サーバの設定
※以下の操作に関しては、root権限が必要です。
※設定ファイルの変更については、vi、emacs等のエディタでの修正を前提とします。利用する環境に応じて、適切なツールを利用してください。
SELinuxの設定
SITE PUBLISを使用する際は、SELinuxの設定を無効化する必要があります。
無効化する場合は、以下の手順にて設定してください。
設定手順
■ SELinuxの動作確認
■ SELinuxを無効化
■ OSの再起動
設定が完了したら、サーバを再起動させます。
■ 再起動後の確認
再起動したら、再度ログインし、SELinuxの設定を確認します。
Disabled
SELinuxのモード
enforcing
セキュリティポリシーの設定で許可されていないアクセスがあった場合、アクセスを拒否してログに出力します。
デフォルトの設定では、httpdそのものが動作しないようなポリシーになっています。
Permissive
Permissiveモードは、セキュリティポリシーの設定で許可されていないアクセスであっても、監査ログを出力して、アクセスを許可します。セキュリティ的に厳密な運用をする場合は、まずこのモードで動作させ、監査ログに出力された内容を元にセキュリティポリシーを設定してください。
iptablesの設定
SITE PUBLISを利用するために、インストールしたサーバへhttp(80番ポート)、https(443番ポート)へのアクセスを許可する必要があります。
設定手順
以下の手順に沿って行ってください。
■ iptablesの動作上記用確認
# service iptables status
テーブル: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
上記の場合は、iptablesが動作しており、http、httpsへの接続が許可されていません。
# service iptables status
ファイアウォールは停止
と表示される場合は、iptablesが起動していません。
起動させない場合は、以下の設定は不要です。
■ httpdサービスへのアクセス許可追加
「RH-Firewall-1-INPUT」ルール配下に以下を追加します。
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
■ iptablesへの設定反映
設定が完了したらiptablesを再起動します。
ファイアウォールルールを適用中: [ OK ]
チェインポリシーを ACCEPT に設定中filter [ OK ]
iptables モジュールを取り外し中 [ OK ]
iptables ファイアウォールルールを適用中: [ OK ]
iptables モジュールを読み込み中ip_conntrack_netbios_ns [ OK ]
■ 設定確認
httpdサービスへの接続が許可されたかどうかを確認します。
# service iptables status
テーブル: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
10 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
⇒ httpへのアクセスが許可されています。
11 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
⇒ httpsへのアクセスが許可されています。
12 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
上記のように表示されればOKです。