カテゴリー別アーカイブ: サーバー

startsslによる無料SSL認証局の導入

SSL認証は特定のメンバー向けなサイトが多かったので基本オレオレ認証でやってきたのですがどうも無料でSSL証明書を取れるらしいので使ってみました。

サインアップする前にドメインのwhoisに指定されているメールアドレスが受信できる必要があります。またCSRも事前作成しておくとスムーズに進みます。作業は大まかに分けると下記の手順があります。

  • StartSSLのアカウント作成
  • ドメイン認証
  • SSL申請

 

StartSSLのアカウント作成

01

まずはStartSSLのアカウント作成の手順から説明します。公式サイトにアクセスしたら「Start Now for Free SSL Certificate」をクリックします。

続きを読む

fail2banがBanしなくなった

ある日メールボックスを開くととあるサーバーのfail2banからBanしたという通知メールが頻繁に届いていました。どこからか攻撃されているのだと思ったのですが、その本文を見ていくと、なぜか同じIPから立て続けに不正アクセスが来ていました。fail2banの設定では10分以内に5回以上ログインに失敗すると24時間iptablesによりブロックするよう定義していたはずでした。これはおかしいと思いサーバーへログインし、sylogをチェックすると、下記のようなログが残されていました。

どうやらiptablesにより正しくブロックされていないようでした。このログを見るとiptablesに-wというオプションを渡しています。私のしる限りこのオプションは見たことがなかったのでmanコマンドで調べて見ました。するとそこには-wオプションについて何も記載がありません。インターネットで検索して調べてみると、どうやら最近実装された新しいオプションのようです。CentOS6.7の最新のiptablesのバージョンはこの時点で1.4.7でした。

続きを読む

MA-100を使ってIPv6を導入する(1)

世間ではIPv4アドレスは枯渇したとかしないとか話題になっていますが、私個人としてはあまり普及している感じがしません。ただ今後徐々にIPv6が普及していくとなると、それが使えないでは困ってしまいそうです。最近ではプロバイダのIPv6対応も進み、家で使っているNTTぷららも追加料金なしでPPPoE方式によるIPv6が提供されていました。ただし、追加料金はないもののMA-100というよくわからない機器を別途購入する必要がありました。

P_20151030_051355_NT

MA-100(中央の紫の機器)

MA-100について調べてみると通常1万円前後で購入できるようです。ちょっと高い気がします。オークションなんかで転がってたりしないかなと思って検索してみるとなんと1,000円で無線カード付きで転がってました。残り時間はまだ4日なのでとりあえず入札して様子を見ていましたが、結局終了まで私以外誰も入札がなかったようで、1,000円で落札完了。送料を含めても2,000円を切る破格で入手できてしまいました。そんなに需要がないのか…。

続きを読む

Ubunguで起動時にgrubメニューを表示させる

自分のデスクトップPCはOSがUbuntuのみなせいなのか、起動時にgrubのメニューが表示されず、いきなりUbuntuが起動します。Ubuntu専用機なのでそれでもいいのですが、アップデート前のKernelを使いたい時などにgrubのメニューが表示されないと地味に困ります。今回その設定をしたので、メモ程度に手順を残しておきます。

続きを読む

DebianのbindでAAAAフィルタを有効にする

AAAAフィルタを有効にするにはconfigureオプションに–enable-filter-aaaaを加える必要があります。しかしパッケージ版bindではこのオプションが有効になっていません。そこでソースパッケージをダウンロードし、その中のconfigureオプションを書き換えて生成されたパッケージをインストールする方法でAAAAフィルタを有効化します。

まずはbind9のビルドに必要なものをインストールし、ソースをダウンロードします。この時ソースはカレントディレクトリにダウンロードされますので/usr/local/src/bind9などのディレクトリを作成してそこに移動してから実行した方が良いです。

mkdir /usr/local/src/bind9
cd /usr/local/src/bind9
apt-get build-dep bind9
apt-get source bind9

ダウンロードが完了したら次のファイルを編集します。
下記のファイル内にconfigureオプションを指定している行があるので、そこに–enable-filter-aaaaを加えます

vi bind9-.dfsg/debian/rules

編集したらビルドしてインストールします。

cd /usr/local/src/bind9
apt-get source -b bind9
dpkg -i *.deb

最後に/etc/bind/named.conf.optionsにfilter-aaaa-on-v4 yes;を追加し、bindを再起動すれば完了です。

AndroidのUSBテザリングをLinuxから利用する

USBで接続したAndroid端末(今回はGalaxy S3a)をテザリング端末として利用した時のメモ。USBで接続し、端末側でUSBテザリングを有効にすると、Linuxの端末からは既にEthernetデバイスとして認識しています。なので下記のコマンドを実行してDHCPからIPを取得すれば何の問題もなく使えます。


chclient usb0

ちなみにこのUSBテザリングはWifi接続とテザリングすることも可能です。この場合NAT接続になりますのでLAN内にあるSambaサーバーにアクセスする事は可能ですが、逆にノートPCの共有フォルダへアクセスする事はできません。

mrtgでサーバーへのpingの応答時間を記録する

監視対象のサーバーにpingを投げてその応答時間(ミリ秒)をMRTGで測定する時のメモ。このデータは瞬間値でルーターの負荷などローカル環境の状態にも依存してしまう事からあまり信頼性の高いデータとは言えませんので参考程度の記録しかできません。

# ping_ftp_server #
Target[ping_ftp_server]: ping -c 2 XXX.XXX.XXX.XXX | grep time= | sed -e "s/^.*time\=\([0-9]\+\).*$/\1/"
MaxBytes1[ping_ftp_server]: 500
MaxBytes2[ping_ftp_server]: 500
Unscaled[ping_ftp_server]: dwmy
Options[ping_ftp_server]: gauge,absolute,noinfo,nopercent,unknaszero
YLegend[ping_ftp_server]: ms
ShortLegend[ping_ftp_server]: ms
LegendI[ping_ftp_server]: ms
LegendO[ping_ftp_server]: ms
Legend1[ping_ftp_server]: ms
Legend2[ping_ftp_server]: ms
Title[ping_ftp_server]: ping to ftp server
PageTop[ping_ftp_server]: <h1>ping to ftp server</h1>

XXX.XXX.XXX.XXXの所に監視対象のサーバーのIPアドレスを入れます。ホスト名でも大丈夫です。MaxBytesは応答時間(ミリ秒)の上限値です。ここではだいたい100msで帰ってくるサーバーを想定してますので上限を500に設定しています。1000ぐらいに設定して自動スケールを入れてもいいかもしれません。

ちなみにこれ(Targetの所に指定したコマンド)がやっている事は次のような感じです。改造する場合の参考になればと思います。

  • pingを2回投げる
  • 帰ってきたデータのうちtime=を含む行をgrep
  • time=([0-9]+)をsedで抽出。(この時小数点以下は捨てられる)