月: 2012年8月

　明日は，旧７月１日らしい。朝夕はすっかり秋めいてきたが，昼は相変わらず暑い。それでも，盆休みが終わって，昨日１週間ぶりで道々の田んぼを見たら，稲穂が出そろっていた。今日はツクツクボウシの鳴くのも聞いた。そして今は，これから夕立が来るのか，PCに触っているのが気持ち悪いほど，雷鳴がしている。

　夕べはギータの劇的なサヨナラホームランで勝った。球宴後，さあダッシュと思ったら，がっくりくる試合が続いて落ち込んでいたのだが，８月に入ってから，まあまあだ。何とか，５割復帰したし。上も抜け出せないでいるから，ここが踏ん張りどころだよー。鷹のみなさま，頑張ってちょうだい。

　ところで本題の方だが，いつも，buildとmakeはどう違うんだろうと思っていた。今回ちょっと気を入れてあちこち読み漁ってみたら，用語の発生した時期が違うだけで意味はあまり違わないらしいネ。少し，違う意味で使っているページもあるようだが，作業的にはだいたい同じことをやっているようだ。

　CentOS6の練習-#6で書いたように，すべてパッケージで済ませるかどうか悩んでいるが，それにしてもこの際buildの勉強は身を入れてやっておくべきだろう。今まで，実践でビルドにかかわったことはあっても，何やっているかなんて，あまりまじめに考えたことがない。コンパイルはやってるんだろうとか思ってたけど，リンクなんかの作業も入るんだねー。知らなかった。

　まっ，ありがちな「Hello, World!」の表示プログラムのbuildでもやってみるかな。今回の参照ページは，仕事で使える魔法のLAMPだけ。

1. まずは，GCC（GNU Compiler Collection）のインストール。こういうところはパッケージを利用する（爆）。
   　　　$ sudo yum install gcc gcc-c++
2. 　　　$ vi hello.c
   で，/home/centosに，以下の内容で，hello.cを作成する。
   　　　　　#include <stdio.h>
   　　　　　main()
   　　　　　{
   　　　　　　printf(“Hello, World!n”);
   　　　　　}
3. 　　　$ gcc hello.c -o hello
   で，コンパイルしてみる。-oオプションで実行ファイル名をhelloに指定。一瞬で終わるよ。
4. 　　　$ ./hello
   と実行してみると，
   　　　　　Hello, World!
   と，表示された。

　ふーん，シェアードライブラリ（=.so⇒シェアードオブジェクト）っていうのは，Winのダイナミックリンクライブラリ（.dll）と同じなんだ。以下のコマンドで，いつもお世話になっているbashがリンクしている.soを調べてみた。
　　　$ ldd /bin/bash
　　　　　linux-gate.so.1 => (0x003da000)
　　　　　libtinfo.so.5 => /lib/libtinfo.so.5 (0x00e49000)　　<<—　　helloと違う.so
　　　　　libdl.so.2 => /lib/libdl.so.2 (0x004dc000)　　<<—　　helloと違う.so
　　　　　libc.so.6 => /lib/libc.so.6 (0x00110000)
　　　　　/lib/ld-linux.so.2 (0x00b31000)

　ついでに，　$ ldd hello　をやって比べてみた。
　　　　　linux-gate.so.1 => (0x00d44000)
　　　　　libc.so.6 => /lib/libc.so.6 (0x00110000)
　　　　　/lib/ld-linux.so.2 (0x00634000)
となるので，この３つは簡単なプログラムでも，C言語で書かれたプログラムが動くためには，絶対にいるようだネ。

　次に，hello.cを２つの分けて，一つずつコンパイルした後，リンカを使って一つのファイルに仕上げる作業をやってみる。

1. $ vi main.c　　で，以下の内容のmain.cを作成する。
   　　　　　main()
   　　　　　{
   　　　　　 hello();
   　　　　　}
2. $ vi hello.c　で，以下の内容のhello.cを作成する。この際，ひらがなの表示を試してみることにした。
   　　　　　#include <stdio.h>
   　　　　　hello()
   　　　　　{
   　　　　　　printf(“こんにちは，みなさん!n”);
   　　　　　}
3. まず，main.cだけコンパイル。　　$ gcc -c main.c
   lsで調べると分かるけど，この段階で　　main.o　　ができている。
4. 次に，hello.cをコンパイル。　　$ gcc -c hello.c
   これも調べると　　hello.o　　ができている。
   -cオプションのときは，「name」.c　⇒　「name」.oというように.oのファイル名を決めるようだ。
5. リンク作業。素のリンカldは使わずに，gccから呼び出す形で使う方が普通だそうだ。
   　　　$ gcc main.o hello.o -o hello
   調べてみると，実行ファイルhelloができているので，
   　　　$ ./hello
   と実行してみると，
   　　　　　こんにちは，みなさん!
   と，表示された。ちゃんと，ひらがなも表示される。日本語フォントを特別に手動で入れる必要はないようだ。

　この時点で，/home/centosには
　　　hello hello.c hello.o main.c main.o
があるが，あとの都合上生成された　hello，hello.o，main.o　を削除する。
　　　$ rm hello main.o hello.o

　さて，makeをインストールしますか。
　　　$ sudo yum install make

　Makefile作成。　　$ vi Makefile　　で，内容は次の１行。
　　　　　hello: main.o hello.o
　　　　　ターゲット: 依存ファイル1 依存ファイル2 ……
となるらしいが，今回は，main.o と hello.o から hello を作るだけなので，この１行でO.K.
　makeを走らせてみる。
　　　$ make
　　　cc -c -o hello.o hello.c
　　　cc -c -o main.o main.c
　　　cc hello.o main.o -o hello
とメッセージが出て，終了すると，/home/centosに hello，hello.o，main.o ができている。

　　　$ touch hello.c
をやったのち，makeをやると，
　　　cc -c -o hello.o hello.c
　　　cc hello.o main.o -o hello
さっきよりメッセージが１行少ない。touchでタイムスタンプの変わったhello.cだけがコンパイルし直されて，新しいhelloが作られることが分かる。

　本日の最後の練習は，GNU Helloを使った実行ファイルの作成。

1. まず，ダウンロードのために wget をインストール。もっとも，自鯖の場合，この間のClamAVがらみでwgetは導入済み（汗）。
   　　　$ sudo yum install wget
2. 最新のGNU Helloをゲット。
   　　　$ wget http://ftp.gnu.org/gnu/hello/hello-2.8.tar.gz
3. 同じバージョンのシグネチャファイルもダウンロード。
   　　　$ wget http://ftp.gnu.org/gnu/hello/hello-2.8.tar.gz.sig
4. GnuPG（調べてみたら，gnupg2-2.0.14-4.el6.i686が，すでにインストール済みだった。）を使って，ファイルの正当性を確認する。
   　　　$ gpg –list-keys　　　　<<—　　初回起動で，/home/centos/.gnupg が作成される。
   　　　$ vi ~/.gnupg/gpg.conf
   で，中ごろにある keyserver-options auto-key-retrieve 行をアンコメントする。
5. 以下のコマンドで，シグネチャの確認。
   　　　$ gpg –verify hello-2.8.tar.gz.sig
   　これ，何もしないでやったら日本語のメッセージが戻ってきたが，変な日本語。もちっとどうにかならんの。
   　　　　　————————————————————————————————————————
   　　　　　gpg: 2012年04月21日 02時55分39秒 JSTにDSA鍵ID 80EE4A00で施された署名
   　　　　　gpg: 鍵80EE4A00をhkpからサーバーkeys.gnupg.netに要求
   　　　　　gpg: 鍵80EE4A00: 公開鍵“Reuben Thomas <rrt@sc3d.org>”を読み込みました
   　　　　　gpg: 絶対的に信用する鍵が見つかりません
   　　　　　gpg: 処理数の合計: 1
   　　　　　gpg: 読込み: 1
   　　　　　gpg: “Reuben Thomas <rrt@sc3d.org>”からの正しい署名　　<<—　こういう行があれば，O.K.というか，うーむ。
   　　　　　gpg: 警告: この鍵は信用できる署名で証明されていません!
   　　　　　gpg: この署名が所有者のものかどうかの検証手段がありません。
   　　　　　主鍵の指紋: 9297 8852 A62F A5E2 85B2 A174 6808 9F73 80EE 4A00
   　　　　　————————————————————————————————————————
6. パッケージを展開し，展開されてできたディレクトリに移動する。その後，ls -pで直下のファイルとディレクトリを確認する。
   　　　$ tar zxvf hello-2.8.tar.gz
   　　　$ cd hello-2.8
   　　　$ ls -p
   　　　　　————————————————————————————————————————
   　　　　　ABOUT-NLS GNUmakefile README build-aux/ doc/ po/
   　　　　　AUTHORS INSTALL README-release config.in lib/ src/
   　　　　　COPYING Makefile.am THANKS configure m4/ tests/
   　　　　　ChangeLog Makefile.in TODO configure.ac maint.mk
   　　　　　ChangeLog.O NEWS aclocal.m4 contrib/ man/
   　　　　　————————————————————————————————————————
   /の付いてるやつはディレクトリね。READMEとかTODOとかINSTALLあたりは読むけど，あとはドキュメント関係でもあんまり読んだことがない（汗）。あっ，たまにChangeLogも読む。
7. 　　　$ less INSTALL
   　「Briefly, the shell commands `./configure; make; make install’ should configure, build, and install this package.」ということなので，素直に，
   　　　$ ./configure –prefix=/opt/hello-2.8　　　　<<—　　インストール先を/opt/hello-2.8にしてやってみた。
   　無事通ったので，もう１回，　$ ls -p　をやってみると，いろいろ変化があるが，大きなところで　Makefile　ができたのが分かる。とすると，ちゃんとmakeできるはずなので，
   　　　$ make

   　　　$ ./configure | grep ‘checking’ | wc -l
   で何をチェックしているのか項目数を調べてみた。参照ページでは，202と書いてあるが，うちのでは250あった。どんどん増えていくんだろうなあ。

   　makeが終わったので，インストールしてみた。
   　　　$ sudo make install

   　　　$ ls -p /opt/hello-2.8　　で確認してみると，確かに　bin/ share/　ができている。
   　　　$ ls -p /opt/hello-2.8/bin　で見ると，中に実行ファイル hello があった。
   　　　$ /opt/hello-2.8/bin/hello　　と実行してみた。
   　　　　　世界よ、こんにちは！
   と表示された。完了!!!

　本日は，ここまで。

　まず，ぼやき。LINUXサーバはCUIで行くって一応決めたんだが，やっぱ慣れない。なんか何十年も時代を遡った気分になる。しかし，使い勝手は別にして，セキュリティの点から言うとあんまりいらないものというか，使わなくてすむものは入れないほうがいいんだろう。例えば，BINDだって，うちのレベルだとなければないですむ。
　それと，もうひとつ悩んでいるのが，パッケージの利用。表題のSSHだってCentOS6.3標準のパッケージだと，openssh-5.3p1。開発元の最新だと，openssh-6.0p1。Apacheは2.2.15だし，PHPは5.3.3と来る。これまでのポリシーに反するから，やはり，自分でビルドすることに馴染むべきなのかなぁ。でも，Winだと最新バージョンを使うからって，ビルドまではやらないから，ホント馴染みがない。どうしよう。

　ところで本題。今のところユーザがrootしかいない。昨今，SSHの接続には，rootを使わないのが主流みたい。というわけで，この際，-gオプション付きでグループ（users）を指定して，一般管理ユーザcentosを作る。ホームディレクトリが一緒に作られるようだ。パスワードも設定しておく。
　　　# useradd -g users centos
　　　# passwd centos
　この一般ユーザをsudoで使いたいのだが，Minimalインストールの場合は，sudoそのものがインストールされていないので，これをインストールする。
　　　# yum install sudo
　あと，sudoersの編集をする。以下を追加。（注：sudoersファイルって，実は行単位で管理されているようで，追加場所は root の直下でなくて，末尾でも構わないようだ。）
　　　centos ALL=(ALL) ALL
　ひとまずログアウト，centosでログイン。プロンプトが# —->> $に変わる。
　　　# exit
　　　login: centos　　<<—- 作成したユーザ名
　　　Password:　　<<—- 作成したユーザのパスワードを入力
　　　$ pwd
　　　/home/centos と表示され，ログイン直後はユーザのホームディレクトリにいることが分かる。
　　　$ sudo -l　　<<—- このユーザのsudo権限を確認（表示結果は，sudo_-l.txt参照）

　ところで，CentOS6の練習-#5で，SSHデーモンはデフォルトで動いていることが分かっているので，現時点のバージョンと設定を確認。
　　　$ rpm -q openssh
と問い合わせると，openssh-5.3p1-81.el6.i686が戻ってきた。これは，インストール時と同じである。OpenSSHによれば，現時点の最新バージョンはopenssh-6.0p1なんだが，wikiをうろうろしていたら，Securing OpenSSHの8. Frequently Asked Question (FAQ)にUpstream Vendorが出すセキュリティ・パッチをきっちり当てていれば，無理に最新バージョンにする必要はないと書いてあった。前述のように悩んではいるのだが，独自にビルドしてインストールするのは，もう少しわかってきてからにして，今回はこのままで行くことにした。
　さて，設定を弄るにあたってマニュアルを見たいのだが，installed.txtでわかるとおりMinimalでは，Manもインストールされていない。ここで，インストールする。
　　　$ sudo yum install man
　　　$ man sshd_config
で表示されたものを参考にしながら， /etc/ssh/sshd_configを見ていく。これの一番上の方に注釈として，コメントアウトの形で書いてあるのがデフォルトの設定で，アンコメントの分が特別に設定を変えてあるところだと書いてある。ずーっと見ていくと，まず，

1. #Port 22　になっているのだが，これを　Port xxxxx (0 ～ 65535なら何でもよい。)にする。
   ssh のポート22っていうのはWELL KNOWNだから，自分しか使わない接続のポートとしては「変えておいた方が無難だよな」って程度。普通は，0からずっと開いてるポートをなめてくって形だろうから，時間かかったらあきらめてくれることを狙って，大きい数の方がいいのかな。今どき，時間もあんまり関係ないかなぁ。まっ，でも22のままよりはいいだろう。
2. Protocol 2（つまり，SSH2）になってて，レガシー（つまり，SSH1）は殺されてるから，O.K.
3. #ServerKeyBits 1024　　—>>　　ServerKeyBits 2048
4. #PermitRootLogin yes　　—>>　　PermitRootLogin no
5. #RSAAuthentication yes　だから，デフォルトで使えることになっているのだが，
   RSAAuthentication yes　にして，利用していることを明示しておく。そのほうが，あとで自分が確認するとき，混乱しなくて済む。<<—　設定はデフォルトのままだけど，自分がこれを使うと特に認識したいときは，すべてこの書き方で行く。ということで，
   #PubkeyAuthentication yes　　—>>　　PubkeyAuthentication yes
   #AuthorizedKeysFile .ssh/authorized_keys　　—>>　　AuthorizedKeysFile .ssh/authorized_keys
6. #HostbasedAuthentication no　　—>>　　HostbasedAuthentication no
7. PasswordAuthentication yes　　—>>　　PasswordAuthentication no
   #PermitEmptyPasswords no　　—>>　　PermitEmptyPasswords no
8. ChallengeResponseAuthentication no　になっているからてるから，O.K.
9. GSSAPIAuthentication yes　　—>>　　GSSAPIAuthentication no　にもどす。ここは，あとで変えるかもしれない。
10. X11Forwarding yes　　—>>　　X11Forwarding no　にもどす。ここも後で変えるかもしれない。

　こんな感じかな。これで，

• SSH2 接続。
• 2048ビットのRSA公開鍵・秘密鍵
• 上記鍵ペアのパスフレーズ

を想定した接続になるはず。

　　　$ sudo vi /etc/ssh/sshd_config
で設定を書き換える。
　　　$ which sshd
でsshdの場所を調べる。
　　　$ sudo /usr/sbin/sshd -t
で，テスト。bad configurationが戻ってきたら対処。今回は何も戻ってこないので，次へ進む。
　　　$ sudo service sshd restart
　　　Stopping sshd:　　　　　　　　　　　　　　　　　　[ OK ]
　　　Starting sshd:　　　　　　　　　　　　　　　　　　[ OK ]
が瞬時で戻ってきた。ハヤッ。

　SSHのポートを変更したので，ファイアーウォールの設定（/etc/sysconfig/iptables）で，ポート22を上で設定したものに変更する。変更を適用するために，サービスをリスタート。
　　　$ sudo service iptables restart

　「2048ビットのRSA公開鍵・秘密鍵」のつもりなので，鍵を用意しなければいけない。ssh-keygenコマンドで，CentOS6上で生成できるようだが，鍵ペアのパスフレーズにかなり長いものを使うつもりなので，入力が不安。まぁ，出来るまで何度でもやればいいようなもんだが……それに，公開鍵・秘密鍵の性質から考えて，クライアント側で生成して，サーバに送るほうが安全だろう。秘密鍵はメールで送るわけにいかないが，公開鍵ならそれもできるわけだし。
　どうせWin端末からリモートするから，ターミナルエミュレータとしてTera Termを導入することにした。Tera Termには鍵生成の機能もある。Tera TermはかなりあとまでSSH2やUTF-8に対応していなかったらしいが，現在はサポートするようになり，Tera Termプロジェクトが順調に動いているようなので，PuTTYでなくこちらを使うことにした。

リリースファイル一覧から，teraterm-4.74.exeをダウンロード。Windows用定番SSHクライアント「Tera Term」の使い方を参考にしながら，イントラ内のWin端末にインストール。オプションがいろいろあるが，今回は初めてのことなので，「標準インストール」した。自分が使わないオプションは，入れないほうがいいかもしれないが，インストールするのはWin端末で，サーバ上じゃないから，ちょっとお気楽。 Tera Termを起動する。新しい接続の窓は閉じて，鍵を生成する。練習サーバは，自LAN内からだけのアクセスだが，これ（今回のLINUX サーバ構築）を機会に外部からでもリモート出来るようにしてみたいという夢（オーバー　^^,,,　）があるので，ガンバ。 「設定」>>「SSH鍵生成」から，図１の設定で鍵を生成。生成の終わったところでパスフレーズを入力。公開鍵と秘密鍵を保存したら，鍵生成の窓を閉じてTera Termを終了する。 ところで， 　　　公開鍵(id_rsa.pub) 　　　　　= サーバに登録する鍵（人に見られても問題ない鍵） 　　　秘密鍵(id_rsa) 　　　　　= ローカルマシンに置いておく鍵（人に見られてはいけない鍵） なので，公開鍵の方をサーバにコピーしなければいけない。 　　　　　参考ページ：秘密鍵と公開鍵 Tera Termで鍵を作ったので，サーバ上にディレクトリ.sshがない。これを作る。場所は，/home/centos/.ssh 。 　　　$ cd 　　　$ mkdir .ssh　　　パーミッション755　ownerはcentos 　　　$ chmod 700 .ssh 　USBフラッシュメモリに入れたid_rsa.pubをサーバにコピーする。 　　　$ sudo mount -t vfat /dev/sdb1 /mnt/flash 　　　$ cp /mnt/flash/id_rsa.pub .ssh/authorized_keys 　　　　　　パーミッション755　ownerはcentos 　　　$ sudo umount /mnt/flash 　　　$ chmod 600 .ssh/authorized_keys 　　　$ sudo service sshd restart 　さて，Tera Termを起動して，イントラ内から接続してみよう。 新しい接続のホスト名と，TCPポートだけをデフォルトから変更して[OK]をクリック（図２）。 １度目は，セキュリティ警告が出る（図３）。ここで，known hostsリストに追加しておくと，次から出なくなる。サーバ情報が何も変わっていないのに，セキュリティ警告が出る場合は，なりすましなどの危険があるので，そういう場合の用心のためにも，この画面は記録しておいた方がいいと思う。 図４でユーザ名とパスフレーズ，秘密鍵の場所を指定してやると，接続できた（図５）。

図１ 図２ 図３ 図４ 図５

　今回の主たる参照先（上記ですでにリンクを貼っているところ以外）。

1. Red Hat Enterprise Linux 6
2. 仕事で使える魔法のLAMP
3. Linuxコマンド百科辞典