Debian jessieでInstalling Guest Additionsをインストール

VirtualBoxにDebian(jessie)をインストールした際の「Installing Guest Additions」のインストール。

自動起動スクリプトを実行するだけではダメだった為、以下に手順をメモ。


いくつかモジュールが必要なので事前にインストールする。
（build-essential はカーネル構築する際などでお馴染み）

# apt-get install build-essential module-assistant
# m-a prepare

Install Guest Additions をマウントする。
（マウント方法は色々あるので詳細割愛）

自動起動スクリプトを実行する。

# cd /media/cdrom0 ※Installing Guest AdditionsのISOイメージのマウント先へ移動
# sh VboxLinuxAdditions.run

ChromeにUser Agent Switherをインストール

Ubuntu上で作業していますが、Chromeならどのプラットフォームでも同じです。

■インストール

Chrome起動。

右上のメニューアイコン＞その他のツール＞拡張機能 をクリック。

「他の拡張機能を見る」をクリック。

左上の「ストアを検索」欄で user agent switcher で検索＆インストール。
（https://www.esolutions.se 提供のものを使用）

■使い方

Chromeの右上に地球儀のようなアイコンが追加されます。

例： Linux機でエージェント指定をWindowsにする場合。
クリックしてメニューを開き、DefaultをChrome on Windowsに変更。

ufwのデフォルト

■環境

Debian8.1 (jessie)
ufw 0.33-2

■ufw default denyでも内から外へは許可状態

以下のように設定した場合でも内から外への接続開始パケットは許可されている。

# ufw default deny
# ufw reset
# ufw enable

直接iptablesを叩いて設定状況を見てみると状況が確認できる。

# iptables -L | less

ちなみに名前解決せず直接IPアドレスで見たい場合はオプションに -n を追加。

# iptables -L -n | less

結果を見てみると、以下のような行が確認できる。

Chain INPUT (policy DROP)
target prot opt source destination
ufw-before-logging-input all -- anywhere anywhere
ufw-before-input all -- anywhere anywhere
ufw-after-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-reject-input all -- anywhere anywhere
ufw-track-input all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
ufw-before-logging-forward all -- anywhere anywhere
ufw-before-forward all -- anywhere anywhere
ufw-after-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-reject-forward all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-output all -- anywhere anywhere
ufw-before-output all -- anywhere anywhere
ufw-after-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
ufw-reject-output all -- anywhere anywhere
ufw-track-output all -- anywhere anywhere

注目箇所は Chain OUTPUT (policy ACCEPT)。
これがデフォルトACCEPTになっている為、内から外へは許可。
Chain INPUT、Chain FORWARDはpolicy DROPとなっているので通さない。

1. Chain INPUT (policy DROP)：
   1. 外部からNICに入ってくるパケットは全て破棄。DROPなのでログにも残さない。
2. Chain FORWARD (policy DROP)：
   1. 外部(NIC1)～内部～外部(NIC2)といった通過していくパケットは全て破棄。DROPなのでログにも残さない。
      所謂ゲートウェイやルータの用途で使う場合が多い（例外もあった記憶。この辺は少しややこしい）。

ufw default deny にしたのにパケットが通るぞ？と気になる場合はこの辺を確認するとスッキリします。

スクリプトからufw reset等実行時にｙ／ｎの問い合わせで止めない方法

Debianインストール後の初期導入時などでスクリプトで一括設定したい場合など。

ufwは問い合わせ無効オプション(force的な)がないようなので、y/nの問い合わせでスクリプトが止まってしまう。

そこで以下のように対応。
※他にもいろいろ方法はありそうですが、この辺が簡単でわかりやすい感じ？。

# echo "y" | ufw reset

他、enable等も同様で、

# echo "y" | ufw enable

なんということはないです・・・パイプで y を送り込むだけです。

ufwでIPv6を使わない

■環境

Debian8.1 (jessie)
ufw 0.33-2

■IPv6を使わない設定

ufwの設定ファイルで変更。
/etc/default/ufw をエディタで開き IPV6=yes を no に変更して保存。

/etc/default/ufw

IPV6=no

変更の反映は、

# ufw reload

もしくは起動プロセス用のスクリプトが存在していれば、

# /etc/init.d/ufw restart

ないしはマシンの再起動。

■備考

通常は有効のままで良いと思います。特に実害はなし。
特に昨今の高性能なデスクトップマシンでは有効のまま使用を私的には推奨。
一部のプロバイダ系のサイトではipv6が有効化されていないとブラウザでアクセスがうまくできないところもあったりします。


無効化してipv6のルールをなくせば動作がわずかに軽量化する可能性はありそうですが。実際ベンチでも取らないと効果はなんともいえません。
低性能なマシンではスループットを上げる為に模索する価値はあるかもしれません。

ufw基本コマンド

デスクトップ用途ならiptablesよりお手軽そうなのでちょっとメモ。
サーバ用途でも構成が複雑ではない＆若干緩くても良いなら使えそうかも。

■環境

Debian8.1 (jessie)
ufw 0.33-2

■ufw基本コマンド

●有効化

# ufw enable

外部からのアクセスはデフォルトで全て遮断するのでWebサーバやSSHサーバ類を当該機で稼動している場合、外部からアクセス不能になります。
当該機から外部へのアクセスは許可されているので、当該機からのWeb閲覧などは可能。
※iptablesで言うところのINPUT/FORWARDがDROPに、OUTPUTがACCEPTになります）

デスクトップ運用時ならこの状態でとりあえずは外部からは防護されています。
サーバ運用時は事前にSSHポートの設定をしておかないとリモートログイン不能になるので注意。※当該機の実機コンソール作業が必要になります。

●無効化

# ufw disable

全パケットが通過許可されます。
サーバ運用時は一瞬でもこの状態は危険と認識しておいた方が無難です。
※iptablesで言うところのINPUT/OUTPUT/FORWARDが全てACCEPTになります。
※iptablesのデフォルトが全許可なのでこの状態になるのだと思います、多分。

●リセット

# ufw reset

登録されているルールが消去され、ufwが無効化。全パケット許可状態。
結果的にufw disaleと同じ状態になるので注意。

●デフォルトルール変更

例：外部から当該機へ接続のデフォルトポリシーを禁止にする。
とりあえずデスクトップ/サーバともにdeny推奨。
※ただし事前にSSHでのリモート接続許可ルールを追加しておかないと接続不能になるので注意。

# ufw default deny

※iptablesで言うところのOUTPUTの指定。INPUT/FORWARDの変更をしたい場合はiptablesを叩くことになる？

●SSHポート接続を許可

相手を問わず当該機へのSSHポート（22）接続開始を許可。

# ufw allow 22/tcp

●特定IPアドレスからSSHポート接続を許可

fromを使うと接続元を指定できる。
例：192.168.10.111からSSHポート（22）への接続開始を許可。

ufw allow proto tcp from 192.168.10.111 to any port 22

●特定ネットワークからSSHポート接続を許可

例：192.168.10.0/24からSSHポート（22）への接続開始を許可。

ufw allow proto tcp from 192.168.10.0/24 to any port 22

●特定ネットワークから特定アドレスへSSHポート接続を許可

当該機にNICが複数ある場合などで、１つのNICのみにSSH接続を許可したい場合。
例：192.168.10.0/24から当該機のNICアドレス192.168.10.1 SSHポート（22）への接続開始を許可。

ufw allow proto tcp from 192.168.10.0/24 to 192.168.10.1 port 22

ただしこのようなケースの場合iptablesだとeth0やeth1という風に受信I/Fを明示指定できるのでその方がよりセキュアだと思います。

●ポート範囲で指定する

外部から当該機のポート1000～2000へのTCP接続開始を許可する。
to from指定の無い省略形では「外部から当該機へ」という暗黙ルールになっている様子。

ufw allow 1000:2000/tcp

UDPの場合は以下のように。

ufw allow 1000:2000/udp

■備考

結局は簡単さとセキュアさのトレードオフ。

多くのデスクトップ用途では現状簡単に設定できる点を優位に見るかもしれないので、ufwの価値はあると思います。

サーバ用途でもおおむね設定可能だと思いますが、細かいことにこだわるとやはりiptablesを叩くことになるかもしれない。
うまく併用すると少し楽ができそうな気がします。

djbdnsインストール＆設定

使用Linuxディストリビューションは Debian8.1(jessie)

ただし起動プロセス管理に systemd は使わず、sysvinit使用に戻してある。
    参考： Debian8でデフォルトのSystemdを従来のsysvinitに戻す

■概要

djbdnsの動作には daemontools(0.70 以上)、ucspi-tcp のコンパイル＆インストールが必要。
まず先にこれらをインストール。

• daemontools
  • 起動管理を行うデーモン管理ツール。
    dnscache、tinydns等の起動はこのツールによって行われる。また万一停止した場合も自動で再起動する。
• ucspi-tcp
  • djbdns群で利用されるネットワークモジュール群。

djbdnsは主に次の２つで構成。

• tinydns （DNS サーバ）
  • 保持しているレコード（静的データベース）の情報のみを返答する。
    　→ tinydns自身で管理しているドメイン情報しか返答しない
    再帰検索はしない。
    　→ 自分の管理外のドメインは一切返答しない。
    
    つまりこれ単体では他のインターネットドメイン名の解決はできず、管理下にある(権威を持つ）ドメインしか名前解決しないというシンプルな動作。
• dnscache （DNSキャッシュ）
  • クライアントの問い合わせによって再帰検索を行う。
    tinydnsやインターネット上の他のDNSサーバに問い合わせて名前解決する。

bind系はDNSサーバ/キャッシュ機能をあわせ持つのに対して、djbdns は tinydns と dnscache に機能が分かれている。
これによりシンプルで高速動作、不具合が皆無という実績を持つ。

tinydns と dnscache は共にポート53を使う。同IPアドレスで待ち受けはできない。

今回待ち受けアドレスは次のように設定する。

サービス	IPアドレス	備考
tinydns	127.0.0.1
dnscache	192.168.2.1	搭載NICのアドレス

tinydns と dnscacheは同じマシン上で動作させる。


参考：djbdns公式サイト： http://cr.yp.to/djbdns.html

■ビルド環境準備

事前にコンパイラ等のビルドツール類をインストール。

# apt-get install build-essential

■daemontools インストール

インストール先を /var/local/package とする。

# mkdir -p /var/local/package
# chmod 1755 /var/local/package
# cd /var/local/package

ダウンロード＆展開。※昔とURLが変わってる。

# wget http://cr.yp.to/daemontools/daemontools-0.76.tar.gz
# gunzip daemontools-0.76.tar
# tar -xpf daemontools-0.76.tar
# rm -f daemontools-0.76.tar
# cd admin/daemontools-0.76

Debianでは次が必要。

# echo gcc -O2 -include /usr/include/errno.h > src/conf-cc

コンパイル＆インストール。

# ./package/install

■ucspi-tcp インストール

ダウンロード＆展開先を /usr/local/src とする。

# cd /usr/local/src

ダウンロード＆展開。

# wget http://cr.yp.to/ucspi-tcp/ucspi-tcp-0.88.tar.gz
# gunzip ucspi-tcp-0.88.tar
# tar -xf ucspi-tcp-0.88.tar
# rm -f ucspi-tcp-0.88.tar
# cd ucspi-tcp-0.88

Debianでは次が必要。

# echo gcc -O2 -include /usr/include/errno.h > conf-cc

コンパイル＆インストール。

# make
# make setup check

■djbdns インストール

ダウンロード＆展開先を /usr/local/src とする。

# cd /usr/local/src

ダウンロード＆展開。

# wget http://cr.yp.to/djbdns/djbdns-1.05.tar.gz
# gunzip djbdns-1.05.tar.gz
# tar -xf djbdns-1.05.tar
# rm -f djbdns-1.05.tar
# cd djbdns-1.05

Debianでは次が必要。

# echo gcc -O2 -include /usr/include/errno.h > conf-cc

コンパイル＆インストール。

# make
# make setup check

svscanが動作しているか確認。

# ps auxw |grep svscan
root 9127 0.0 0.2 2260 672 ? Ss 20:17 0:00 /bin/sh /command/svscanboot
root 9129 0.0 0.3 2180 940 ? S 20:17 0:00 svscan /service
root 12256 0.0 0.7 5012 2172 pts/1 S+ 21:22 0:00 grep svscan

svscanは /etc/inittab 登録され自動起動されるしくみ。

# cat /etc/inittab | grep svscan
SV:123456:respawn:/command/svscanboot

djbdns実行用アカウント作成
/etc/passwd に追記。

dnslog:*:530:530::/var/local/djbdns:/bin/false
dnscache:*:531:530::/var/local/djbdns/dnscache:/bin/false
tinydns:*:532:530::/var/local/djbdns/tinydns:/bin/false
walldns:*:533:530::/var/local/djbdns/walldns:/bin/false

/etc/group に追記。

djbdns:*:530:

設定用ディレクトリ作成

# mkdir /var/local/djbdns
# cd /var/local
# chgrp djbdns djbdns
# chmod 2775 djbdns

補足：
inittab での起動/再起動をさせたくない場合は /etc/inittab の行末に追加された行を以下のようにコメントにする

# SV:123456:respawn:/command/svscanboot

手動起動させる場合 起動スクリプトが用意されている。

# csh -cf '/command/svscanboot &'

■tinydns 設定

□待ち受けアドレス設定

待ち受けIPアドレス127.0.0.1で動作させる。
外部からの名前解決はdnscacheを経由してtinydnsに問い合わせとする。

待ち受けアドレス（127.0.0.1）の設定は１回設定すればOK。

# tinydns-conf tinydns dnslog /var/local/djbdns/tinydns 127.0.0.1

もしも以下のようなエラーが出る場合は

tinydns-conf: fatal: unable to create /etc/tinydns: file already exists

以下でディレクトリを削除してからやり直す。

# rm -r /var/local/djbdns/tinydns
# tinydns-conf tinydns dnslog /var/local/djbdns/tinydns 127.0.0.1

待ち受けアドレスの設定確認

# cat /var/local/djbdns/tinydns/env/IP
127.0.0.1

既に設定済みの待ち受けアドレスを変更する場合。
例：tinydnsの待ち受けアドレスを192.168.1.1に変更する場合。

# cd /var/local/djbdns/tinydns/env
# echo "192.168.0.1" > IP
# svc -t /service/tinydns    ※サービス停止

svscan(inittab経由)により５秒以内にtinydnsが自動起動する。

□ゾーンファイルの設定

ゾーンファイル /var/local/djbdns/tinydns/root/data をエディタで修正後、makeを行いdata.cdbを生成することで反映する。
tinydnsの再起動は必要無し。

設定例の状況

tinydnsが動作しているマシンのFQDN	ns01.mydomain.net
tinydnsが動作しているマシンのIPアドレス	192.168.2.1
tinydnsが管理するドメイン/ネットワーク	mydomain.net 192.168.2.0/24
tinydnsが名前解決を管理するマシンのFQDN	pc01.mydomain.net pc02.mydomain.net pc03.mydomain.net
tinydnsが名前解決を管理するマシンのIPアドレス	192.168.2.201 192.168.2.202 192.168.2.203

ゾーンファイル設定例

修正先 /var/local/djbdns/tinydns/root/data	設定内容
.2.168.192.in-addr.arpa:192.168.2.1:a:259200	tinydnsサーバ192.168.2.1がネットワーク192.168.2.0/24の権威（名前解決する責任）を持つことを指定。
.mydomain.net:192.168.2.1:ns01.mydomain.net	ns01.mydomain.net が ドメイン mydomain.net の権威（名前解決する責任）を持つことを指定。
.1.2.168.192.in-addr.arpa:192.168.2.1:a:259200 .100.2.168.192.in-addr.arpa:192.168.2.1:a:259200 .101.2.168.192.in-addr.arpa:192.168.2.1:a:259200 .102.2.168.192.in-addr.arpa:192.168.2.1:a:259200	逆引き問い合わせ時にネームサーバ192.168.2.1が応答すべきin-addr.arpaアドレスを記述。 ※192.168.2.100～102の３台。
=ns01.mydomain.net:192.168.2.1 =pc01.mydomain.net:192.168.2.201 =pc02.mydomain.net:192.168.2.202 =pc03.mydomain.net:192.168.2.203	正引き/逆引きき問い合わせ時用のレコードを記述。 ※pc01～pc03の３台

makeしてdata.cdbを生成。

# cd /var/local/djbdns/tinydns/root
# make

□svscanへの登録

# cd /service
# ln -s /var/local/djbdns/tinydns tinydns
# sleep 5 ※tinydns自動起動まで約５秒かかるので念の為待っておく

起動の確認。

# svstat /service/tinydns
/var/local/tinydns: up (pid 1790) 24 seconds

上記を数回実行してみて pidの変化を見る。
毎回変化しているようだと正常に起動できていない（inittab経由でsvscanから起動失敗/再起動を繰り返している）。

原因としては待ち受けIPアドレス127.0.0.1のポート53がBINDなど他のアプリケーションで既に使用されていないか確認。
他、/var/local/djbdnsのディレクトリパーミッションの確認など。

■dnscache設定

□待ち受けアドレス設定

dnscacheを待ち受けIPアドレス192.168.2.1で動作させる。これは１回設定すればOK。

# dnscache-conf dnscache dnslog /var/local/djbdns/dnscache 192.168.2.1

もしも以下のようなエラーが出る場合は

dnscache-conf: fatal: unable to create /var/local/djbdns/dnscache: file already exists

以下でディレクトリを削除してからやり直す。

# rm -r /var/local/djbdns/dnscache
# dnscache-conf dnscache dnslog /var/local/djbdns/dnscache 192.168.2.1

待ち受けアドレスの確認方法。

# cat /var/local/djbdns/dnscache/env/IP
192.168.2.1

既に設定済みの待ち受けアドレスを変更する場合。
例：tinydnsの待ち受けアドレスを192.168.1.1に変更する場合。

# cd /var/local/djbdns/dnscache/env
# echo "192.168.1.1" > IP
# svc -t /service/dnscache ※設定の反映
# sleep 5  ※念の為、確実に再起動待ち

□名前解決問い合わせ許可IPアドレスの指定

# cd /var/local/djbdns/dnscache/root/ip
# touch 192.168.2

これで192.168.2.0/24 に許可される。
※/var/local/djbdns/dnscache/root/ip ディレクトリに作成したファイル名（中身は空）で許可される
※接続許可IPアドレスの修正ではdnscacheの再起動は必要ない。

ちなみに設定法則は以下の通り。ファイルは複数配置可能。

touch 192.168.1.1	192.168.1.1に許可
touch 192.168.1	192.168.1.0/24に許可
touch 192.168	192.168.0.0/16に許可
touch 192	192.0.0.0/8に許可

□tinydnsとの連携設定

LAN内のマシン名解決をtinydnsに依頼する設定例。
ファイル名＝管理下のドメイン名で、中身のアドレスが名前解決を依頼するDNSサーバアドレス。

# cd /var/local/djbdns/dnscache/root/servers
# echo "127.0.0.1" >mydomain.net
# echo "127.0.0.1" >2.168.192.in-addr.arpa
# echo "127.0.0.1" >1.0.0.127.in-addr.arpa

実行したコマンド行	内容の意味
echo "127.0.0.1" >mydomain.net	ドメインmydomain.netの名前解決を127.0.0.1:53に依頼する。
echo "127.0.0.1" >2.168.192.in-addr.arpa	192.168.2.0/24の逆引きを127.0.0.1:53に依頼する。 これがないとWinクライアン等からのnslookupで192.168.2.0/24の逆引きができない。
echo "127.0.0.1" >1.0.0.127.in-addr.arpa	自分自身の逆引きを127.0.0.1:53に依頼する。 これがないとWinクライアントからのnslookupでDNSがunknownと余計なエラーを吐く。

□rootファイル修正

2005年の情報ではルートサーバーのひとつがIPアドレス変更され、初期設定ではルートサーバーのIPアドレスリストに反映されていなかった。2015年時点でもリスト内容は反映されていないようなので手動で修正する。

ファイル名 @ がルートサーバのリスト。
root/servers/@ ファイルを修正する。198.41.0.10 を192.58.128.30 に修正。

/var/local/djbdns/dnscache/root/servers/@

198.41.0.4
128.9.0.107
192.33.4.12
128.8.10.90
192.203.230.10
192.5.5.241
192.112.36.4
128.63.2.53
192.36.148.17
192.58.128.30
193.0.14.129
198.32.64.12
202.12.27.33

□svscanへの登録

# cd /service
# ln -s /var/local/djbdns/dnscache dnscache
# sleep 5 ※自動起動まで約５秒かかる

起動の確認をしておく。

# svstat /service/dnscache
/var/local/dnscache: up (pid 1766) 11 seconds

上記を数回実行してみて pidの変化を確認する。毎回変化しているようだと正常に起動できていない。
原因としては待ち受けIPアドレスのポート53がbindなど他のアプリケーションで既に使用されている可能性など。

□/etc/resolv.conf修正

/etc/resolv.conf のnameserver行を以下に修正

192.168.2.1は搭載NICのアドレス。
192.168.2.2は上位のDNSアドレス（又はゲートウェイルータのDNSキャッシュアドレス）。

/etc/resolv.conf

search mydomain.net
nameserver 192.168.2.1
nameserver 192.168.2.2

djbdns は10分毎に、もしくは 10000 回の利用毎に/etc/resolv.confが変更されているかチェックするとのこと。
一般的なほとんどのプログラムは開始時に /etc/resolv.conf を読むだけで再起動されないかぎり読み直ししない事が多い。

dnscache稼動中に修正し＆即テストする場合は以下で再起動させる。

# svc -t /service/dnscache
# sleep 5 ※再起動待ち

■動作確認

これで期待通り名前解決しているかnslookup等で確認する。


ログの保存先はそれぞれ、

/var/local/djbdns/dnscache/log/main/current
/var/local/djbdns/tinydns/log/main/current

となっている。

このままだと日付がみにくいので以下のようにすると多少見やすい。

dnscacheのログは以下のように閲覧

# cat /var/local/djbdns/dnscache/log/main/current | /usr/local/bin/tai64nlocal | less

tinydnsのログは以下のように閲覧

# cat /var/local/djbdns/tinydns/log/main/current | /usr/local/bin/tai64nlocal | less

■うまく動作しない場合

bind等他のアプリケーションがtinydns、dnscache稼動アドレスのポート５３で動いているとうまくいかないので再確認。

# svstat /service/tinydns
/var/local/tinydns: up (pid 1790) 118 seconds

# svstat /service/dnscache
/var/local/dnscache: up (pid 1766) 115 seconds

それぞれ５秒ごとに実行してみて pid が変化しているか確認。変化している場合、起動に失敗しdaemontoolsによる再起動を繰り返してる。pidが変動する方の設定を再度確認する。

/etc/resolv.conf 修正から１０分ほど時間が経過してないとうまくいかない場合がある。その際はdnscacheを再起動してみる。

dnscacheの再起動。

# svc -t /service/dnscache
# sleep 5 ※再起動待ち

■補足

起動プロセス中はDNS解決ができない点に注意。

理由は/etc/rc3.d 配下の起動スクリプト類が全て実行完了後、login画面表示されるタイミング付近でinittab経由でsvscanがrespaen。
その後svscanからtinydns、dnscacheが起動してくるプロセス。

起動プロセス中に名前解決をさせたい場合はちょっと工夫が必要になる。
（svscanよりも前に手動でtinydns、dnscacheを起動させ、起動待ちした上で名前解決が必要なスクリプトを動かす等）