UNIXの定番環境と新環境

1 ：名無しさん＠お腹いっぱい。 ：01/09/23 17:12

主に、UNIXで稼動させているServerの環境についてのスレッドです。
安定？している定番環境と新しい技術を使った新環境とで分けてください。
私はこんな風に考えています。
定番環境
DNS Server：BIND 8.2.5
WWW Server：Apache 1.3.20
NEWS Server：INN 2.3.2
DHCP Server：Wide DHCP 1.4.0
NTP Server：NTP 4.1.0
Mail Server：sendmail 8.9.3
POP Server：Qpopper 4.0



新環境
DNS Server：BIND 9.1.3
WWW Server：Apache 2.0.16
NEWS Server：INN2.3.2
DHCP Server：Wide DHCP 1.4.0
NTP Server：NTP 4.1.0
Mail Server：qmail 1.03
POP Server：Cyrus imap Server 2.0.16

20 ：名無しさん＠お腹いっぱい。 ：01/09/23 22:46

>>16,17
同意。
「ipfwやipfilterなどのパケットフィルタはfirewallの機能の一つ
であって、firewall自体でもfirewallとは別のものでもない。」
って感じでOK?

21 ：名無しさん＠お腹いっぱい。 ：01/09/23 22:50

>>19
というか、まだ正式リリースしてないよね、8.2.5って
8.2.4が正式版の最新でしょ8系は

22 ：1 ：01/09/23 22:51

変な文章になってしまった・・・・・・
訂正：
DNS Serverの定番はネット上で多くの設定例が公開されていて、初心者の人も使いやすいので1番多くの人が使っているのではないか。と考えたのですが、実際はBIND 9.1.3のほうが多いのかな・・・・・・・

23 ：名無しさん＠お腹いっぱい。 ：01/09/23 23:01

> 実際はBIND 9.1.3のほうが多いのかな・・・・・・・

んなことないでしょ。bind-9 系はまだ遅いよ。

24 ：8 ：01/09/23 23:01

>>16 >>17 >>20
NAT機能を実現するには、主にIP Filterやipfwに実装されている
プライベートIPをグローバルIPに変換するNAT機能を使えば良い。
パケットフィルタはfirewallの機能の１つである。
セキュリティ上IP FilterやipfwのNAT機能を使う時は
パケットフィルタリングするのが一般的である。
こういう風に解釈してよろしいのでしょうか？

25 ：名無しさん＠お腹いっぱい。 ：01/09/23 23:12

>>23
8.2.5よりは9.1.3の方がはるかに多いのでは？
というか使ってるとこってごくわずかでしょ
大多数は今は8.2.3で、次は8.2.4にするか、9系にするかで悩んでるってとこでは？
以外にいまだに8.2.2-pl7ってのも結構いるけどね

>>8
>セキュリティ上IP FilterやipfwのNAT機能を使う時は
>パケットフィルタリングするのが一般的である。
一般的がどうとかいう問題じゃなくて、
そもそもパケットフィルタリングするためのもんだから、、

昨今はNATがメインでフィルタがおまけって思われがちだけど、
ホントはNATの方がおまけなんだよ

26 ：名無しさん＠お腹いっぱい。 ：01/09/24 00:15

firewallてのはあるセキュリティポリシーを持ったシステムであって、
特定な機能を意味ものじゃないとおもうが。

27 ：名無しさん＠お腹いっぱい。 ：01/09/24 01:48

>>26
うむ。例えば Internet - router A - DMZ - router B - LAN
という構成だと、ある1台の machine をもって firewall というのではなく、
Internet と LAN との間のシステム全体を firewall というだろうし。

Internet - A - LAN
|
DMZ
(たぶん、ずれるだろうなぁ。2本足で DMZ を構成する方法)
とかだと、security policy 次第で A に firewall といわれている製品を使う
のか、ただの router にするのかが変わってくるし。

28 ：名無しさん＠お腹いっぱい。 ：01/09/24 05:41

　なんかさ、ftpdだとwuとかproは、まだまだバッファオーバーフローが
ありそうな気がするよ。wuのexploitsのwuftpd2000.cのコメント見てみ。
pureftpdってのがいいらしいけど、どう？
http://www.pureftpd.org/

29 ：ななしさん＠おなかいっぱい ：01/09/24 07:05

>>28
個人的に使ってるよ、Pure-FTPd。ProFTPDのような細やかな設定は
出来ないので、ProFTPDの「かわり」にはならないかも……。

30 ：名無しさん＠お腹いっぱい。 ：01/09/24 07:42

　メールサーバの「userの認証」がらみって何が定番なの？
前はsendmailでvirtualhost使ってたけど、ユーザー増えると
使いにくいんだよな。
　最近、qmail + vpopmail + mysql でやろうと思ったんだけど、
（この組み合わせだとユーザ名を user@hostname　形式にできるし）
これって、やってる人あまりいなさそうかな？

31 ：名無しさん＠お腹いっぱい。 ：01/09/24 10:19

>>27
俺的にはセッションごとにポートの開け閉めができるシステムをFirewallと思ってる
単にIP&ポートのSrc/Dstでパケットフィルタするだけなら、ダイアルアップルータでもできるしなあ

32 ：名無しさん＠お腹いっぱい。 ：01/09/24 12:33

>>31
firewallを広い意味で使うのなら
「いやな予感がしたときに、会社に出向いてケーブルを引っこ抜く」
もfirewllになるらしい。

33 ：名無しさん＠お腹いっぱい。 ：01/09/24 16:12

1ヶ月ごとに定番環境と新環境を、まとめていけば結構息の長いスレになりそうだな。

34 ：名無しさん＠お腹いっぱい。 ：01/09/24 19:40

>>30
SASLかLDAPかな。

35 ：名無しさん＠お腹いっぱい。 ：01/09/24 21:02

postfixに移行したほうがいいんでしょうか？

CFとsendmail.cfの組み合わせは実績はあるけど、
直接cfをみても何にもわかんないってこまりますね。

しかもsendmail.cfってあまりにも独自設計すぎる。

36 ：名無しさん＠お腹いっぱい。 ：01/09/24 21:17

最強の MTA は何よ みたいな話は不毛な気がするのでしたくはないけど,
少なくても CF + Sendmail はもう捨てた方がいいと思う
cf (m4 を使うやつ) + Sendmail
qmail
Postfix
Exim
から好きなのを選べばいいんじゃないのか?

37 ：名無しさん＠お腹いっぱい。 ：01/09/24 21:33

>>35
独自設計というならqmail以下djbのほうが。。。
sendmail,bind,wu-ftpdは毎月のように穴がみつかってるから×。
nimdaは対岸の火事じゃないよ。

38 ：名無しさん＠お腹いっぱい。 ：01/09/24 22:51

djbマンセーな奴はdjbスレにいってくれ。
qmailも悪くはないが、管理下のすべてのMTAをqmailにしようとも思わん。
djbdnsは実績が不明。root serverで使ってるとこあるの?

39 ：名無しさん＠お腹いっぱい。 ：01/09/24 22:58

>38
djbdns はともかく、
qmail の方はそろそろ定番になってきてると思うが。

> 管理下のすべてのMTAをqmailにしようとも思わん。
別に強制しないよ。

40 ：名無しさん＠お腹いっぱい。 ：01/09/24 23:37

qmailも悪くないけど、ORDB使えないのはなぜだYO!

41 ：名無しさん＠お腹いっぱい。 ：01/09/25 00:13

あれ、postfix の方が新定番なのかと思ったけど、
あんまりここにいないね。

42 ：名無しさん＠お腹いっぱい。 ：01/09/25 00:45

>>41
sendmailから入れ換えるのがらくちんでいいよね。

43 ：名無しさん＠お腹いっぱい。 ：01/09/25 00:56

hub.freebsd.org とか mx2.freebsd.org は Postfix ですな
あと Vine の標準 MTA (?) が Postfix らしいですな

44 ：名無しさん＠お腹いっぱい。 ：01/09/25 02:33

>>41
postfix の話はそれなりに出ているほうじゃない? Exim なんて 36 が
sendmail などと並べて出しただけで、それ以外 exim って単語すら出てないもの…。

>>43
NetBSD の標準 MTA も postfix。qmail はあのライセンスのせいで、標準の
MTA として採用する OS は存在できないでしょう。Exim は Debian/Linux が標
準の MTA にしています。

45 ：俺 ：01/09/25 02:55

postfixはいいです。
っていうかユーザー側にＭＴＡ入れ替えたことを意識させません。

sendmail互換をはじめから意識して作られているから。

あと設定ファイルがわかりやすい。
apacheとかで採用されている設定ファイルに近いから
上から順番によんでいくだけで簡単に設定できる。

qmailは無駄に設定ファイルが分散しすぎ。

46 ：名無しさん＠お腹いっぱい。 ：01/09/25 11:48

>apacheとかで採用されている設定ファイルに近いから
近いか?
設定ファイルが集約されててわかりやすいってのには同意。

47 ：名無しさん＠お腹いっぱい。 ：01/09/25 11:55

ProFTPDとApacheの設定ファイルは似た雰囲気の書式ですな

48 ：名無しさん＠お腹いっぱい。 ：01/09/25 20:27

>>38 MTAしか管理したことないんですね。
bindの代替は？ bindで満足？
apacheもあれで満足？ thttpdとかもあるけど。

49 ：名無しさん＠お腹いっぱい。 ：01/09/25 20:35

何かこのスレも　具体的に何使うとかいう話をし出すと
宗教戦争になってしまいそうだな

50 ：名無しさん＠お腹いっぱい。 ：01/09/25 21:19

>>48
djbdns は dynamic update に対応せんだろうなぁ。
にしても libc すら信用しない djb は、とっとと自分で
OS 作って欲しいもんだ。

bind の security hole は確かに問題だけど、chroot
すれば被害は bind が落ちるだけで済むことが多いので、
それでなんとかしているってところが多そう。

thttpd は dynamic contents には対応できそうにも
ないので論外。

51 ：名無しさん＠お腹いっぱい。 ：01/09/26 01:39

旧環境/May 2000
sendmail+CF, Apache, proftpd
新環境/May 2001
qmail+vpopmail, Apache, proftpd

そんな感じで運用中。

>>45
はじめはそう思ったけど、慣れると大丈夫。
でも、わかったのは片隅だけで、いろいろとわからん。
なんといっても、ドキュメントが貧弱。
ソースは読むのに時間がかかりすぎるし。

いまだにsmtpのリレーエラーログの取り方がわからん....

read.cgi ver5.26+ (01/10/21-)