版 にして、「OSを鍛えよ」というポリシーで書かれて居りま す。例えば、bashを替えたら（最新版を入手したら）、上 書きインストールになって、zypper等のコマンド、YaST2も 使えなくなったりとかが起きるのですか？wgetコマンドで YaST2の最新版を何処かから、入手して、使うのでしょう か？旧バージョンの環境設定は引き継がれないのでしょう か？それとも、当面は、ディストリビューションの提供す るパッケージに、頼った方が良いのでしょうか。

どうするべきか自分で判断できないのであれば、当面は「ディストリビューショ ンの提供するパッケージに頼った方」が「無難」だとは思います。 どういう本を参考にしていて、そこにどんな文脈で書かれているのか存じません が「ありとあらゆるところを最新版にして」というのはおそらくセキュリティ フィックスのことを想定しているのではないかと。公開サーバを運用していくの であればセキュリティホールが見つかった場合にそれに対処していくのは *must* でしょうが、アップデートの中には機能追加だったりちょっとしたバグ 修正でしかなかったりするものもあります。バージョンを上げることで思わぬ不 具合が発生することもありますので、なんでもかんでも闇雲にアップデートすれ ばいいというものではありません(積極的にバグ出しに協力したいということで あればたいへんありがたいことですが、その場合は「公開」はやめておいた方が いいでしょう)。 また、各ディストリビューションがパッケージとして配布しているアプリケー ションの多くには、そのディストリビューション特有のパッチが当てられていた り、設定が変更されていたりするものが多いですから、元々の開発元が公開して いるソースから自前でコンパイルしたものに入れ替えてしまうとあれこれ不整合 が起こる可能性が高いです。openSUSE のアップデートとして公式に配布されて いるものであれば最低限の整合性検証はされているはずですので、それを適用す ることによって「zypper 等のコマンド、YaST2 も使えなくなったりとかが起き る」危険は少ないと思います。 # ただし、ゼロとは言いきれません。(^ ^;) たとえば、ですが「例えば、bashを替えたら」が openSUSE から配布されている ものではなく GNU から配布されている bash のソースを使ってコンパイルした ものに入れ替える、という意味で考えてみましょう。以下をご覧いただければ分 かると思うのですが https://build.opensuse.org/package/files?package=bash&project=openSUSE%3A11.3 openSUSE から配布されている bash にはいろいろなパッチが当てられていたり します。それぞれがどんな意味を持つパッチで、自分が使う場合に必要なのか否 か理解していないまま GNU で配布している素のままの bash に入れ替えてし まったら…悲惨な結果になるということぐらいは容易に想像つくと思います。 ディストリビューションつるしのパッケージを利用するか、自分でソースからコ ンパイルしたものを使うかについては、正解というものはないと思いますが、後 者を選択するのであればそれなりの知識 - 少なくとも、自分がやっている作業 の意味を理解できること - は必要でしょう。以下、ざっくりとそれぞれのメ リットとデメリットを。 # 異論がある方もいるとは思いますが…。(^ ^;) ・ディストリビューションつるしのパッケージを利用 + 複雑な依存関係などに悩まされることが少ない + ディストリビューションのパッケージ管理システムで管理ができる - アップストリーム(ソフトウェアのそもそもの開発元)や他ディストリビュー ションでの情報をそのまま使うことができないことが多い - 細かいチューニングなど、必ずしも自分の希望通りになっていない場合がある ・自分でソースからコンパイルしたものを使う + アップストリームの公式情報をそのまま利用できる + 自分の望み通り、細かいチューニングが可能(*) - 依存するアプリケーションやライブラリなども含め、全部自前で導入しなけれ ばいけなくなる場合もある - セキュリティパッチ当ても含め、アップデートなどは全部自力でしなければい けなくなる (*) もちろん、そのためにはそのアプリを十分理解しておく必要があります。 個人的には、まずはソースからのコンパイルや設定を一からしてみることでしっ かり勉強して仕組みを理解し、しかる後にディストリビューション吊るしのパッ ケージを利用して手を抜けるところは手を抜いていく…という順番で進んでいっ た方が身につくとは思いますが、そうなるとディストリビューションを使う恩恵 はあまり得られないでしょうし、茨の道を歩んでいく覚悟も必要になってくると 思います。 さらに、前者を選んだ場合と後者を選んだ場合とでは、適切な相談場所が変わっ てきます。ディストリビューションつるしのパッケージを利用するのであればそ れぞれのディストリビューションごとの ML やフォーラムで聞いた方が適切な情 報が得られる可能性も高くなるでしょうが、自分でソースからコンパイルしたも のを使うのであればそのアップストリームプロジェクトの ML やフォーラムで聞 いた方が適切な情報が得られる可能性は高くなるでしょう。 どうしたらいいか、聞く人によって答は違ってくるでしょう。10人中8人が「こ うした方がいい」と答えたからといって、それが正解になるかどうかは分かりま せん。(本も含め)他人にできるのはあくまで「お勧め」することだけです。選択 するのは常に自分だということは理解しておいてください。 -- _/_/ Satoru Matsumoto - openSUSE Member - Japan _/_/ _/_/ Marketing/Weekly News/openFATE Screening Team _/_/ _/_/ mail: helios_reds_at_gmx.net / irc: HeliosReds _/_/ _/_/ http://blog.zaq.ne.jp/opensuse/ _/_/ -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org

松本です。 いろいろコメント付けたいこともあるのですが、いっぺんにあれもこれもだと消 化不良を起こすでしょうから、大切なことだけいくつか。 (2010/08/17 5:04), m.umeda@kzc.biglobe.ne.jp wrote:

正直に言えば、リポジトリって何？っていうレヴェルなんです。

＜ネットより＞

容器、貯蔵庫、倉庫、集積所などの意味を持つ英単語。何らか のデータや情報、プログラムなどが体系だてて保管されている 場所。アプリケーションやシステムの設定情報がまとめて記録 されているファイルやフォルダのことや、複数の開発者が参加 するプログラミング環境においてソースコードや仕様に関する 情報をまとめて保管してくれるシステムなどを指すことが多い。

--------------------------------------------------------

なんとなくわかった事は、アプリや、ソフトウエア、修正・ア ップデートファイルの・・・サーバー？？？

何故、幾つも存在して、どれかを選び、登録するのか？どれを 登録するのか？何故、１個じゃあいけないのか・・・？

この辺りを調べて質問したのですが、良く理解出来なかったで す。

まさに調べられた情報そのままで、これを噛み砕いて説明するのは難しいです ね。(^ ^;) ものすごく乱暴な理解にはなりますが、最初のうちは「インストー ルできるアプリケーションなどが置かれているところ」という理解でいいかもし れません。 いくつも用意されているのは、それぞれ用途が違っているということ。 たとえば、自動車工場の部品置き場を想像してみてください。エンジン周り、サ スペンション周り、内装やアクセサリ周りなど、それぞれごちゃごちゃにならな いよう、整理分類されて保管されているはずですよね。リポジトリも、関係の深 いアプリケーションや依存関係のあるライブラリなどをひとまとめにして、それ ぞれ分類されて用意されています。

※初心者で、分らないから、全てのリポジトリを有効にしてしまうのはまず いのでしょうか？

これは完全に間違った方向の考え方です。 そのリポジトリを有効化する明確な理由がない限り、余計なリポジトリは有効化 しておかないほうがいいです。「分からない」ということは明確な理由がないと いうことなので、有効にすべきではありません。 # ここでいう「明確な理由があるかないか」とは、あなた自身が「○○というア # プリケーションを入れたいから、このリポジトリを利用する」と、ちゃんと理 # 解しているかどうかです。

ええ。御見せするのは筋だとは思うのですが、文字化けがひどく 英数字も読めないものも結構見受けます。login:とかは????:だ ったり。パスワードも

????????:

だったりです。# zypperが見えてるかと思うと、?????error??? とかです。GUI、入れてないので。。。

ここだけでも突っ込みどころはいくつかあるのですが、とりあえず文字化け関係 をどうにかする方法をいくつか。 1) 一般ユーザ権限でコンソール (ローカル環境での CUI) を操作していると (openSUSE を日本語でインストールしてある場合) LANG 環境変数が ja_JP.UTF- 8 となっているため、一部メッセージが文字化けすることになると思います。で すが、特に設定をいじっていないのであれば root なら LANG は POSIX となっ ているはずなので、出力されるメッセージは全て英語になる代わり、文字化けは 起こらないはずです。root 権限での操作を行う際は su - と "-" を付けて権限 を切り替え、その後の操作を行うようにしてください。 2) フレームバッファが有効 (コンソール画面の背景に緑色の壁紙が見えてい て、左上に Geeko (カメレオン) のアイコンが見えている状態) になっているよ うなら、たとえば fbiterm などを導入すればコンソールでの日本語表示も可能 となります。 3) 他に GUI で操作できる PC があり、ネットワークがつながっているのであれ ば、openSUSE のマシンにリモートから SSH で入って操作する。 # デフォルトインストールだとリモートからの SSH 接続ははじくようになって # いるはずなので、ファイアウォールを開いてやる必要はあります。 # ただ、これができるようにしておけば、エラーメッセージなど、操作してい # る PC 上でコピペしたりできるようになりますから、なにかと便利でしょう。 …以上のうちで「これならできそう」というものを選んで試してみてください。

有益なご意見ありがとうございます。iptables,selinuxなどはどこかで貰って来て インストールします。有り難うございました。

別ポストで今井さんもおっしゃってますが、失敗から学べることも多いでしょう。 # もっとも、失敗したまま終わってしまったのではあまり学んだことにはならな # いと思います。どうして失敗したのかちゃんと理解できて始めて「学んだ」こ # とになるのだと思います。 ですが、以下の点は気をつけておいてください。 ・あれこれやっているうちに最悪システムがおかしくなったとしても再インス トールからやり直してしまえる環境を用意して、そこでテストする。 # これは、自分自身がダメージを受けないため ・ネットワーク的に外部からアクセスできるような環境でのテストはしない # 最低限、ルータなどをはさんで外部からのルートは遮断しておく # これは、よそ様に迷惑をかけないために必須と考えましょう けっこう前の話で、現在インターネット上でそのニュースソースを探すことが難 しくなってしまっているのですが、ある日本人が、いきなり FBI の家宅捜索を 受けるという事件が起こったことがあります。 本人まったく身に覚えがなく、いきなりアメリカ人の捜査官が部屋に入ってきて 「Freeze! (動くな！)」と言ってきたものだから、面食らったのは言うまでもあ りません。結局、自宅にあったコンピュータ一式を押収されたとのこと。 これはですね、その日本人が興味本位で Linux 自宅サーバを立て、公開してい たものが、いつの間にか乗っ取られていて、本人の知らない間に踏み台として利 用され、そこから米ペンタゴンに向けてサイバー攻撃が仕掛けられていたため だったからなのだそうです。 悪意を持つものからすれば、Windows マシンを乗っ取るより、Linux マシンを 乗っ取った方がはるかに使い道がある。そして、興味半分で立てて公開したもの の、そのまま放置されているようなサーバほど都合のいいものはありません。こ のことは肝に命じておいてください。 -- _/_/ Satoru Matsumoto - openSUSE Member - Japan _/_/ _/_/ Marketing/Weekly News/openFATE Screening Team _/_/ _/_/ mail: helios_reds_at_gmx.net / irc: HeliosReds _/_/ _/_/ http://blog.zaq.ne.jp/opensuse/ _/_/ -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org

To:梅田さん 桔梗@夏ばてです。 今度のOSCでLinuxセキュリティについて語りますので参考にしてください。 ネタ的にはサーバー公開時の注意事項とか、FWとかやるつもりです。 クライアントサイドも当然やりたいけど資料作成が間に合うかどうか。 Masaru Imai さん：

今井です。

(2010年08月17日 05:04), m.umeda@kzc.biglobe.ne.jp wrote:

...

ええ。御見せするのは筋だとは思うのですが、文字化けがひどく 英数字も読めないものも結構見受けます。login:とかは????:だ ったり。パスワードも

????????:

だったりです。# zypperが見えてるかと思うと、?????error??? とかです。GUI、入れてないので。。。

コンソール(CUI、CLI)のみの環境なんですね。 これについてはfbiterm等を使うことで日本語表示も可能です。

でも.... 知識が無いのであればまずは高望みせず、ハードル下げる方法も考えて おいた方が良いです。 サーバ公開が目標だとしても、まずはLinux(openSUSE)に慣れると。 そのためにGUI環境入れて、何をどうすべきなのか情報収集につとめるとか。

...

有益なご意見ありがとうございます。iptables,selinuxなどはどこかで貰っ

て来て

...

インストールします。有り難うございました。

えーっと一応、フォローしとかないとマズいかなということで....

iptablesどこかで貰ってくる必要はありません。 iptables自体既に有りますので。 openSUSE標準のSuSEfirewall2自体がiptablesを利用しています。 独自にルール作ってiptables呼び出してセキュリティホール生み出すよりは、 まず標準装備のSuSEfirewall2を利用してみることをおすすめします。

selinuxにしても環境用意されているはずですけど、apparmorも有るので....。

欲張りは禁物。 ご自分の能力に合わせていくのが無難です。

-- /***************************************************/ /* */ /* Masaru Imai (mforce4@gmail.com) */ /* */ /* BLOG:http://mforce4.blogspot.com */ /* WEB:http://sites.google.com/site/opensusesmemo/ */ /* */ /***************************************************/ -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org