最近やっと(今日ですが)皆様のおかげでサーバが動作しました(アパッチ、サンバ)

しかし、、ここで問題が。サーバとして起動させようかと思ったのですが
巷ではrootユーザーは危険が伴うので・・・うんぬん・・・という話を
よく聞きます。
rootで起動してそのまま置いておくのは問題があるのでしょうか。
サンバとアパッチ・・・今後qmailなども同時に起動したいとおもっているのですが
ROOTユーザでログインすればいいのか否か、の部分で迷っています。
是非教えてください。お願いします。

A 回答 (2件)

ブートのたびにログインして手で起動するのは面倒なのでブート時に自動起動しておけばいいのです。



この際に問題になるパーミッションとは各種のデーモンソフトの実行ファイルのパーミッション(mail系のプログラム)か、rootで起動してから別のユーザ権限になりかわる実装のプログラム(apacheなど)の問題です。

一般にはanonymous ftpやWWWサーバは不特定多数の人間が利用できるため、セキュリティ強化の観点からrootでないユーザで実行するようにかんがえられています。

これに対して、mail系のプログラムは一般ユーザが起動してもroot権限になるように設定されているものもあります。

これに関してはどのプログラムをどのように使おうとしているかが分からないので答えようがありません。

ただし、質問の文面を読む限りloginして起動するように見えるので、適切な設定をしたあと、ブート時に自動的に起動するようにしておくのが王道(普通ともいう)です。
    • good
    • 0

LINUXだろうと思って回答します


ログインしなくても起動していますので・・・

通常ROOTになる場合は
管理ユーザーでログイン後 su -l でrootになりません?

ログインしたままほっておくのは危険です。
必ずログアウトしてください。
デーモンは起動してますから、ログアウトしてもかまいません。
    • good
    • 0

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aと関連する良く見られている質問

Qqmailメールサーバで経由個所を相手に知られないようにするには?

Linuxでqmailサーバを構築・運用しています。
このメールサーバで相手にメールを送信すると、メールのヘッダーに
「Received: (qmail xxxxxx invoked from network)」と経由個所が記述され、
相手に、qmailサーバを使っていることが分かってしまいます。

qmailに、セキュリティーホール(脆弱性)があるかどうかは分かりませんが、
念のために、相手に「qmailから送信した・・・」という上記の情報を
(メールサーバ側で)メールヘッダーに記述しないで、メールを送信するようにしたいのですが、
その方法についてお教えください。

よろしくお願いします。

Aベストアンサー

ちょいとYahooのSMTPとお話してみましたが、聞いた事の無い応答を返してきますね

YSmtpって言う名前みたいです。
結構オリジナル使ってる所ってあるのかもしれませんね。
私が知ってるオリジナルってあとはNTT DocomoのGrimぐらいですけど(他の携帯電話キャリアはqmailやsendmailを使ってました。カスタマイズはしているでしょうけど)。
ちなみにこんな応答を返してきました。

Trying 64.56.167.32...
Connected to mta102.mail.yahoo.co.jp.
Escape character is '^]'.
220 YSmtp mta102.mail.yahoo.co.jp ESMTP service ready
HELO
250 mta102.mail.yahoo.co.jp
HELP
250 OK. Yahoo! MTA
451 Timeout
Connection closed by foreign host.


ちなみにDeriverd自体はRFCで決められていたはずなのでサーバ種別はともかく、配送経路は表示しておかないといろいろマヅイです。
少なくとも私がメールサーバ管理者であればそのようなサイトからの配送はブロックするか、相手のrootに文句言いますけど(匿名メールなどの問題がありますから)。

ちょいとYahooのSMTPとお話してみましたが、聞いた事の無い応答を返してきますね

YSmtpって言う名前みたいです。
結構オリジナル使ってる所ってあるのかもしれませんね。
私が知ってるオリジナルってあとはNTT DocomoのGrimぐらいですけど(他の携帯電話キャリアはqmailやsendmailを使ってました。カスタマイズはしているでしょうけど)。
ちなみにこんな応答を返してきました。

Trying 64.56.167.32...
Connected to mta102.mail.yahoo.co.jp.
Escape character is '^]'.
220 YSmtp mta102.mail.yahoo....続きを読む

Q内部メールサーバと外部メールサーバを分けない?

http://www5e.biglobe.ne.jp/~aji/3min/ss/ss12.html

解答には、おねーさんのセリフとして
「メールは無理に分けなくてもいいと言えばいいわね。」
とありますが、WebサーバやDNSサーバと比較してメールサーバは何故制限を比較的緩くできるのか?

Aベストアンサー

WebサーバとDNSサーバは外部用、内部用で中身
(登録されている情報)が違うので、分ける必要が
あるという考えでこの方は書かれていると思います。

運用方法によって違いますが、普通内部用DNSサーバには
内部のコンピュータの情報が登録されていますので、
外部用、内部用は分ける必要があります。

Webサーバについては全く同じ内容のサーバであれば
分ける必要はあまりないと思いますが、外部用、
内部用でコンテンツが全く違うのであれば分けるのは
当然です。

本題のメールサーバについてですが、私の意見としては
「外部用、内部用は分けるべき」
であると思います。

Web、DNSとは使い方がちょっと違うのですが、

・ユーザはメールの送受信を内部用メールサーバに対して行う。
・内部用メールサーバはユーザから要求があった社外へのメール送信を
 逐次外部用メールサーバに中継を行う。
・外部用メールサーバは内部用メールサーバから中継されたメールを
 社外のネットワークに中継する。また社外からの受信メールを
 内部用メールサーバに中継する。

こういう使い方ですね。

この構成であればF/Wになんらかの障害が発生しても
社内のメール送受信は止まりませんし、F/Wの外側に
社内から社内へのメールが流れることもありません。

>「メールは無理に分けなくてもいいと言えばいいわね。」
インターネット経由で内部の方がF/Wの外側のメールサーバを
利用するというニーズでもない限り、これは正しくないと思います。

WebサーバとDNSサーバは外部用、内部用で中身
(登録されている情報)が違うので、分ける必要が
あるという考えでこの方は書かれていると思います。

運用方法によって違いますが、普通内部用DNSサーバには
内部のコンピュータの情報が登録されていますので、
外部用、内部用は分ける必要があります。

Webサーバについては全く同じ内容のサーバであれば
分ける必要はあまりないと思いますが、外部用、
内部用でコンテンツが全く違うのであれば分けるのは
当然です。

本題のメールサー...続きを読む

QqmailでBackscatter登録された場合の対処

こんにちわ。

CentOS 5.3
qmail+vpopmail
でメールサーバを運用しています。

ある日、
たまたまブラックリストの一括チェックした所、
Backscatter.orgに登録されていました。

Blacklist Status Reason TTL ResponseTime
Backscatter.org LISTED Sorry ***.***.***.*** is blacklisted at Detail
Return codes were: 127.0.0.2 2100 140

Backscatter対策を取れば良い。
との事ですが、運用して結構な月日が経ち、
一日3000通位のメールのやり取りがされてるので、
心配で先に質問させて頂いてからサーバを触ろうと思いました。

chkuser2.0をあてれば良いとの事ですが、
既に運用中になるのですが、運用中でも可能でしょうか?
パッチあてて、インストールが普通と思いますが、
運用中の状態からパッチをあてる事は可能でしょうか?

なんとかブラックリストから解除されたいのですが・・・・

宜しくお願い致します。

こんにちわ。

CentOS 5.3
qmail+vpopmail
でメールサーバを運用しています。

ある日、
たまたまブラックリストの一括チェックした所、
Backscatter.orgに登録されていました。

Blacklist Status Reason TTL ResponseTime
Backscatter.org LISTED Sorry ***.***.***.*** is blacklisted at Detail
Return codes were: 127.0.0.2 2100 140

Backscatter対策を取れば良い。
との事ですが、運用して結構な月日が経ち、
一日3000通位のメールのやり取りがされてるので、
心配で先に質問させて...続きを読む

Aベストアンサー

qmail-smtpdは一度受け取ってからbounceするモデルが基本です
このbounceをバックスキャッタとして使われているのが本件

対策は
・localユーザの実在をチェックしてsmtpdの時点でrejectする
・全面的にbounceをやめる
のいずれかになるでしょう

chkuserは前者を実現するためのパッチ
見たところqmail-smtpdへのパッチのようですから、入れ替える時にtcpserverを止めておけば良いんじゃないですかね
元のqmail-smtpdはコピーをとっておけば良いでしょう
(qmail-smtpdはあくまでtcpserverからキックされるもんなので)

後者の手段としては、~alias/.qmail-defaultに「#」と書いておけば、存在しないユーザ宛のメールをbounceしなくなります

Qポートフォワーディング(Webサーバ経由してMySQLサーバへ)の方法

会社に下記構成がありまして、WindowsPC+Access2003+MyODBCを使用してLinuxMysqlサーバ上のデータを保守したいと思ってます。

・WindowsPC:192.168.0.1
・LinuxWebサーバ:192.168.1.2
・LinuxMysqlサーバ:192.168.1.3
*WindowsPCからSSHクライアントを使用してLinuxWebサーバは接続可能、LinuxMysqlへは接続不可能。
*LinuxMysqlサーバはLinuxWebサーバ以外の接続は受け付けない設定になっている。

専門知識のない素人なのですが、ベンダーさんに聞いても「ポートフォワーディングを使って下さい」としかヒントをくれず、ポートフォワーディングを調べても中々理解できずにいて、困ってしまいました。
接続のための設定方法についてアドバイスよろしくお願いします。

Aベストアンサー

sshにport forwarding機能があります。
設定はクライアントによって違いますが
sshクライアントがPCのlocalhostでポートを空けて待ち、そこへの通信はsshサーバ(LinuxWeb?)から指定されたIPアドレスの指定されたポートに飛ばされます
あとはssh port forwardingなどで検索し勉強して下さい

Q自サーバ経由の他のサーバへのリクエストを拒否したい

自宅でサーバを運用しています。

OS:Ubuntu 11.10
Apache:2.2.20-1ubuntu1.3

昨日、access.logを見ていると、妙なリクエストがありました。

xx.xx.xx.xx - - [25/Dec/2012:10:17:30 0900] "POST http://xxxxxxxx.com/?strGet=xxxx HTTP/1.1" 200 1234 "-" "-"

普通、httpdへのGET、POST、HEADなどのリクエストは、
GET /
GET /index.html
GET /image/foo.jpg
のように、DocumentRootからの自サーバの要素に対してのみ受け付けられると思っていたのですが、上記のように、POSTで全く別のサーバにリクエストを送信しており、コード200で正常に処理されています。

アクセス先の http://xxxxxxxx.com/ (パラメータなし)にJavascriptを切ってブラウザからアクセスしてみたら(危険な行為でしたが)、ウイルスバスターにブロックされました。

アクセス元のIPアドレス xx.xx.xx.xx は whois コマンドで調べたところ、オランダのホスティングサービスのようでした。

これは自分のサーバが何らかの踏み台にされたのでしょうか。
もしそうだとしたら、Apacheへのリクエストを、自サーバのリソースに限定する方法はないでしょうか。
GET http://foo.com/
POST http://bar.com/
などを阻止したいのです。

よろしくお願いします。

自宅でサーバを運用しています。

OS:Ubuntu 11.10
Apache:2.2.20-1ubuntu1.3

昨日、access.logを見ていると、妙なリクエストがありました。

xx.xx.xx.xx - - [25/Dec/2012:10:17:30 0900] "POST http://xxxxxxxx.com/?strGet=xxxx HTTP/1.1" 200 1234 "-" "-"

普通、httpdへのGET、POST、HEADなどのリクエストは、
GET /
GET /index.html
GET /image/foo.jpg
のように、DocumentRootからの自サーバの要素に対してのみ受け付けられると思っていたのですが、上記のように、POSTで全く別のサーバにリクエストを...続きを読む

Aベストアンサー

>mod_proxyはenabledになっていませんでした。

なるほど……。
「apache 踏み台」で追加検索してみました。

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1131819376
なんてのも。

ログに残っているサイズはトップページのhtmlのサイズと同一でしょうか?
# 画像とかは含みません。

う~ん…あとはちょっと見つかりませんね……。


人気Q&Aランキング

おすすめ情報