2008-12-15 Mon

unbound を使ってみる はてぶ

新しく設定中のサーバに DNS キャッシュサーバとして unbound を使ってみることにしました.

日本Unboundユーザ会で rpm が用意されているので,それを利用.
x86_64 な rpm はなかったので,srpm からビルドしてインストール.

設定は,resolv.conf で自分を参照するように変更.

nameserver 127.0.01


/etc/unbound.conf の方は
- 応答するインターフェイスの指定
- acl の設定
- local-data の設定
- ISP の DNS へのフォワード設定
くらい.

server:
       interface: 127.0.0.1
       interface: 192.168.1.1
       access-control: 192.168.1.0/24 allow
       local-data: "www.ftnk.jp. A 192.168.1.10"
forward-zone:
       name: "."
       forward-addr: 10.1.0.1  # 実際は ISP の DNS
       forward-addr: 10.1.0.2


/etc/unbound.conf を編集したら,

unbound-checkconf


で設定内容の確認.

- 日本Unboundユーザ会
  http://unbound.jp/
- Unbound,知ってる? この先10年を見据えたDNS:第4回 Unboundサーバ運用Tips|gihyo.jp … 技術評論社
  http://gihyo.jp/admin/feature/01/unbound/0004
- Unbound,知ってる? この先10年を見据えたDNS:第3回 Unboundの導入(乗り換え編)|gihyo.jp … 技術評論社
  http://gihyo.jp/admin/feature/01/unbound/0003

Referrer (Inside):
[2010-08-12-1] Unbound の dnssec 対応
[2010-05-11-1] FreeNAS に Unbound をインストール
[2009-01-15-1] Unbound 1.2.0 リリース

2008-11-27 Thu

Squidの更新パターンでインターネットアクセスを高速化する はてぶ

http://sourceforge.jp/magazine/08/11/26/019236

帯域幅の制限は、インターネットに接続している多くの人にとって今なお残る問題の1つだ。しかし、プロキシキャッシュサーバSquidをネットワークにインストールし、設定パラメータを用いてバイトヒット率を上げれば、利用可能な帯域幅を3〜6割近くも拡大できる。
現在,squid を使っているので
「利用可能な帯域幅を3〜6割近くも拡大できる」
とはいかないだろうけど,少しでも拡大できた方がいい!

メモリ容量は、オペレーティングシステムおよびSquidの実行に必要な分に加え、キャッシュサイズの約1%をキャッシュのデータベース用に確保する必要がある。つまり、100GBのディスク領域をキャッシュにする場合は、そのデータベース用に約1GB、OSおよびSquid用に約100MBが必要になる。
知らなかった.

他にも知らなかったことが多いけど,
家で使っているような,クライアント数が少ない場合,
そこまでしなくてもいいかなぁ…… と.
大きなサイズの同じ動画を複数のクライアントから見る事がなさそうだし.

クライアント数が多ければ,やった方がいい設定が多いようなので,
あまり,自分には関わってこない.
会社のネットワークって squid とか使ってるのかな?
会社くらいなら効果あるんだろうけど.

2008-11-17 Mon

Nagios にウェブインタフェイス日本語パッチをあててみた はてぶ

作業内容は以下の通り.作業環境は CentOS 5.2.

cd ~/rpm/SRPMS
wget -nd http://apt.sw.be/fedora/5/en/SRPMS.rpmforge/nagios-3.0.5-1.rf.src.rpm
rpm -ivh nagios-3.0.5-1.rf.src.rpm
cd ../SPECS
emacs nagios.spec
rpmbuild -ba nagios.spec


nagios.spec の変更は以下の通り.

--- nagios.spec 2008-11-07 06:59:43.000000000 +0900
+++ nagios-ja.spec      2008-11-17 15:57:49.000000000 +0900
@@ -17,7 +17,7 @@
Summary: Open Source host, service and network monitoring program
Name: nagios
Version: 3.0.5
Release: 1.rf
License: GPL
Group: Applications/System
URL: http://www.nagios.org/
@@ -27,6 +27,7 @@

Source0: http://dl.sf.net/nagios/nagios-%{version}.tar.gz
Source1: http://dl.sf.net/nagios/imagepak-base.tar.gz
+Patch0: nagios-%{version}-ja-utf8.patch.gz
BuildRoot: %{_tmppath}/%{name}-%{version}-%{release}-root

BuildRequires: gd-devel > 1.8, zlib-devel, libpng-devel, libjpeg-devel
@@ -56,6 +57,7 @@

%prep
%setup
+%patch0 -p0

# /usr/local/nagios is hardcoded in many places
%{__perl} -pi.orig -e 's|/usr/local/nagios/var/rw|%{_localstatedir}/nagios/rw|g;' contrib/eventhandlers/submit_check_result


できた rpm をインストールして,nagios を再起動すれば,
とりあえずの日本語化は完了.


上で「とりあえず」と書いたのは
nagios-3.0.5-ja.patch.README.txt
に以下のような記述があるため.

■histgram.cgi,trends.cgi の生成画像の日本語化について
histgram.cgi,trends.cgi の生成画像はcgi.cfgに日本語パッチオリジナルの設定項目「ttf_file」に日本語のTruTypeフォントへのパスを設定することで日本語化された画像が生成されます。
「ttf_file」設定を行っていない場合は通常通りの英語での出力となります。日本語フォントはさざなみフォントで調整していますのでその他のフォントだと画像が乱れるかもしれません。

この部分については未確認.

いちおう,srpm 置いておきます.
nagios-3.0.5-1.rf.src.rpm

- nagios-3.0.5用のウェブインタフェイス日本語パッチを公開 [2008-11-16-1]

Referrer (Inside):
[2010-08-26-1] Nagios 3.1.0 + 日本語パッチ の rpm

2008-11-16 Sun

nagios-3.0.5用のウェブインタフェイス日本語パッチを公開 はてぶ

http://sourceforge.jp/forum/forum.php?forum_id=16359

nagios の日本語パッチなんてあったんですね.

パッチのみの配布で,パッチをあてたパッケージはないみたい.

明日,会社でパッケージを作ってみよう.

自分だけなら,英語インターフェイスでも構わないけど,
他の人のことを考えたら,日本語の方がとっつきやすいし.

via: ニュース: nagios-3.0.5用のウェブインタフェイス日本語パッチを公開 - Nagios-JP - SourceForge.JP(情報元のブックマーク数) - まっちゃだいふくの日記★とれんどふりーく★
     http://d.hatena.ne.jp/ripjyr/20081116/1226789047

Referrer (Inside):
[2008-11-17-2] Nagios にウェブインタフェイス日本語パッチをあててみた

2008-11-11 Tue

ネットワークをダウンさせかねない間抜けな失敗10選--ITプロフェッショナル編 はてぶ

http://japan.zdnet.com/sp/feature/07tenthings/story/0,3800082984,20383302,00.htm

#1:包括的なバックアップ計画や災害復旧計画を策定していない
#2:危険信号を無視する
#3:変更を文書化しない
#4:ログの容量を節約しようとする
#5:重要なアップデートのインストールを軽々しく行う
#6:アップグレードを先送りにすることで時間やコストを節約する
#7:パスワードの管理が甘い
#8:必ずすべての人を満足させようとする
#9:いかなる時でも誰も満足させようとしない
#10:自らを必要不可欠な存在にするために、自分の仕事内容を誰にも教えないようにする

たしかに文書化があまいんだよな……

2008-11-09 Sun

GroundWork Monitor はてぶ

第14回 Admintech.jp 勉強会([2008-10-25-1])の懇親会でちょっと話に出たのに,(酒のせいか)グラウンド〜までしか思い出せなかった統合監視ソフト.

- GroundWork Monitor Product Line :: GroundWork Open Source
  http://www.groundworkopensource.com/products/

- GroundWork Monitor 日本語コミュニティーサイト
  http://www.praesentia.co.jp/community/modules/tinyd3/

- GroundWork Monitor とは?
  http://www.praesentia.co.jp/community/modules/tinyd0/
によると

GroundWork Monitorは、GroundWork社が提供しているシステム監視ソフトです。
Nagiosなどの定評のあるオープンソースソフトを統合し、一元的に管理できるようにされています。
ということで,
- Nagios(オープンソースのネットワーク監視ソフトの定番: http://www.nagios.org/
- cacti(監視データのグラフ化ツール: http://www.cacti.net/
- RRDtool(監視データのグラフ化ツール)
- Ganglia(ネットワーク監視ツール: http://ganglia.info/
- NeDi(ネットワーク検出ツール: http://nedi.sourceforge.net/
などを一元管理できるようにしたものらしいです.

時間と環境が用意できたら試してみます.

via: TATSUYA.info [Diary](2008-11-08) - 監視系
     http://www.tatsuya.info/tdiary/?date=20081108#p03

Referrer (Inside):
[2009-01-22-2] オープンソース統合監視ツールGroundWork無償版の日本語化モジュール公開
[2008-11-17-4] GroundWork Monitor を使ってみた

2008-09-23 Tue

3分間ルーティング基礎講座 / 網野衛二 はてぶ

3分間ルーティング基礎講座 / 網野衛二

会社帰りに寄った本屋で発見.
とりあえず,Amazon のカートに放り込んだ.

- 3 Minutes Networking
  http://www5e.biglobe.ne.jp/~aji/3min/
- 3分間ネットワーク基礎講座 / 網野衛二 [2008-02-29-1]
3分間ネットワーク基礎講座 / 網野衛二

2008-09-23 Tue

第 4 種オレオレ認証局で client 証明 はてぶ

https でクライアント認証を行なうため,
第 4 種オレオレ認証局(特定の者だけに利用させることを想定しているもの)で
クライアント証明書を作成する.

まずは
- tkoshima.net ≫ Blog Archive ≫ CentOS の Apache でクライアント証明書認証
  http://tkoshima.net/wp/archives/338
を参考に証明書の作成,Apache の設定をする.

で,作成したクライアント証明書をインストールしたクライアントから
アクセスを試す.

Firefox は警告が出るもののサーバに繋がるが,IE 7 ではサーバに繋がらない.

- OpenSSLでオレオレ認証局を立ち上げる
  http://www.tietew.jp/articles/2007/01/30/how-to-setup-ca-using-openssl
を見ると

-extensions v3_ca -- CAであるというSubject Typeを埋め込む。これを付けないとIE7などのチェックの厳しいブラウザは証明書チェインの検証で失敗する。
とあるので,CA を書き換えて再度作成.

今度は IE 7 からでも接続できた.

関連
- 高木浩光@自宅の日記 - オレオレ証明書の区分 改訂版
  http://takagi-hiromitsu.jp/diary/20051118.html#p01

2008-09-21 Sun

GIGA Balancer はてぶ

1台あたり最大4Gbpsのトラフィックを処理可能なロードバランサー
を見て,

価格は初期設定費が12万8000円(税別)、年間サポートが16万8000円(同)から。
って一瞬安いなと思ったけど,LVS + DSR で,
ハードウェアは自分で用意するならたいして安くないな.
LVS なら自前で構成すればいいし.

保守も年間
- ¥168,000(営業日/センドバック対応)
- ¥504,000(営業日/オンサイト対応)
- ¥840,000(年中無休/オンサイト対応)
と安いとは言えない.

「BIG-IP は高過ぎるけど,自分で LVS の設定するのは面倒」
という人にはいいのかもしれないけど.

via: 1台あたり最大4Gbpsのトラフィックを処理可能なロードバランサー
     http://enterprise.watch.impress.co.jp/cda/network/2008/09/19/13897.html

2008-09-12 Fri

Fail2ban を使ってみる はてぶ

http://www.fail2ban.org/wiki/index.php/Main_Page

ssh へのブルートフォース攻撃を防ぐため,
Fail2ban を試してみました.

Fail2ban のサイトから fail2ban-0..6.2jik.src.rpm をダウンロードして
rebuild & install し,/etc/init.d/fail2ban を起動.

すると,/var/log/fail2ban.log に以下のようなログがでて動作しません.

2008-09-12 14:50:21,210 ERROR: time data did not match format:  data=Sep 12 14:40:10  fmt=%b %d %H:%M:%S
2008-09-12 14:50:21,210 ERROR: Please check the format and your locale settings.


で,検索.

- Nabble - debian-bugs-dist - Bug#363391: fail2ban: time data did not match format
  http://www.nabble.com/Bug-363391:-fail2ban:-time-data-did-not-match-format-td5625171.html
によると,/etc/init.d/fail2ban に

export LC_ALL=C


を追記しろということなので,追記して再起動したところ,
上記のようなエラーはでなくなりました.

次に動作確認.

外部から slogin し,わざとパスワードを間違えてみる.
fail2ban はデフォルトで 5 回パスワードを間違えると,
アクセスを禁止します.
1 回のログインで 3 回パスワードを入力することができるので,
2 回目のログイン試行でアクセスが禁止されることになります.

この時,/var/log/fail2ban.log は以下のようになrims.

2008-09-12 14:51:48,505 WARNING: SSH: Ban (600 s) 10.1.0.1
2008-09-12 15:01:48,603 WARNING: SSH: Unban 10.1.0.1


デフォルトでのアクセス禁止時間は 10 分.

- Main Page - Fail2ban
  http://www.fail2ban.org/wiki/index.php/Main_Page

(追記)
ダウンロードページの RedHat/Fedora には 0.6.1 までのパッケージしかなかったが,ソースは 0.8.3 まで出ている.

0.8 系は shorewall が必要な模様.

- Shoreline Firewall (Shorewall)
  http://www.shorewall.net/

0.8.1 でのログは以下のようになる.

2008-09-12 16:04:57,613 fail2ban.actions: WARNING [ssh-iptables] Ban 10.1.0.1
2008-09-12 16:14:58,063 fail2ban.actions: WARNING [ssh-iptables] Unban 10.1.0.1


(追記)
バージョンによっては,デフォルトで各種設定が無効になっているみたい.
/etc/fail2ban/jail.conf で有効・無効の切り替えができるので,
適切に切り替えて restart.

2008-09-08 Mon

ライブドアのサーバ監視サービス「DATAHOTELパトロール」を使ってみる はてぶ


- ライブドア、サーバ監視サービス「DATAHOTELパトロール」を無償提供 - SourceForge.JP Magazine
  http://sourceforge.jp/magazine/08/09/08/1022249

によると,ライブドアがサーバの死活監視サービス「DATAHOTEL パトロール」の無償提供を開始したそうです.

監視にはライブドアの中の人が開発したオープンソースの監視ソフト「zither」(チター)が利用されているそうです.

監視対象にエージュントをインストールしない,外部からの監視のみで,
以下の監視ができるそうです.
- 死活(ICMP)監視
- ポート監視
- ntpd監視
- DNSレコード監視
- URL監視
- SMTP監視

とりあえず,登録して HTTP と SMTP の監視を設定.
特に迷うこともなく,あっさりと設定できました.

まずは,正常動作時にアラートをあげるようにして設定の確認をします.

しばらくすると以下のような内容のメールが届きました.

エラーを観測しましたので、以下の監視内容を確認してください
監視項目の編集は以下のURLから行うことができます。
https://patrol.datahotel.ne.jp/customer/errorlist.php

-- 以下のURLが閲覧可能です --
重要度 : 中
プロトコル : URL
URL : www.ftnk.jp/
監視ポート : 80
待ち時間 : 7
監視情報 : -
監視先情報 : -
Error 情報 : URL 帰ってきたステータスコードが200番台です <HTTP/1.1 200 OK>

-- 以下のSMTPサーバが利用可能です --
重要度 : 中
プロトコル : SMTP
SMTPサーバ : mx.ftnk.jp
監視ポート : 25
待ち時間 : 7
監視情報 : -
監視先情報 : -
Error 情報 : SMTP 帰ってきたステータスコードが200番台です <220 mx.ftnk.jp ESMTP Postfix>


設定は問題ないようなので,異常検知時にアラートをあげるように変更.

- ライブドアデータホテルパトロール 無料サーバ・ネットワーク監視サービス
  http://patrol.datahotel.ne.jp/
- SourceForge.JP: Project Info - Zitherネットワークシステム監視
  http://sourceforge.jp/projects/zither

via: ライブドア、サーバ監視サービス「DATAHOTELパトロール」を無償提供 - SourceForge.JP Magazine
  http://sourceforge.jp/magazine/08/09/08/1022249

Referrer (Inside):
[2008-11-09-1] うちのサーバが非力すぎる

2008-08-19 Tue

Look@Lan - Network Monitoring and Management Solutions はてぶ

  http://www.lookatlan.com/

- 「Look@Lan」でネットワーク状況を監視(フリーソフト) : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア
  http://www.lifehacker.jp/2008/08/looklan.html

で紹介されていた Look@Lan を試してみたんですが,
Vista 上で IP address を指定してスキャンを行なうと固まってしまい,
使いものにならない.

他の環境だとどうなるのかは,後日試す.

2008-08-14 Thu

サーバ/インフラを支える技術 はてぶ

[24時間365日] サーバ/インフラを支える技術

とりあえず,一通り読み終わりました.

某ネットワークの改善に使えそうなネタがいろいろとあったし,
自分の理解が不十分だった点がわかったりと,
いろいろと有益でした.

とりあえず,冗長化関係は何回か読み直すことになると思う.

あと,サーバ/インフラ Tech Meeting の動画や資料を見ると,
より理解しやすくなると思います.

- サーバ/インフラ Tech Meetingの動画 - TechTalk.jp
- サーバ/インフラ Tech Meeting の資料など - naoyaのはてなダイアリー
- DSAS開発者の部屋:サーバ/インフラTech Meetingの報告+資料を公開します
- はてなのインフラ、いまむかし @ サーバ/インフラ Tech Meeting - とあるはてな社員の日記

2008-08-06 Wed

異なる NIC でサービス提供と ping 監視 はてぶ

サーバには大抵 2 つの NIC が付いているんですが,
今日,サーバを搬入した某データセンタでは,
サービス提供に使う NIC とは別の NIC で ping 監視を行なうそう.

つまり,
NIC 1: 外向けのサービス提供(グローバルIPアドレスを持つ)
NIC 2: ping 監視対象(ローカルIP アドレスを持つ)
という構成.

これだと,
- 外向けにサービスは提供できているのに,ping 監視で障害検知
- 外向けサービスの NIC が死んでいるのに,ping 監視では正常
という場合があるんで,あまり意味のあるものではない気がするんですが.

どういう意図でこのような運用になっているのでしょうか?
- サービスは提供できるけど,監視で異常がある, -> 監視側の NIC が死亡
- サービスが提供できていないけど,監視は異常ない -> サービス側の NIC が死亡
- サービスが提供できないし,監視も異常がある -> サーバ死亡 or NIC 2 枚とも死亡
という切り分けをしたいのかな?
ping 監視だけじゃなく,サービス提供側も監視する必要がでてくるけど,
サービス提供側も監視するなんて話は聞いていないし.

他のデータセンタでは,
- サービス提供用のネットワークの IP アドレスを 1 つ使って監視
という方法をとっているんですが,
こちらなら,NIC が死んだのかサーバが死んだのかわからないけど,
サービスが提供できない状態にあり,まずい状態だということが,
ping 監視だけでわかります.

2008-08-04 Mon

ドメイン更新 はてぶ

Value domain で取得した,ここ ftnk.jp を 1 年更新.

まあ,数年分更新してもよかったけど,なんとなく 1 年で.

- VALUE DOMAIN:バリュードメイン
  https://www.value-domain.com/

- ドメイン更新 [2007-08-20-1]
- Value Domain でドメイン取得 [2006-08-14-2]

Referrer (Inside):
[2009-08-01-1] ドメイン更新

2008-07-21 Mon

Dynamips を使ってみる Ubuntu Linux 編 はてぶ

[2008-07-21-1]で,Windows 上でうまくいかなかったので,
他の環境で試してみようということで,Ubuntu 上で試してみました.

まずはインストール

apt-get install dynagen dynamips


dynamips を起動してサーバとして待機させる.

dynamips -H 7200


dynagen で設定ファイルを読み込む

dynagen .dynagen/simple1.net


telnet localhost 2000


で接続できるが,キー入力を受け付けない(Windows と同じ状況).

- Dynamips を使ってみる Windows Vista 編 [2008-07-21-1]

Referrer (Inside):
[2008-07-21-1] Dynamips を使ってみる Windows Vista 編

2008-07-21 Mon

Dynamips を使ってみる Windows Vista 編 はてぶ

必要なもの
- Dynagen
  http://dynagen.org/
- Cisco IOS
  今回は 2611XM のものを利用

準備
- Dynagen をインストール
- C:\Program Files\Dynamips\images に IOS のイメージを置く

サンプルの simple1 を起動してみる.
simple1.net の "image = " の部分を IOS のイメージに合わせて変更

[localhost]

    [[2611XM]]
    image = \Program Files\Dynamips\images\c2600-ipbase-mz.124-2.T3.bin
    # On Linux / Unix use forward slashes:
    # image = /opt/7200-images/c7200-jk9o3s-mz.124-7a.image
    #npe = npe-400
    ram = 160

    [[ROUTER R1]]
    model = 2611XM
    s1/0 = R2 s1/0

    [[router R2]]
    model = 2611XM
    # No need to specify an adapter here, it is taken care of
    # by the interface specification under Router R1


で,まず,Dynamips Server を起動.

Dynamips Server

ここまでは問題ないが,simple1.net をダブルクリックして起動させると,
lock file が作れないと言われてしまうので,
Dynamips\sample_labs で実行ユーザでフルコントロールできるようにする.
これで lock file の問題は解決.

で,次に IOS image が見つからないと言われてしまったので,置き場所を変更.

[localhost]

    [[2611XM]]
    image = C:\c2600-ipbase-mz.124-2.T3.bin
    ram = 64

    [[ROUTER R1]]
    model = 2611XM
    s1/0 = R2 s1/0

    [[router R2]]
    model = 2611XM


これで起動して,接続まではできたけど,
接続した後,プロンプトが出てこない.

Dynamisp telnet

- Dynamips を使ってみる Ubuntu Linux 編 [2008-07-21-2]

Referrer (Inside):
[2008-07-21-2] Dynamips を使ってみる Ubuntu Linux 編

2008-07-18 Fri

CentOS で tftp を使う はてぶ

Cisco の機器から IOS を抜き出したかったので,
CentOS に tftp サーバをたててみました.

まず,

yum install tftp tftp-server


でインストール.

/etc/xinetd.d/tftp を編集.

service tftp
{
    socket_type             = dgram
    protocol                = udp
    wait                    = yes
    user                    = root
    server                  = /usr/sbin/in.tftpd
    server_args             = -c -u root -s /tftpboot
    disable                 = no
    per_source              = 11
    cps                     = 100 2
    flags                   = IPv4
}


インストールした際に,/tftpboot が作られているので,tftp の / にする.
/tftpboot の owner が root なので,root で動作するように
"-u root" をつける.
新規ファイルの作成を許可するため,"-c" オプションをつける.

これで ok.

あとは目的の機器で,

copy flash: tftp:


して終了.

2008-07-18 Fri

サーバ/インフラを支える技術 はてぶ

[24時間365日] サーバ/インフラを支える技術

とりあえず,カートに放り込んだ.

2008-07-17 Thu

nmap の Windows 用フロントエンド NMapWin を使う はてぶ

ちょっと port が開いているか確認する必要があったので,
nmap の Windows 用フロントエンド NMapWin を使ってみました.

最新の NMapWin v1.2.3 をダウンロードしてインストールしたんですが,
nmap の実行時にエラーが出るので,nmap.exe を最新の 4.68 と入れ替えました.

これで単純な port scan は行なえますが,OS Detection などの機能は
必要なファイルが適切に配置されていないようで,実行できませんでした.

- NMapWin
  http://nmapwin.sourceforge.net/
- Nmap - Free Security Scanner For Network Exploration & Security Audits.
  http://nmap.org/

- 清く、正しい、nmapの使い方 [2003-04-13-2]
  http://www.yk.rim.or.jp/~shikap/security/use_nmap.html

Referrer (Inside):
[2008-07-31-6] 2008 年 7 月に読んだ本
ChangeLog 最新ページ / カテゴリ最新ページ / 前ページ 1 2 3 4 5 6 7 8 9 10 / page 2 (10)