No title available
"I'm Dorothy Gale from Kansas"
sheepfilms
he wasn't even looking at me and he found me
taylor price
titsay
shark vs the universe
cherry valley forever
art blog(derogatory)
trying on a metaphor
wallacepolsom
No title available
Discoholic 🪩
I'd rather be in outer space 🛸
Lint Roller? I Barely Know Her
Jules of Nature
oozey mess
❣ Chile in a Photography ❣
RMH
Kaledo Art
seen from Colombia
seen from United States
seen from Brazil
seen from Hungary
seen from Chile
seen from Greece
seen from Malaysia
seen from Malaysia
seen from Nigeria
seen from France
seen from T1
seen from United States
seen from United States
seen from Malaysia
seen from Australia
seen from United States
seen from United States
seen from Türkiye
seen from Malaysia
seen from Greece
@rmrfroot
firewalldでIPアドレス指定のサービス開放
リッチルールを使用できる。例えば 192.0.2.0/24 に対して MySQL へのアクセスを許可する場合は以下の通り。
# firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.0.2.0/24" service name="mysql" accept' # firewall-cmd --reload
特定のポートへのアクセスを許可する場合は、以下の通り。
# firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.0.2.0/24" port protocol="tcp" port="3306" accept' # firewall-cmd --reload
さくらのVPSベアメタルプランのUnixBench結果
======================================================================== BYTE UNIX Benchmarks (Version 5.1.3) System: tk2-246-32638.vs.sakura.ne.jp: GNU/Linux OS: GNU/Linux -- 2.6.32-573.22.1.el6.x86_64 -- #1 SMP Wed Mar 23 03:35:39 UTC 2016 Machine: x86_64 (x86_64) Language: en_US.utf8 (charmap="UTF-8", collate="UTF-8") CPU 0: Intel(R) Pentium(R) CPU G3260T @ 2.90GHz (5787.0 bogomips) Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET, Intel virtualization CPU 1: Intel(R) Pentium(R) CPU G3260T @ 2.90GHz (5787.0 bogomips) Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET, Intel virtualization 14:02:42 up 8 min, 1 user, load average: 1.27, 1.10, 0.57; runlevel 3 ------------------------------------------------------------------------ Benchmark Run: Thu Apr 07 2016 14:02:42 - 14:30:48 2 CPUs in system; running 1 parallel copy of tests Dhrystone 2 using register variables 34399524.0 lps (10.0 s, 7 samples) Double-Precision Whetstone 3654.8 MWIPS (9.9 s, 7 samples) Execl Throughput 1766.5 lps (30.0 s, 2 samples) File Copy 1024 bufsize 2000 maxblocks 1065506.4 KBps (30.0 s, 2 samples) File Copy 256 bufsize 500 maxblocks 316588.1 KBps (30.0 s, 2 samples) File Copy 4096 bufsize 8000 maxblocks 2695168.0 KBps (30.0 s, 2 samples) Pipe Throughput 2176062.8 lps (10.0 s, 7 samples) Pipe-based Context Switching 70559.2 lps (10.0 s, 7 samples) Process Creation 4683.1 lps (30.0 s, 2 samples) Shell Scripts (1 concurrent) 7720.1 lpm (60.0 s, 2 samples) Shell Scripts (8 concurrent) 1751.0 lpm (60.0 s, 2 samples) System Call Overhead 3948962.5 lps (10.0 s, 7 samples) System Benchmarks Index Values BASELINE RESULT INDEX Dhrystone 2 using register variables 116700.0 34399524.0 2947.7 Double-Precision Whetstone 55.0 3654.8 664.5 Execl Throughput 43.0 1766.5 410.8 File Copy 1024 bufsize 2000 maxblocks 3960.0 1065506.4 2690.7 File Copy 256 bufsize 500 maxblocks 1655.0 316588.1 1912.9 File Copy 4096 bufsize 8000 maxblocks 5800.0 2695168.0 4646.8 Pipe Throughput 12440.0 2176062.8 1749.2 Pipe-based Context Switching 4000.0 70559.2 176.4 Process Creation 126.0 4683.1 371.7 Shell Scripts (1 concurrent) 42.4 7720.1 1820.8 Shell Scripts (8 concurrent) 6.0 1751.0 2918.4 System Call Overhead 15000.0 3948962.5 2632.6 ======== System Benchmarks Index Score 1330.9 ------------------------------------------------------------------------ Benchmark Run: Thu Apr 07 2016 14:30:48 - 14:58:55 2 CPUs in system; running 2 parallel copies of tests Dhrystone 2 using register variables 68764673.1 lps (10.0 s, 7 samples) Double-Precision Whetstone 7309.3 MWIPS (9.9 s, 7 samples) Execl Throughput 13215.8 lps (30.0 s, 2 samples) File Copy 1024 bufsize 2000 maxblocks 1169586.7 KBps (30.0 s, 2 samples) File Copy 256 bufsize 500 maxblocks 314207.3 KBps (30.0 s, 2 samples) File Copy 4096 bufsize 8000 maxblocks 3547775.8 KBps (30.0 s, 2 samples) Pipe Throughput 4368392.0 lps (10.0 s, 7 samples) Pipe-based Context Switching 878227.4 lps (10.0 s, 7 samples) Process Creation 35034.0 lps (30.0 s, 2 samples) Shell Scripts (1 concurrent) 13383.0 lpm (60.0 s, 2 samples) Shell Scripts (8 concurrent) 1787.8 lpm (60.1 s, 2 samples) System Call Overhead 5873739.0 lps (10.0 s, 7 samples) System Benchmarks Index Values BASELINE RESULT INDEX Dhrystone 2 using register variables 116700.0 68764673.1 5892.4 Double-Precision Whetstone 55.0 7309.3 1329.0 Execl Throughput 43.0 13215.8 3073.4 File Copy 1024 bufsize 2000 maxblocks 3960.0 1169586.7 2953.5 File Copy 256 bufsize 500 maxblocks 1655.0 314207.3 1898.5 File Copy 4096 bufsize 8000 maxblocks 5800.0 3547775.8 6116.9 Pipe Throughput 12440.0 4368392.0 3511.6 Pipe-based Context Switching 4000.0 878227.4 2195.6 Process Creation 126.0 35034.0 2780.5 Shell Scripts (1 concurrent) 42.4 13383.0 3156.4 Shell Scripts (8 concurrent) 6.0 1787.8 2979.6 System Call Overhead 15000.0 5873739.0 3915.8 ======== System Benchmarks Index Score 3051.4
RDSのMySQLをなんとかしてタイムゾーン変更する
RDS を使っていて盲点だったのが、 RDS の MySQL はタイムゾーンが UTC に固定されていて変更できないこと。
NTTコミュニケーションズが運営している、OpenStack ベースの Cloud n でも同じ問題があって、グローバルで時刻を同期しておかないと、HAとかメンテナンスウィンドウの問題があるのではと思っているが、現実に困ることも多いので、なんとかできないかと調べてみた。
結論としては、 init_connect でセッションのタイムゾーンを変更すればOKっぽく、AWSフォーラムに書き込まれた中の人の対策法が定石となっているよう。
ただ、この対策法にもひとつ課題があって、とりあえずストアドを作らなければいけないので、立てたインスタンスをすぐホイっと使えないことと、ストアド入れ忘れてると MySQL が gone away する恐れが高いこと。
そこで、それなら init_connect にベタ書きすればいいじゃんーと思っていたら同じことをやってる方がいらっしゃったので、参考にさせていただいて若干クエリを変更し、設定完了。
RDS の Parameter Groups から、init_connect に以下の値を設定する。この項目は dynamic なので、Save と同時に適用される。
SET SESSION time_zone = CASE WHEN POSITION('rdsadmin@' IN CURRENT_USER()) = 1 THEN 'UTC' ELSE 'Asia/Tokyo' END;
ちなみに rdsadmin ユーザは RDS からのコントロールで利用されるユーザなので、UTC にしておく必要があるらしい。
Vultrのメモリ8GBインスタンスをunixbench
コスパ最強という噂の Vultr で、4コアCPU・メモリ8GBのインスタンスをテストしてみる。
まずはcpuinfo
root@vultr:~# cat /proc/cpuinfo processor : 0 vendor_id : GenuineIntel cpu family : 6 model : 60 model name : Virtual CPU e7da7129d3ee stepping : 1 microcode : 0x1 cpu MHz : 2399.996 cache size : 4096 KB physical id : 0 siblings : 4 core id : 0 cpu cores : 2 apicid : 0 initial apicid : 0 fpu : yes fpu_exception : yes cpuid level : 13 wp : yes flags : fpu de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx rdtscp lm constant_tsc rep_good nopl pni pclmulqdq ssse3 fma cx16 pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx rdrand hypervisor lahf_lm fsgsbase bmi1 avx2 smep bmi2 erms invpcid bogomips : 4799.99 clflush size : 64 cache_alignment : 64 address sizes : 40 bits physical, 48 bits virtual power management: processor : 1 vendor_id : GenuineIntel cpu family : 6 model : 60 model name : Virtual CPU e7da7129d3ee stepping : 1 microcode : 0x1 cpu MHz : 2399.996 cache size : 4096 KB physical id : 0 siblings : 4 core id : 0 cpu cores : 2 apicid : 1 initial apicid : 1 fpu : yes fpu_exception : yes cpuid level : 13 wp : yes flags : fpu de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx rdtscp lm constant_tsc rep_good nopl pni pclmulqdq ssse3 fma cx16 pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx rdrand hypervisor lahf_lm fsgsbase bmi1 avx2 smep bmi2 erms invpcid bogomips : 4799.99 clflush size : 64 cache_alignment : 64 address sizes : 40 bits physical, 48 bits virtual power management: processor : 2 vendor_id : GenuineIntel cpu family : 6 model : 60 model name : Virtual CPU e7da7129d3ee stepping : 1 microcode : 0x1 cpu MHz : 2399.996 cache size : 4096 KB physical id : 0 siblings : 4 core id : 1 cpu cores : 2 apicid : 2 initial apicid : 2 fpu : yes fpu_exception : yes cpuid level : 13 wp : yes flags : fpu de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx rdtscp lm constant_tsc rep_good nopl pni pclmulqdq ssse3 fma cx16 pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx rdrand hypervisor lahf_lm fsgsbase bmi1 avx2 smep bmi2 erms invpcid bogomips : 4799.99 clflush size : 64 cache_alignment : 64 address sizes : 40 bits physical, 48 bits virtual power management: processor : 3 vendor_id : GenuineIntel cpu family : 6 model : 60 model name : Virtual CPU e7da7129d3ee stepping : 1 microcode : 0x1 cpu MHz : 2399.996 cache size : 4096 KB physical id : 0 siblings : 4 core id : 1 cpu cores : 2 apicid : 3 initial apicid : 3 fpu : yes fpu_exception : yes cpuid level : 13 wp : yes flags : fpu de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx rdtscp lm constant_tsc rep_good nopl pni pclmulqdq ssse3 fma cx16 pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx rdrand hypervisor lahf_lm fsgsbase bmi1 avx2 smep bmi2 erms invpcid bogomips : 4799.99 clflush size : 64 cache_alignment : 64 address sizes : 40 bits physical, 48 bits virtual power management:
次いでfree
root@vultr:~# free -m total used free shared buffers cached Mem: 7985 1240 6744 0 83 971 -/+ buffers/cache: 185 7799 Swap: 0 0 0
そしてdf
root@vultr:~# df -h Filesystem Size Used Avail Use% Mounted on /dev/vda1 148G 1.5G 139G 2% / none 4.0K 0 4.0K 0% /sys/fs/cgroup udev 3.9G 4.0K 3.9G 1% /dev tmpfs 799M 352K 799M 1% /run none 5.0M 0 5.0M 0% /run/lock none 3.9G 0 3.9G 0% /run/shm none 100M 0 100M 0% /run/user
そしてunixbenchの結果
======================================================================== BYTE UNIX Benchmarks (Version 5.1.3) System: vultr.guest: GNU/Linux OS: GNU/Linux -- 3.13.0-53-generic -- #89-Ubuntu SMP Wed May 20 10:34:39 UTC 2015 Machine: x86_64 (x86_64) Language: en_US.utf8 (charmap="UTF-8", collate="UTF-8") CPU 0: Virtual CPU e7da7129d3ee (4800.0 bogomips) Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET CPU 1: Virtual CPU e7da7129d3ee (4800.0 bogomips) Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET CPU 2: Virtual CPU e7da7129d3ee (4800.0 bogomips) Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET CPU 3: Virtual CPU e7da7129d3ee (4800.0 bogomips) Hyper-Threading, x86-64, MMX, Physical Address Ext, SYSENTER/SYSEXIT, SYSCALL/SYSRET 03:15:14 up 31 min, 1 user, load average: 0.00, 0.02, 0.05; runlevel 2 ------------------------------------------------------------------------ Benchmark Run: Tue Sep 15 2015 03:15:14 - 03:43:24 4 CPUs in system; running 1 parallel copy of tests Dhrystone 2 using register variables 25731799.0 lps (10.0 s, 7 samples) Double-Precision Whetstone 3502.1 MWIPS (9.9 s, 7 samples) Execl Throughput 2353.1 lps (29.9 s, 2 samples) File Copy 1024 bufsize 2000 maxblocks 759678.3 KBps (30.0 s, 2 samples) File Copy 256 bufsize 500 maxblocks 225131.0 KBps (30.0 s, 2 samples) File Copy 4096 bufsize 8000 maxblocks 1655029.0 KBps (30.0 s, 2 samples) Pipe Throughput 1851894.9 lps (10.0 s, 7 samples) Pipe-based Context Switching 32689.8 lps (10.0 s, 7 samples) Process Creation 3951.8 lps (30.0 s, 2 samples) Shell Scripts (1 concurrent) 5649.5 lpm (60.0 s, 2 samples) Shell Scripts (8 concurrent) 1604.7 lpm (60.0 s, 2 samples) System Call Overhead 3202204.9 lps (10.0 s, 7 samples) System Benchmarks Index Values BASELINE RESULT INDEX Dhrystone 2 using register variables 116700.0 25731799.0 2205.0 Double-Precision Whetstone 55.0 3502.1 636.7 Execl Throughput 43.0 2353.1 547.2 File Copy 1024 bufsize 2000 maxblocks 3960.0 759678.3 1918.4 File Copy 256 bufsize 500 maxblocks 1655.0 225131.0 1360.3 File Copy 4096 bufsize 8000 maxblocks 5800.0 1655029.0 2853.5 Pipe Throughput 12440.0 1851894.9 1488.7 Pipe-based Context Switching 4000.0 32689.8 81.7 Process Creation 126.0 3951.8 313.6 Shell Scripts (1 concurrent) 42.4 5649.5 1332.4 Shell Scripts (8 concurrent) 6.0 1604.7 2674.5 System Call Overhead 15000.0 3202204.9 2134.8 ======== System Benchmarks Index Score 1043.2 ------------------------------------------------------------------------ Benchmark Run: Tue Sep 15 2015 03:43:24 - 04:11:42 4 CPUs in system; running 4 parallel copies of tests Dhrystone 2 using register variables 78896835.5 lps (10.0 s, 7 samples) Double-Precision Whetstone 12718.6 MWIPS (9.8 s, 7 samples) Execl Throughput 7081.7 lps (29.9 s, 2 samples) File Copy 1024 bufsize 2000 maxblocks 746725.9 KBps (30.0 s, 2 samples) File Copy 256 bufsize 500 maxblocks 210036.0 KBps (30.0 s, 2 samples) File Copy 4096 bufsize 8000 maxblocks 2115572.3 KBps (30.0 s, 2 samples) Pipe Throughput 5248363.7 lps (10.0 s, 7 samples) Pipe-based Context Switching 771622.1 lps (10.0 s, 7 samples) Process Creation 12140.1 lps (30.0 s, 2 samples) Shell Scripts (1 concurrent) 10726.3 lpm (60.0 s, 2 samples) Shell Scripts (8 concurrent) 2320.9 lpm (60.0 s, 2 samples) System Call Overhead 6647653.0 lps (10.0 s, 7 samples) System Benchmarks Index Values BASELINE RESULT INDEX Dhrystone 2 using register variables 116700.0 78896835.5 6760.7 Double-Precision Whetstone 55.0 12718.6 2312.5 Execl Throughput 43.0 7081.7 1646.9 File Copy 1024 bufsize 2000 maxblocks 3960.0 746725.9 1885.7 File Copy 256 bufsize 500 maxblocks 1655.0 210036.0 1269.1 File Copy 4096 bufsize 8000 maxblocks 5800.0 2115572.3 3647.5 Pipe Throughput 12440.0 5248363.7 4218.9 Pipe-based Context Switching 4000.0 771622.1 1929.1 Process Creation 126.0 12140.1 963.5 Shell Scripts (1 concurrent) 42.4 10726.3 2529.8 Shell Scripts (8 concurrent) 6.0 2320.9 3868.2 System Call Overhead 15000.0 6647653.0 4431.8 ======== System Benchmarks Index Score 2552.3
思ったほど出てない…東京だからか、ハズレか。
NAT配下のPostfixをバックアップMXにするとメッセージループが発生する
NATの配下にあるPostfix(AWSとか、いろいろなクラウド系とか)をバックアップMXとして構築すると、
mail for example.com loops back to myself
としてdeferredになってしまう。
これはPostfixが自ホストのIPアドレスを正しく認識しないと、自分宛にフォールバックしてしまうため。
このような場合は、ドキュメントに従って main.cf に proxy_interfaces オプションを以下のように定義し、Postfixに自ホストの外部IPアドレスを認識させる。
proxy_interfaces = 203.0.113.1
Ubuntuのキーボード設定をUSに切り替え
デフォルトでJPキーボード設定になっているVPSなどをコンソール操作するときに、USキーボードMacだと困るので切り替える。
# dpkg-reconfigure keyboard-configuration がベスト
# vim /etc/default/keyboard →以下の行を変更
XKBMODEL="pc105" XKBLAYOUT="us"
OSXのコマンドラインからディスク操作
SDカードのパスを調べるのにいつもSystem Reportを開いたりして面倒だったけど、コマンドで解決できた;
ディスクの一覧
$ diskutil list
diskXをアンマウント
$ diskutil unmountDisk /dev/diskX
ルート証明書を更新
頻繁にあることではないけど、サーバ内のルート証明書が古くてyumがエラー吐いたりすることがあるので、その場合の対処;
# yum update ca-certificates
シンボリックリンク攻撃対策と.htaccess内のphp_value
シンボリックリンク攻撃への対策を行うと、こんな感じの設定になる。
<Directory /home/*/public_html> Options SymLinksIfOwnerMatch ExecCGI AllowOverride AuthConfig FileInfo Indexes Limit </Directory>
ところがこれだと、.htaccess内でphp_valueが使えなくなるので、EC-CUBEがエラー起こしたりして面倒なことになる。
そこで、至った結論。
<Directory/home/*/public_html> Options SymLinksIfOwnerMatch ExecCGI AllowOverride AuthConfig FileInfo Indexes Limit Options=MultiViews,Indexes </Directory>
firewalld設定スクリプト
firewalldもiptablesのように一括設定したいので、スクリプトを書いてみた(テスト中)
# vim firewalld.sh
#!/bin/sh # interface zone IFACE=eth0 ZONE=public # reset everything firewall-cmd --permanent --change-interface=${IFACE} --zone=${ZONE} cp /usr/lib/firewalld/zones/${ZONE}.xml /etc/firewalld/zones/ if [ -f /etc/firewalld/direct.xml ]; then echo -n > /etc/firewalld/direct.xml fi iptables -t filter -F iptables -t nat -F iptables -t mangle -F iptables -t raw -F iptables -t security -F ip6tables -t filter -F ip6tables -t nat -F ip6tables -t mangle -F ip6tables -t raw -F ip6tables -t security -F systemctl restart firewalld # general rules firewall-cmd --permanent --zone=${ZONE} --add-icmp-block=redirect firewall-cmd --permanent --zone=${ZONE} --add-icmp-block=router-advertisement firewall-cmd --permanent --zone=${ZONE} --add-icmp-block=router-solicitation firewall-cmd --permanent --zone=${ZONE} --add-service=ssh firewall-cmd --permanent --zone=${ZONE} --add-service=http firewall-cmd --permanent --zone=${ZONE} --add-service=https firewall-cmd --permanent --zone=${ZONE} --add-port=60000-60010/udp # direct ipv4 rules firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 0 -p icmp --icmp-type 8 -m limit --limit 1/s --limit-burst 10 -j ACCEPT firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 1 -p icmp --icmp-type 9 -j LOG --log-prefix "J=DROP TYPE=PING_FLOOD " firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 2 -p icmp --icmp-type 8 -j DROP firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 3 -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "J=DROP TYPE=STEALTH_SCAN " firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 4 -p tcp ! --syn -m state --state NEW -j DROP firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 5 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j LOG --log-prefix "J=DROP TYPE=XMAS_TREE_SCAN " firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 6 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP # direct ipv6 rules firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT_direct 0 -p icmpv6 --icmpv6-type 128 -m limit --limit 1/s --limit-burst 10 -j ACCEPT firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT_direct 1 -p icmpv6 --icmpv6-type 128 -j LOG --log-prefix "J=DROP TYPE=PING_FLOOD " firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT_direct 2 -p icmpv6 --icmpv6-type 128 -j DROP firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT_direct 3 -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "J=DROP TYPE=STELTH_SCAN " firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT_direct 4 -p tcp ! --syn -m state --state NEW -j DROP firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT_direct 5 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j LOG --log-prefix "J=DROP TYPE=XMAS_TREE_SCAN " firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT_direct 6 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP # load rules firewall-cmd --reload # reset fail2ban chain systemctl restart fail2ban
# chmod +x firewalld.sh
# ./firewalld.sh
CentOS 7 に mosh を導入
モバイル回線などから作業をするのにSSHでは不安定なことがあるので、moshを導入する。
moshをインストール
# yum install mosh
moshが使用するポート(デフォルトでUDP:60000-60010)を開ける
# firewall-cmd --permanent --zone=public --add-port=60000-60010/udp # firewall-cmd --reload
firewalldのオプションでは指定できないルールを追加
firewalldのオプションでは指定できないiptablesルールを追加する
(2014.11.23)directモードでも --permanent オプションが使えるようになっていたので修正
# vim /etc/rc.d/rc.local →以下のようにdirectオプションを使ったルールを記載
firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 0 -p icmp --icmp-type 8 -m limit --limit 1/s --limit-burst 10 -j ACCEPT firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 1 -p icmp --icmp-type 8 -j LOG --log-prefix "J=DROP TYPE=PING_FLOOD " firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 2 -p icmp --icmp-type 8 -j DROP firewall-cmd --direct --add-rule ipv4 filter IN_public_deny 0 -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "J=DROP TYPE=STEALTH_SCAN " firewall-cmd --direct --add-rule ipv4 filter IN_public_deny 1 -p tcp ! --syn -m state --state NEW -j DROP firewall-cmd --direct --add-rule ipv4 filter IN_public_deny 2 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j LOG --log-prefix "J=DROP TYPE=XMAS_TREE_SCAN " firewall-cmd --direct --add-rule ipv4 filter IN_public_deny 3 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP firewall-cmd --direct --add-rule ipv6 filter IN_public_allow 0 -p icmpv6 --icmpv6-type 128 -m limit --limit 1/s --limit-burst 10 -j ACCEPT firewall-cmd --direct --add-rule ipv6 filter IN_public_allow 1 -p icmpv6 --icmpv6-type 128 -j LOG --log-prefix "J=DROP TYPE=PING_FLOOD " firewall-cmd --direct --add-rule ipv6 filter IN_public_allow 2 -p icmpv6 --icmpv6-type 128 -j DROP firewall-cmd --direct --add-rule ipv6 filter IN_public_deny 0 -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "J=DROP TYPE=STELTH_SCAN " firewall-cmd --direct --add-rule ipv6 filter IN_public_deny 1 -p tcp ! --syn -m state --state NEW -j DROP firewall-cmd --direct --add-rule ipv6 filter IN_public_deny 2 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j LOG --log-prefix "J=DROP TYPE=XMAS_TREE_SCAN " firewall-cmd --direct --add-rule ipv6 filter IN_public_deny 3 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP
# chmod +x /etc/rc.d/rc.local
# systemctl restart rc-local.service
permanent オプションを使用した方法↓
# firewall-cmd --permanent --direct --add-rule ipv4 filter IN_public_allow 0 -p icmp --icmp-type 8 -m limit --limit 1/s --limit-burst 10 -j ACCEPT # firewall-cmd --permanent --direct --add-rule ipv4 filter IN_public_allow 1 -p icmp --icmp-type 8 -j LOG --log-prefix "J=DROP TYPE=PING_FLOOD " # firewall-cmd --permanent --direct --add-rule ipv4 filter IN_public_allow 2 -p icmp --icmp-type 8 -j DROP # firewall-cmd --permanent --direct --add-rule ipv4 filter IN_public_deny 0 -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "J=DROP TYPE=STEALTH_SCAN " # firewall-cmd --permanent --direct --add-rule ipv4 filter IN_public_deny 1 -p tcp ! --syn -m state --state NEW -j DROP # firewall-cmd --permanent --direct --add-rule ipv4 filter IN_public_deny 2 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j LOG --log-prefix "J=DROP TYPE=XMAS_TREE_SCAN " # firewall-cmd --permanent --direct --add-rule ipv4 filter IN_public_deny 3 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP # firewall-cmd --permanent --direct --add-rule ipv6 filter IN_public_allow 0 -p icmpv6 --icmpv6-type 128 -m limit --limit 1/s --limit-burst 10 -j ACCEPT # firewall-cmd --permanent --direct --add-rule ipv6 filter IN_public_allow 1 -p icmpv6 --icmpv6-type 128 -j LOG --log-prefix "J=DROP TYPE=PING_FLOOD " # firewall-cmd --permanent --direct --add-rule ipv6 filter IN_public_allow 2 -p icmpv6 --icmpv6-type 128 -j DROP # firewall-cmd --permanent --direct --add-rule ipv6 filter IN_public_deny 0 -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "J=DROP TYPE=STELTH_SCAN " # firewall-cmd --permanent --direct --add-rule ipv6 filter IN_public_deny 1 -p tcp ! --syn -m state --state NEW -j DROP # firewall-cmd --permanent --direct --add-rule ipv6 filter IN_public_deny 2 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j LOG --log-prefix "J=DROP TYPE=XMAS_TREE_SCAN " # firewall-cmd --permanent --direct --add-rule ipv6 filter IN_public_deny 3 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP # firewall-cmd --reload
Ubuntuでcron.daily内のスクリプトが動作しない
原因はファイル名に含まれる . だった。
RHEL系はファイル名に . があっても問題ないが、UbuntuはNGとのこと。
suPHPの実行時エラーをブラウザに出力
デバッグで欲しい時があるので。
#vim /etc/suphp.conf
errors_to_browser=false ↓ errors_to_browser=true
SFTP転送にumaskを指定
suPHPとかsuExecを使っていると、022ぐらいのumaskを掛けておく必要がある。vsftpd経由のFTP転送では問題なくできているが、opensshのSFTP転送にも同じように適用する。
#vim /etc/ssh/sshd_config
Subsystem sftp /usr/libexec/openssh/sftp-server ↓ Subsystem sftp /usr/libexec/openssh/sftp-server -u 022
chrootを設定している場合は
Subsystem sftp internal-sftp ↓ Subsystem sftp internal-sftp -u 022
ForceCommand internal-sftp ↓ ForceCommand internal-sftp -u 022
phpMyAdmin に CAPTCHA 認証を導入
phpMyAdminへの不正ログインを避けるため、CAPTCHA認証を導入する。
対応しているphpMyAdminは4.1以上。未対応バージョンが導入されているサーバについては、手動でパッケージの入れ替えを行う必要がある。 (PHPとMySQLのバージョン互換性に注意)
1. 以下のreCAPTCHAサイトでドメインを登録し、アカウントを取得 (reCAPTCHAはGoogleでホストされているため、アカウント取得にはGoogleアカウントが必要)
https://www.google.com/recaptcha/
2. 発行された Public Key と Private Key を控える
3. phpMyAdmin の config.inc.php に、以下の書式で設定を追加
$cfg['CaptchaLoginPublicKey'] = '発行された Public Key'; $cfg['CaptchaLoginPrivateKey'] = '発行された Private Key';
LAMP on CentOS 7.0
CentOS 7 (RHEL7) から色々変わった。 従来通りの手順を貫き通す手もあるけど、正攻法でのセットアップ手順。
まず ifconfig に代わってIPアドレスを確認する方法
# ip addr
netstat -r は
# ip route
コマンドがルータっぽくなった
とりあえずパッケージを最新状態に更新
# yum update
タイムゾーンを日本時間にセット
# cp /usr/share/zoneinfo/Japan /etc/localtime # timedatectl set-timezone Asia/Tokyo
よく使うパッケージをインストール
# yum -y install vim-enhanced mailx sysstat bind-utils logwatch
ファイアウォールを設定
# vim /etc/firewalld/firewalld.conf → DefaultZone=public に設定(dhcpv6-client と ssh のみが許可される)
# firewall-cmd --state → firewalld が停止していることを確認
# systemctl start firewalls → firewalld が起動する(起動していないと以下の設定は行えない)
# systemctl enable firewalld → 自動起動設定(従来の chkconfig iptables on に代わるもの)
# firewall-cmd --list-all-zones → 定義されているゾーンの一覧を表示
# firewall-cmd --change-interface=eth0 --zone=public --permanent → eth0 のゾーンを public に設定(インタフェースごとにゾーン分けができる)
# firewall-cmd --get-icmptypes → 定義されている ICMP タイプの一覧を表示
# firewall-cmd --list-icmp-blocks --zone=public → public ゾーンで禁止されている ICMP タイプの一覧を取得
# firewall-cmd --add-icmp-block=redirect --zone=public --permanent # firewall-cmd --add-icmp-block=router-advertisement --zone=public --permanent # firewall-cmd --add-icmp-block=router-solicitation --zone=public --permanent → public ゾーンで不要な ICMP タイプを禁止
# firewall-cmd --get-services → 定義されているサービスの一覧を表示
# firewall-cmd --list-services --zone=public → public ゾーンで許可されているサービスの一覧を取得
# firewall-cmd --add-service=http --zone=public --permanent → public ゾーンに http サービスを追加
# firewall-cmd --query-service=http --zone=public → まだ http は追加されていないはず(再読み込みが必要)
# firewall-cmd --reload → 設定を再読み込みして反映させる
# firewall-cmd --query-service=http --zone=public → http が追加されたことを確認
まだ EPEL が出揃っていないので、fedora のパッケージから fail2ban をインストール(RHEL7 は fedora19 ベース)
# yum install ed gamin-python python-inotify
# wget http://ftp.iij.ad.jp/pub/linux/fedora/updates/19/x86_64/fail2ban-0.8.11-2.fc19.noarch.rpm → 最新版をダウンロード
# rpm -ivh fail2ban-0.8.11-2.fc19.noarch.rpm
# vim /etc/fail2ban/fail2ban.conf
33c33 < logtarget = SYSLOG --- > logtarget = /var/log/fail2ban.log
# vim /etc/fail2ban/jail.conf
77c77 < sendmail-whois[name=SSH, dest=root, [email protected], sendername="Fail2Ban"] --- > sendmail-whois[name=SSH, dest=root, sender=fail2ban, sendername="Fail2Ban”]
fail2ban を起動&自動起動設定
# systemctl start fail2ban
# systemctl enable fail2ban
LAMP 環境をインストール
# yum install httpd mod_ssl php php-mbstring php-mysql php-pdo php-pear php-xml php-gd mariadb mariadb-server
Apache の設定
# vim /etc/httpd/conf/httpd.conf
125c125 < AllowOverride None --- > AllowOverride All 144c144 < Options Indexes FollowSymLinks --- > Options FollowSymLinks 151c151 < AllowOverride None --- > AllowOverride All 247c247 < ScriptAlias /cgi-bin/ "/var/www/cgi-bin/" --- > #ScriptAlias /cgi-bin/ "/var/www/cgi-bin/" 316c316 < AddDefaultCharset UTF-8 --- > #AddDefaultCharset UTF-8 354a355,356 > ServerTokens Prod > TraceEnable off
PHP の設定
# vim /etc/php.ini
478c478 < display_errors = Off --- > display_errors = On 672c672 < post_max_size = 8M --- > post_max_size = 32M 800c800 < upload_max_filesize = 2M --- > upload_max_filesize = 32M 878c878 < ;date.timezone = --- > date.timezone = Asia/Tokyo
Apache の起動&自動起動設定
# systemctl start httpd
# systemctl enable httpd
MariaDBの設定
# cp /usr/share/mysql/my-medium.cnf /etc/my.cnf → サーバのスペックに応じて適切なものをコピー
# vim /etc/my.cnf
39a40,42 > thread_concurrency = 4 > character-set-server = utf8 > expire_logs_days = 7 120,122c123,125 < #innodb_data_home_dir = /var/lib/mysql < #innodb_data_file_path = ibdata1:10M:autoextend < #innodb_log_group_home_dir = /var/lib/mysql --- > innodb_data_home_dir = /var/lib/mysql > innodb_data_file_path = ibdata1:10M:autoextend > innodb_log_group_home_dir = /var/lib/mysql 125,126c128,129 < #innodb_buffer_pool_size = 16M < #innodb_additional_mem_pool_size = 2M --- > innodb_buffer_pool_size = 16M > innodb_additional_mem_pool_size = 2M 128,131c131,134 < #innodb_log_file_size = 5M < #innodb_log_buffer_size = 8M < #innodb_flush_log_at_trx_commit = 1 < #innodb_lock_wait_timeout = 50 --- > innodb_log_file_size = 5M > innodb_log_buffer_size = 8M > innodb_flush_log_at_trx_commit = 1 > innodb_lock_wait_timeout = 50
MariaDB を起動&自動起動設定
# systemctl start mariadb
# systemctl enable mariadb
MariaDB の初期設定
# mysql_secure_installation
phpMyAdmin を設置
# wget http://downloads.sourceforge.net/project/phpmyadmin/phpMyAdmin/4.2.6/phpMyAdmin-4.2.6-all-languages.tar.gz?r=http%3A%2F%2Fwww.phpmyadmin.net%2Fhome_page%2Fdownloads.php&ts=1405924699&use_mirror=jaist → 最新版をダウンロード
# tar zxfv phpMyAdmin-4.2.6-all-languages.tar.gz
# mv phpMyAdmin-4.2.6-all-languages /usr/share/
# ln -s /usr/share/phpMyAdmin-4.2.6-all-languages /usr/share/phpmyadmin
# cp /usr/share/phpmyadmin/config.sample.inc.php /usr/share/phpmyadmin/config.inc.php
Apache に phpMyAdmin へのアクセス設定を追加
# vim /etc/httpd/conf.d/phpmyadmin.conf → 以下の内容を記述
Alias /phpmyadmin /usr/share/phpmyadmin <Directory /usr/share/phpmyadmin> Options Indexes FollowSymLinks AllowOverride None Require all granted </Directory> <Directory /usr/share/phpmyadmin/setup> Require all denied </Directory> <Directory /usr/share/phpmyadmin/libraries> Require all denied </Directory>
設定内容を確認して反映
# apachectl configtest
# systemctl reload-or-restart httpd