安定・安全・質実なサーバー・ディストリビューション、Annvix

  Annvix は、サーバーのための安全・安定・高速な基盤を提供することを目的とするディストリビューションだ。だが、誰にでもお勧めできるものではない。

 Annvixをインストールし試用してみたので報告する。まず、Annvixのnetinstall CDを起動するとシェルが動きメッセージが表示された。いわく、「rootのパスワードは『root』である、このパスワードは変更すべきだ、ネットワークを設定してターミナルを開きlynxを使ってインストールの解説書を読むべし。」 これだけでも、一般利用者を想定した普通のGUIインストーラーを提供するつもりのないことがよくわかる。

 何はともあれ、ここで、いつものように「loadkeys dvorak」コマンドでキーボードをDvorakに切り替える。と思ったのだが、コマンドは機能しなかった。Dvorakは含まれていないのだろう。先に進むことにする。ネットワークを設定して解説書を見る。すると、Dvorakキーマップはインストールされているはずだということがわかった。そこで、該当するディレクトリーを見ると確かにインストールされている。何のことはない、パラメーターをフルパスで指定しなければならないのだ。いままでに使ったloadkeysではそんなことはなかったのだが。もっとも、だからこそ、解説書の冒頭でその旨説明されているのだろう。

 次に、解説書に従い、fdiskでパーティションを切り、手作業でスワップ・パーティションを追加、Annvixをインストールする予定のパーティションをマウントし、install-pkgsコマンドでパッケージをコピーした。言われたとおりにrootのパスワードを変更しておいたのだが、再び変更が指示される。次いで、パッケージのコピーが始まり、WebサイトでAnnvixの説明を読み始めたと思ったら、コピーは完了。かなり高速だ。このパッケージ・マネージャーのフロントエンドは明らかにAPTだが、バックエンドはRPM。どうやら、Annvixの開発者たちは、インタフェースはyumよりAPTの方が有用、パッケージ・マネージャーはRPMがよいと考えているらしい。

 コピーが終わったので再起動する。起動は驚くほど速く、再起動して計測してみたほどだ。ブートローダーからログイン・プロンプトまで17秒。これには、回避可能なDHCPの待ち時間が5秒強含まれている。メモリーを512MB搭載した我がAMD Sempron 2800で起動したことのあるバニラ・インストール(インストールした直後の状態のディストリビューション)の中で断トツの速さだ。Annvixには、確かに贅肉はないようだ。

 ログインして、「apt-get update && apt-get dist-upgrade」を実行。最新コードの取得もカーネルのアップグレードも問題なく終了した。新しいカーネルで再起動して動作を確認したところ、「loadkeys dvorak」コマンドを除き、正常に動作した。loadkeysコマンドはファイルに拡張子を付ければフルパスでなくても機能するようになったが、これでも標準的な動作ではない。

 次に、アップデートが速いため愛用しているテキスト・エディターnanoをインストールしようと思ったのだが、リポジトリーにはなかった。調べてみると、ないものが結構ある。欠落しているものの中で最も知られているのはX11/xorgだろう。x11を参照するライブラリーはいくつかあるがいずれも不完全で、xorgパッケージもない。x11を参照するパッケージは幻なのだ。ウィンドウ・マネージャーがないことも、それを裏付けている。Annvixの開発者たちは、まなじりを決して贅肉を削ぎ落とそうとしているようだ。

 一方、サーバーについては主なものはあった。サーバーの各種タイプが幅広く揃っているというわけではないだろうが、次に示すように、広範な需要に対応できるだけのものは用意されている――Apache2MySQLPostgreSQLNFS utilsSambaOpenLDAPOpenNTPDSpamAssassinSubversionPure-FTPDExim、BIND、DovecotOpenSSH。また、gccとすべての関連ライブラリー、PerlPythonといった重要なものも揃っている。Apache+PerlとApache+PHPのパッケージがあったので、Apache+PHPとMySQLをインストールしMySQLのユーザーを設定して、テスト・ページを実行してみた。だが、PHPはインストールされたものの、Apacheの方はPHPが使えるようには構成されていなかった。こうした事態にはすでに慣れっこになっているので、さして驚くこともない。MySQLは何もしなくても正常に機能した。そこで、Apacheを設定し、必要とおぼしき機能を調べてみた。我がサーバーは問題なく動作しているようだ。

 かくのごとく、確かに、Annvixにはいささかの飾りもない。ならば、安全の方はどうだろうか。

 リポジトリーにあるパッケージの中で重要なものは、ネットワーク侵入検知システム(IDS)Snortと、Tripwireの代わりのホスト型IDSAideの2本だ。ネットワークIDSはネットワーク・トラフィックを監視し、既知の攻撃パターンやセキュリティー問題の兆候を検知する。一方、ホスト型IDSはpasswordファイルやshadowファイルなどの必須システム・ファイルの変更を監視する。セキュリティー・ポリシーに反する改変を検知すると(たとえば、新しいユーザーの追加は問題としないが、rootユーザーのパスワード変更には反応する)、その旨システム管理者に通知する。どちらも、定期的なアップデートとともに、サーバーを安全に保つために不可欠なツールだ。そこで、両方をインストールした上で、別のシステム上にあるNiktoとNmapを使って我がAnnvixサーバーをスキャンしてみた。Snortが定期的なスキャンを検知したのは予想どおりだが、検知システムを回避するように特別に設計されたスキャンも検知し正しく判定したのには驚いた。さらに、Nessusでも利用可能な脆弱性を発見できずSnortがそのスキャンを検知したことを考え合わせると、Annvixは比較的安全だと考えられる。

 以上のことから、Annvixの宣伝文句は伊達ではないことがわかる。Annvixは、確かに、安定・安全・サーバー指向のディストリビューションであり、汎用の基本プラットフォームなのだ。解説書もよくできており、構成はスクリプトではなく管理者が行うことが想定されている。したがって、しばらくの間GNU/Linuxの深淵に分け入ってみたいと考えるなら、そしてどこから始めようか迷っているなら、Annvixはゼロから自前のディストリビューションを作ることができるようになるまでの格好の道場となる。実際に使いながら、手順を一つひとつ覚えさせてくれるだろう。また、サーバー・ディストリビューションを探している場合も、盛りだくさんだが古いDebianベースよりも、Annvixの方が適切だろう。どちらの場合も、Annvixには、手に取ってみるだけの価値がある。

Preston St. Pierre フレイザー・ヴァレー大学(カナダ・ブリティッシュコロンビア州)の学生。専攻はコンピュータ情報システム。

Linux.com 原文