まずはProFTPdのセットアップから。proftpdをapt-getでinstallするとproftpdの設定画面が出ます。

ProFTPd セットアップ

固定IPではないのでIPマスカレードを利用しないといけませんが、そのためにもスタンダードアローンではなくinetd経由にします。

それでは /etc/proftpd/proftpd.conf を書き換えていきます。

• ServerName を好きな文字列に
• ListOptions を “-l” に “-la” に
• PassivePorts をコメントアウトして ポート範囲を決定(デフォルトは49152 65534)
• MasqueradeAddress を コメントアウトして hogehoge.net(ドメイン名)に
• ServerIdent を off で追加
• RootLogin を off に
• DefaultRoot を ~ に
• RequireValidShell を off に

ここまではMySQLによる認証は関係ありません。これからMySQLで認証するための設定を追記します。この部分は「にわか鯖管のメモ – ProFTPD　～ MySQL + quota 編 ～」をもとにというかそのまま。

注意点はmodule.confをいじったときは sudo /etc/init.d/proftpd reload をしないとだめってとこです。

それと、メモみたいなもので解説はたぶんしないとおもいます。LinuxをCUIで使えるぐらいの知識がないともしかすると読めないかもしれないです。解説でなく日記ですね。

レンタルサーバといっても身内、友人、後輩などに貸してるだけですのであまりセキュリティ、特にユーザー間のセキュリティはよろしくない設定をしていくかもしれませんのでそういう意味でもあまり当てにはしないでくださいね。

で、なぜいまさらサーバー構築なのかということなのです。普段はMac OSX Serverの上でこのページ含め個人のサーバと上記のレンタル部分とを稼動させているのですが、いわゆる公私混同の部分の管理がめんどくさくなってきた(なんとなくしんどくなってきた)ので他人の分は仮想環境のUbuntuに移動させてしまおうと思い立ったわけです。

で現状は、Ubuntu 10.04 ServerをLAMP + SSHのみでインストールしたまでです。

このあとユーザー情報をMySQLで管理してユーザーごとにApacheのバーチャルホストを設定し、proftpdはMySQL上の情報で認証できるようにしていくことが目標です。

内容は2点です。
１．ProFTPDとxinetdの設定ファイル
２．iptablesのためにモジュールの読み込み

結局最後行き着いたのは以下の設定ファイルの状態。(一部セキュリティのため改変)
/etc/proftpd/proftpd.conf

Include /etc/proftpd/modules.conf

UseIPv6				off

ServerName			"chibiegg FTP Server"
ServerType			inetd
DeferWelcome			off

MultilineRFC2228		on
DefaultServer			on
ShowSymlinks			on

TimeoutNoTransfer		600
TimeoutStalled			600
TimeoutIdle			1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
ListOptions                	"-al"

DenyFilter			\*.*/

UseReverseDNS			off

Port				21

AllowForeignAddress on
DefaultRoot ~

PassivePorts                    23000 25000

MasqueradeAddress		****.******.net

MaxInstances			30

User				******
Group				******
Umask				022  022
AllowOverwrite			on

TransferLog /var/log/proftpd/xferlog
SystemLog   /var/log/proftpd/proftpd.log

LogFormat allinfo "%t :  %u (%a [%h]) : [%s], %T, %m (%f)"
LogFormat write "%t : %u : %F (%a)"
LogFormat read "%t : %u : %F (%a)"
LogFormat auth "%t : %u (%a [%h])"

ExtendedLog /var/log/proftpd/all.log ALL allinfo
ExtendedLog /var/log/proftpd/write.log WRITE write
ExtendedLog /var/log/proftpd/read.log  READ read
ExtendedLog /var/log/proftpd/auth.log AUTH auth

<ifmodule mod_tls.c>
TLSEngine off
</ifmodule>

<ifmodule mod_quota.c>
QuotaEngine on
</ifmodule>

<ifmodule mod_ratio.c>
Ratios on
</ifmodule>

<ifmodule mod_delay.c>
DelayEngine on
</ifmodule>

<ifmodule mod_ctrls.c>
ControlsEngine        on
ControlsMaxClients    2
ControlsLog           /var/log/proftpd/controls.log
ControlsInterval      5
ControlsSocket        /var/run/proftpd/proftpd.sock
</ifmodule>

<ifmodule mod_ctrls_admin.c>
AdminControlsEngine on
</ifmodule>

<limit LOGIN>
	Order allow, deny
	Allow from all
</limit>

AuthOrder mod_auth_file.c

AuthUserFile /etc/proftpd/ftpd.passwd
AuthGroupFile /etc/proftpd/ftpd.group

/etc/xinetd.d/proftpd

service ftp
{
        disable     	= no
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        server          = /usr/sbin/in.proftpd
}

実際ローカルからPassiveモードを利用しない場合は簡単に接続できていたのだが、どうしてもPassiveモードでは接続できなかった。(もちろんログインはできるが一覧の取得などができない。)これではマスカレードを使ったルーター越えができない。

結果として原因は2つありました。
まず一つはProFTPDの設定の問題。(上の設定ファイルは修正後)
ProFTPDには関係の無いIPアドレスからのPassiveモード用ポートへのアクセスは拒否する機能が付いているのですがこれが悪さをしていました。
Passiveモードタイムアウト後のログを見るとこんなエラーがありました。

SECURITY VIOLATION: Passive connection from ***.***.***.*** rejected.

ということでセキュリティー的には避けたいところですが、この機能を無効にしました。
「/etc/proftpd/proftpd.conf」に以下の一行を追加。

AllowForeignAddress on

(こちらのサイトに記載されていました。ありがとうございます。)

もうひとつはiptablesです。FTPを通すためにはポートを開けるだけでなく「ip_conntrack_ftp」と「ip_nat_ftp」の2つのモジュールを読み込む必要があるらしいのです。
ということで「/etc/modules」ファイルに以下の2行を追記しました。

ip_conntrack_ftp
ip_nat_ftp

これでサーバーを再起動するとPassiveモードでもデータ転送ができるようになりました。
悩みの種一つ解消。

構成はPostfix(とりあえずSSLなしのSMTP) + SASL2によるSMTP-Auth + OP25B対策のためISP(eo)のサーバーを経由 + Courier(IMAP,POP) よってMaildir形式です。いたって標準的な構成です。
外部に解放するポートは
送信に必須(25,587)
WANからSSLなしでメールチェックをする場合に必要(110,143)
WANからSSLありでメールチェックをする場合に必要(995,993)
です。

必要なものをインストールします。

$ su
# apt-get install postfix postfix-tls libsasl2 libsasl2-modules sasl2-bin courier-pop-ssl courier-imap-ssl

courierではWebによる設定(courier-webadmin)について聞かれます。Webベースで設定できるのならそうしておきたいので私は「はい」を選択しておきましたがどちらでもかまいません。
Postfixのインストール時にサーバーのタイプを聞かれますので「インターネットサイト」を選択してください。
「メール名は？」と聞かれたら構築するメールサーバーの「＠」以降を入力してください。

では、Postfixの設定ファイルを編集します。
ますは「/etc/postfix/main.cf」を。
0.基本的な変更

mydomain = hogehoge.com

を追記。(これは適時書き換えてください)

myorigin = mail.hogehoge.net
mydestination = $myhostname, localhost.$mydomain, localhost

に変更
1.Maildir形式にする。

mailbox_command = procmail -a "$EXTENSION"

を

#mailbox_command = procmail -a "$EXTENSION"

としてコメントアウト

home_mailbox = Maildir/

を追加
2.SASL2によるSMTP-Authの有効

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_auth_destination,reject
smtpd_sasl_path = smtpd
broken_sasl_auth_clients = yes

を追加
3.OP25B対策のためISPのSMTPを経由するように変更

relayhost = 

を

relayhost = [smtpauth.eonet.ne.jp]:587

に。これはISPのSMTP-Authサーバーのアドレスにしてください。

smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/isp_auth
smtp_sasl_security_options = noanonymous

を追加。

次に「/etc/postfix/master.cf」を編集
「smtp inet n – – – – smtpd」の下に

  -o smtpd_sasl_auth_enable=yes

を追加(最初のスペースは不可欠)

#submission inet n       -       -       -       -       smtpd
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

を

submission inet n       -       -       -       -       smtpd
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

に変更(コメント解除)し、その下に

  -o smtpd_etrn_restrictions=reject

を追加。

ISPのメールサーバーにログインするためのユーザー名とパスワードを登録します。
「/etc/postfix/isp_auth」を作成し以下のように記述して保存します。

[smtpauth.eonet.ne.jp]:587 ユーザー名:パスワード

そしてDB化

# postmap /etc/postfix/isp_auth

最後にSASLにSMTPのユーザー名とパスワードを登録します。

# saslpasswd2 -c -u `postconf -h myhostname` ユーザー名

パスワードを二回聞かれるのでSMTP認証に使いたいパスワードを設定してください。
初回時に以下のコマンドも実行してください。

# chgrp postfix /etc/sasldb2
# chmod g+r /etc/sasldb2
# ln /etc/sasldb2 /var/spool/postfix/etc

ユーザーを削除するときは

# saslpasswd2 -c -u `postconf -h myhostname` ユーザー名

これでLinuxユーザー名とパスワードでメール送受信ができるはずです。
POPのパスワードはLinuxユーザーのパスワードを利用し,SMTPへはSASLで設定したパスワードを利用します。

実のところ全然できていません。一時メールが受信できるようになったのに次の瞬間ユーザー名とパスワードが通らなかったり。SMTPは全然だめだし。OP25Bが施されているプロバイダ(K-OPTI.COM)なので25番ポートでの標準的な送信ができないし。

以前書いた諸事情で30日までには成功させないといけません。そのときにはちゃんとまとめる予定です。自分のためにも…

rsyncの件ですが近日中にパッチをあてたAFP経由でrsyncしてみます。なにせiTunesライブラリのバックアップで80G弱必要なところにiTunesバックアップ用に準備したハードディスクが80Gで。いったん全部消さないといけないなと思っています。一からした方が気分がいいので。
HATさんにはいつもご丁寧に教えていただき大変勉強になっております。本当にありがとうございます。

今日21日は昼頃から学校で単位認定会議です。高三になれるかどうかが決まる日なのですが、大丈夫であることを祈ります。2回も入院したり退院後もときどき休んだりして出席日数が….なので。欠課のところはどうなるのか…英語も…