さくらの夕べ Debianナイト - さくらのVPS編

Transcript

1. Debian JP Projectで運用している さくらのVPSについて さくらの夕べ Debianナイト 2025-04-11 Debian JP Project

   杉本典充 [email protected] (rev.1)

2. • 自己紹介 • Debian JP Projectとさくらインターネット様 • Debian JP Projectにおける「さくらのVPS」の使い方

   ◦ 概要 ◦ ホスト環境 ◦ svn.debian.or.jp ◦ lists.debian.or.jp ◦ 運用話＆苦労話 • まとめ 目次 2

3. 自己紹介 • 杉本 典充 ([email protected]) ◦ X(旧Twitter) @dictoss ◦ Debian

   JP Project 会長 (2024-2025年度) 3

4. Debian JP Projectとさくらインターネット様 • さくらインターネット様が取り組んでいるITコミュニティ支援のご厚意でDebian JP Projectへサーバを無償提供いただいている ◦ 大変ありがとうございます！ •

   支援いただいている「さくらのVPS」1台 ◦ https://vps.sakura.ad.jp/ ◦ 支援の開始時期は2015年11月で、現在まで継続して提供 (もうすぐ10年！) ◦ さくらの VPS バージョン4 ◦ 東京リージョン ◦ CPU 仮想8Core、メモリ 16GB、ディスク HDD 1,600GB 4

5. Debian JP Projectにおける 「さくらのVPS」の使い方 5

6. 「さくらのVPS」利用：概要 • VPSにインストールしているホストOSは Debian GNU/Linux amd64 • 複数の機能をコンテナで環境分離して構築し利用中 • 機能

   ◦ ホスト環境 ▪ LXC (コンテナ技術) ▪ リバースプロキシ (HTTPS) ▪ セキュリティ設定 ◦ ゲスト環境 ▪ svn.debian.or.jp (SVNリポジトリサーバ) ▪ lists.debian.or.jp (SMTPサーバ兼メーリングリストサーバ ) • サーバの構築と運用 ◦ Debian JP Projectのシステム管理チーム(admin)が共同で実施 6

7. 「さくらのVPS」利用：ホスト環境 • LXC ◦ 結構前からあるコンテナ技術　https://linuxcontainers.org/ja/ ▪ Debianでは “lxc” パッケージをインストールすると利用可能 •

   リバースプロキシ (HTTPS) ◦ LXCのゲスト環境のwebサーバへ名前ベースのVirtualHostでプロキシする ◦ SSL証明書はLet's encryptを利用 • セキュリティ設定 ◦ サーバへのssh接続はパスワードログイン禁止 (要ssh鍵) ◦ サーバで開放する必要がないポート番号は閉じる (デーモン、ファイアウォール) ◦ ファイアウォール設定で fail2ban を導入 ▪ サーバのログを読み取り、攻撃のような通信やエラーとなった接続元 IPアドレスから の通信を一時的にブロックするようファイアウォールのルールを自動追加している 7

8. 「さくらのVPS」利用：svn.debian.or.jp • SVN(Subversion)形式のリポジトリを提供 ◦ https://svn.debian.or.jp/repos/www/trunk ◦ 作った時期が2005年とかなり古いため、gitではない ◦ 中身はWebサイト www.debian.or.jp

   のコンテンツ • コミットの運用 ◦ Debian JP のウェブページを変更するには ▪ https://www.debian.or.jp/project/webmasters.html ◦ チェックアウトは誰でも可能 ◦ Debian JP Projectの会員のみコミット権限を付与 ◦ Debian JP Projectの会員以外がコミットする方法 ▪ Webサイトの改修箇所を見つけた場合は diffを debian-www のメーリングリストへ 投稿していただき、Debian JP Projectの会員がコミットする流れ • コミットした後は15分毎の自動処理でwebサイトへ反映される 8

9. 「さくらのVPS」利用：lists.debian.or.jp (1) • SMTPサーバ ◦ debian.or.jpのDNSのMXレコードに設定しており、debian.or.jpドメイン宛ての電子メール はこのサーバへ配送される ◦ 最近の電子メール運用で必要になる DNSのセキュリティ設定を運用中

   ▪ DNSサーバにSPFレコードを登録 ▪ メール配送時にDKIM署名を付与 ▪ DNSサーバにDMARCの情報を登録し、送信元ドメインの認証に対応 ◦ milter処理 ▪ SpamAssassinで迷惑メールのチェックを行うフィルタ ▪ clamav-milterでウィルスチェックを行うフィルタ • 余談 ◦ POPサーバ/IMAPサーバの機能は提供していない 9

10. 「さくらのVPS」利用：lists.debian.or.jp (2) • メーリングリストサーバ ◦ https://www.debian.or.jp/community/ml/ で説明しているメーリングリストを提供 ▪ 公開メーリングリスト •

    debian-users、debian-devel、debian-doc、debian-www、 debian-announce ◦ mailman3を利用 ◦ メーリングリストのアーカイブをWebブラウザで表示・検索可能 ▪ https://lists.debian.or.jp/mailman3/hyperkitty/ (2016年-現在) ▪ https://lists.debian.or.jp/archives/ (1996年-2016年) ◦ メーリングリストへの投稿メールにも DKIM署名を付与 (Fromを書き換え) ▪ From: Norimitsu Sugimoto via debian-devel <[email protected]> ▪ Reply-To: Norimitsu Sugimoto <[email protected]> 10

11. 「さくらのVPS」利用：運用話＆苦労話 • 運用話 ◦ ホスト環境のOSはapt-get dist-upgradeでアップグレードし続けている ▪ アップグレード時の仕様変更や設定変更が大規模な場合は数日停止して作業する こともある ◦

    ボランティアで運用しているため、障害時は復旧に時間がかかることもあります • 苦労話 ◦ sshログインを試みる攻撃は絶えず来ます ◦ メーリングリストへのスパムメールの投稿が大変多く、フィルタ処理をすり抜けてくる ◦ mailman2からmailman3への移行は大変だった ◦ 安定運用するサーバの構築や運用ができる高度な技術をもつ人は貴重 11

12. まとめ • さくらインターネット様のITコミュニティ支援のご厚意で「さくらのVPS」をおよそ10年 間、無償で提供いただいている • VPSのサーバにLXCで複数のコンテナのゲスト環境を作り、SVNリポジトリ・メール ・メーリングリストのサービスを提供中 • サーバを構成するソフトウェアはOSSのものを使っている •

    みなさまにサーバを利用いただき、Debianの活動を一緒にしていきましょう 12