Q&A | Trend Micro Business Support

手順の概要

手順としては以下の方法になります。

Step 1Microsoft Hyper-v 上に VHD ファイルを準備する
Step 2Windows Azure に VHD ファイルをアップロードする
Step 3VHD ファイルから Linux を展開する
Step 4Azure 上の Linux に InterScan MSS をインストールする

手順詳細

Step 1 Microsoft Hyper-V 上に VHD ファイルを準備する

1.1 Microsoft Hyper-V 上に Red Hat Linux をインストールする

1) 動作確認の要件は以下の通りです。
Red Hat Linux: Red Hat Enterprise Linux Server 6.4 (64bit)
Microsoft Hyper-V: Windows Server 2008 R2 SP1 Hyper-v

2) Hyper-v サーバ上の仮想マシンとして Linux をインストールします。
インストールにあたり以下の点に注意してください。

・ Windows Azure でのディスクサイズは最大128GBである為、仮想環境のディスクサイズは
128GB未満に設定してください。

・仮想マシンのネットワーク設定では、「ネットワークアダプター」を使用します。

・ Red Hat Enterprise Linux Server 6.4 は、「基本サーバ」でインストールしてください。

1.2 Linux の設定を変更する

1) /etc/sysconfig/network-scripts/ifcfg-eth0 を編集し、以下の4行のみにします。

他の設定は削除します。

DEVICE=eth0
TYPE=Ethernet
ONBOOT=yes
BOOTPROTO=dhcp

上記4行のみが保存され、他の行は削除されていることを確認してください。

2) Windows Azure Linux エージェントをインストールすると、root ログインが出来なくなるため、事前にSSH 接続用に専用のユーザを作成します。

ⅰ) ユーザを作成します。以下の例では、"imsstest" をユーザとして作成しています。

useradd imsstest
passwd <任意のパスワード>

ⅱ) /etc/sudoers に前述の手順で作成したユーザを追加し、sudo コマンドを実行できるようにします。

……
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
imsstest ALL=(ALL) ALL
……

3) /boot/grub/grub.conf の kernal boot 行を、以下のパラメータ文字列を含めるよう変更します。

console=ttyS0 earlyprintk=ttyS0 rootdelay=300

例)：編集後

4) Windows Azure Linux エージェントをインストールします。

ⅰ) 依存関係のある python-pyasn1 パッケージをインストールしておきます。

このパッケージは、Red Hat インストール DVD (iso) 内、"Packages" ディレクトリに保存されています。

rpm –ivh python-pyasn1-0.0.12a-1.el6.noarch.rpm

yum を使用する場合は、以下のように実行します。

yum install python-pyasn1

ⅱ) 次のサイトから Windows Azure Linux エージェントのパッケージを取得して任意の場所に保存し、インストールします。

http://olcentgbl.trafficmanager.net/openlogic/6/openlogic/x86_64/RPMS/

rpm –ivh WALinuxAgent-1.3.3-1.noarch.rpm

ⅲ) /etc/waagent.conf を次のように設定します。

これにより、Windows Azure Linux エージェントが、自動的にスワップスペースを構成します。

ResourceDisk.Format=y
ResourceDisk.Filesystem=ext4
ResourceDisk.MountPoint=/mnt/resource
ResourceDisk.EnableSwap=y
ResourceDisk.SwapSizeMB=2048 ## NOTE: set this to whatever you need it to be

ⅳ) 次のコマンドを実行します。

waagent -force -deprovision
　export HISTSIZE=0

本コマンド実行後、仮想マシンの hostname は "localhost.localdomain" にリセットされます。

このため、Azure 上に仮想マシンセットアップ後、 hostname を再設定する必要があります。

5) "halt -p" コマンドを使用して仮想マシンをシャットダウンします。仮想マシンディレクトリ内に VHD ファイルが保存されています。

Step 2 Windows Azure に VHD ファイルをアップロードする

2.1 自己署名証明書をアップロードする

1) 自己署名証明書を作成します。

自己署名証明書は、マイクロソフト社の makecert.exe (証明書作成ツール) を使用して作成できます。

使用方法の詳細については、以下の URL を参照してください。

Makecert.exe (証明書作成ツール)

コマンド実行例)

makecert -sky exchange -r -n CN=CertificateName -pe -a sha1 -len 2048 -ss My CertificateName.cer

2) Windows Azure ポータルにログオンし、「設定」- 「管理証明書」のページから、作成した証明書をアップロードします。

3) アップロードした証明書のサブスクリプション ID 、サムプリントを控えておきます。

2.2 VHD ファイルをアップロードする

1) Azure のコマンドラインツールをインストールします。

【参考情報】

Windows Azure SDK

CSUpload コマンドラインツール

CSUpload.exe は、Windows Azure SDK for .NET -2.1 等に含まれています。

http://www.microsoft.com/ja-jp/download/details.aspx?id=39708

2) Windows Azure SDK コマンドラインを管理者権限で開きます。

3) 次のコマンドを使って接続文字列を設定します。

csupload Set-Connection "SubscriptionID=<Subscriptionid>;CertificateThumbprint=<Thumbprint>;ServiceManagementEndpoint=https://management.core.windows.net"

[オプションの説明]
Set-Connection: Windows Azure との接続に使用される接続文字用の永続的な値を設定できます。
SubscriptionID、CertificateThumbprint: 前述の証明書の値です。

ServiceManagementEndpoint は、Windows Azure のエリアごとに異なります。

4) 次のコマンドを使って、VHD ファイルをアップロードします。

csupload Add-Disk -Destination "<BlobStorageURL>/<YourImagesFolder>/<VHDName>.vhd" -Label <VHDName> -LiteralPath <PathToVHDFile> -OS Linux

[オプションの説明]
Add-Disk: ディスクとしてアップロードする VHD ファイルを指定します。
-Destination: VHD ファイルが保存されている BLOB ストレージアカウントを指定します。
指定する値には、アカウントのエンドポイント、ファイルが保存されているアカウントのコンテナー、および VHD ファイル名が含まれます。
管理ポータルの「ストレージ」ページから、エンドポイント、コンテナー情報等を確認できます。

"<BlobStorageURL>/<YourImagesFolder>/<VHDName>.vhd"部分の例
"http://auxpreview146imagestore.blob.core.azure-preview.com/mydisks/mydisk.vhd"

-Label: 管理ポータルでディスクに使用する識別子を指定します。
-LiteralPath: ディスクとしてアップロードするVHD ファイルの場所と名前を指定します。

VHD ファイルのサイズとネットワークの状況によっては、アップロードに数時間かかる場合があります。

Step 3 VHD ファイルから Linux を展開する

3. ディスクから仮想マシンを作成する

1) Windows Azure ポータルの「仮想マシン」ページに移動し、「新規」をクリックしてギャラリーから仮想マシンを作成します。

2) 「マイディスク」を選択し、仮想マシン用のディスクを選択します。

ここに上記で作成したディスクが表示されていない場合は、しばらく時間を置いてください。

3) 仮想マシン名と CPU/メモリを設定します。

4) ネットワーク、エンドポイントを設定します。

Azure では、マシンへの接続をすべてブロックするファイアウォールを設定しているため、該当マシンへ接続する際に使用するポートを、エンドポイントへ追加します。

以下は InterScan MSS で使用する代表的なポート番号です。
SSH: 22
SMTP: 25
InterScan MSS 管理コンソール: 8445
InterScan MSS EUQ コンソール: 8447

InterScan MSS で使用するポート番号の詳細については、InterScan MSS 7.1 インストールガイド( 第３章: 配置計画 - InterScan MSS ポート) を参照してください。

5) 「VMエージェント」のチェックボックスはオフにして、「完了」ボタンをクリックします。

Azure が、指定したディスクを使用して仮想マシンを起動します。

6) 仮想マシンを正常に展開した後、ダッシュボードページに移動して、仮想マシンの IP アドレス(パブリック IP または内部 IP)を取得します。

Step 4 Azure 上の Linux に InterScan MSS をインストールする

4.1 SSH で Red Hat Linux へ接続し、InterScan MSS 7.1 Linux をインストールする

1) Step 1 で作成したユーザを使用して SSH で Red Hat Linux へ接続した後、root ユーザに変更します。

sudo -s

2) Red Hat Linux で、任意の hostname を設定します。

3) /etc/selinux/config で次のように編集し、selinux を無効にします。

#SELINUX=enforcing
SELINUX=disabled

続けて、マシンを再起動します。

reboot

4) Red Hat Linux (64bit) 環境で InterScan MSS 7.1 Linux を利用する場合の制限事項の確認、追加が必要なパッケージ等のインストールを行います。

詳細は、InerScan MSS 7.1 Linux の Readme (「8. 既知の制限事項 - 8.6 ～ 8.11) を参照してください。

http://www.trendmicro.com/ftp/jp/ucmodule/imss/lin/71/readme_imss71_lin_b1241_r23.txt

Red Hat Linux 6.4 の ISO イメージから取得できる RPM パッケージについては、以下のように yum を使用してインストールすることができます。

yum install glibc.i686 nss-softokn-freebl.i686 libcap.i686 libattr.i686 libgcc.i686 compat-libstdc++-296.i686 expat.i686 libstdc++.i686 libuuid.i686 libxml2.i686 zlib.i686 telnet

Readme に記載されている他の手順(RPMパッケージインストールを除く)も忘れずに行ってください。

5) InterScan MSS 7.1 Linux インストールガイドに従って、InterScan MSS 7.1 Linux をインストールします。(postfix を MTA として使用してください。)

4.2 IPプロファイラを使用する場合に必要な設定

1) libTmFoxSocketLib.so をバックアップします。

cd /opt/trend/ipprofiler/lib
mv libTmFoxSocketLib.so libTmFoxSocketLib.so.bak

2) libTmFoxSocketLib.zip を /tmp 等で解凍し、 /opt/trend/ipprofiler/lib ディレクトリにコピーします。

libTmFoxSocketLib.zip

cp /tmp/libTmFoxSocketLib.so /opt/trend/ipprofiler/lib/
chmod 740 /opt/trend/ipprofiler/lib/libTmFoxSocketLib.so
chown imss:imss /opt/trend/ipprofiler/lib/libTmFoxSocketLib.so

3) /opt/trend/ipprofiler/script/foxlibd を次のように設定します。

TM_FOX_UID=0
TM_FOX_GID=0

"export D_LIBRARY_PATH:" 文字列を含む行の下に、以下を追加します。

TM_FOX_PROXY_CONNECT_PORT=2500
export TM_FOX_PROXY_CONNECT_PORT

4) /opt/trend/ipprofiler/config/foxproxy.ini で次のように設定されていることを確認します。

has_foxlib_installed=1

5) Postfix と FoxProxy を再起動します。

ⅰ) まず Postfix を再起動します。

postfix stop
postfix start

ⅱ) 次のコマンドを実行し、libTmFoxSocketLib.so がロードされていることを確認します。

pid=`ps axu|grep master|grep postfix| grep -v grep |awk '{print $2}'`; grep -e TmFoxSocketLib.so /proc/$pid/maps

出力結果に以下の文字列が含まれていれば、正しくロードされています。

libTmFoxSocketLib.so

ⅲ) FoxProxy を再起動します。

/opt/trend/ipprofiler/script/foxproxyd stop
/opt/trend/ipprofiler/script/foxproxyd start

4.3 iptables で必要なポートを許可する

Red Hat Linux 6.4 では、iptables が初期設定で有効になっています。

仮想マシンへ接続を行うため等に必要なポートを、許可するよう設定を変更します。

1) 以下は、InterScan MSS で使用する代表的なポートを許可するためのコマンド例です。

iptables -I INPUT 5 -p tcp --dport 8445 -j ACCEPT
iptables -I INPUT 6 -p tcp --dport 8447 -j ACCEPT
iptables -I INPUT 7 -p tcp --dport 25 -j ACCEPT

2) 設定内容が正しいかどうかを確認します。

iptables -L

次のように、許可したポートの記述が、"REJECT all -- anywhere anywhere reject-with icmp-host-prohibited" 行の前に表示されていることを確認します。

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:bootpc
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:8445
ACCEPT tcp -- anywhere anywhere tcp dpt:8447
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

3) 設定を保存します。

service iptables save

4.4 InterScan MSS が正しくメールを処理きることを確認する

1) InterScan MSS 7.1 Linux の管理コンソールへログオンします。

2) ライセンス情報、ポリシー等、必要な設定を行います。

3) InterScan MSS へメールを送信し、正しく処理されることを確認してください。

以上で操作は完了です。