» ネットワークのブログ記事

いくら仕事でIT関係をやっているといっても、いざ家庭に導入となると困る。
仕事でやってるからなおさらといおうか。ハンパにネット社会を見慣れていると、ネットの嫌なところが先に立ってなかなか上手くできると思わない。
 
 

しかし何時までもそんなことは言ってられず、"互いの"リテラシを向上しなければと思い、以前立ち読みして以来気になっていた書籍を買ってきた。
 

いやぁコレ、すごくいい本だと思うよ。紹介する俺がアルファブロガーでなくて申し訳ないくらいだ。
なんというか必死？守ること、教えることに必死な感じが書かれているのがいい。
 
 

こういうジャンルで他の物は少ししか見たことないので褒めすぎかもしれん、もう数年すれば世界もだいぶ変わってるかもしれんが、家庭内でITの事が分かるのが自分ひとりという状況のお父さんは読んでおいて損はないんじゃないか。
 

自分なんかはもうすぐ子世代の使う端末・リテラシについていけなりそうだが、それの巻き添えで子のIT活用を出遅れさせるのもつらいしね。
 
 
 

けんじろう と コラボろう！

http://blogs.itmedia.co.jp/kenjiro/

この本の内容は著者のブログ↑でだいたい読めるっぽいんだが、やっぱり紙がいいんだよな。
 

VNCを適当に入れたら、ポート5800でWEBサーバが立つじゃない。
RealVNCのJavaのアプレットがぽつんと置いてある奴。
 

あれが重たい＆ちょっと別用途でWEBブラウザから使いたいと思ったので別のものを探してみた。
 
 

TightVNC
http://www.tightvnc.com/
 
これが良かった。
 
 

Viewer Only のアーカイブをダウンロードしたら、サンプルのindex.htmlをclassesの中に放り込み、適当にWEBサーバの公開領域におこう。
それだけでVNCのクライアントが使える。まあ普通のJavaアプレットの展開と同じなんだけど。
 

TightVNCの利点はこのビュワーの手軽さと、軽快な動き。
RealVNCの奴は重たくてなかなか使い物にならなかったけど、これは軽い。CLIならほとんどストレスなく動かせた。
 
 

ちなみにサンプルのHTMLはこんな感じ。
最初直接叩いてみたが、*.jarが同一ディレクトリに無いと怒られる。
 
<HTML>
<TITLE>
TightVNC desktop
</TITLE>
<APPLET CODE="VncViewer.class" ARCHIVE="VncViewer.jar"
WIDTH="800" HEIGHT="632">
<PARAM NAME="PORT" VALUE="5901">
</APPLET>
<BR>
<A href="http://www.tightvnc.com/">TightVNC site</A>
</HTML>
 
 

このファイルを編集して、パラメータを渡せば別サーバに接続とか行ける。
<param NAME="HOST" VALUE="hoge.example.com">
 
 

さてこれをどっかに組み込んでみたいなと思ってる。
なぜ今更こんなのかっていわれると、VNCで使い勝手が上がるものがあるじゃない、Qemuとか、Xenとか・・・
 
 

ただ、これを別サーバ接続用のクライアントとして使おうとしたら、ポリシーの関係で なんだっけ、SocketPermission の違反が起きちゃうんだよね。
この制限解除はどこでやるんだ？できると助かる、サーバ側で指定できるといいんだがなあ。
 

以前のものでiptablesのipt_recentをつかって、2行のコマンドでsshのアタックを防ごうという記事があるのだけど、とあるサーバで適用できなかったので別手段を。
 
 

(ほぼ)共同で借りているVPSレンサバがあるんだが、OpenVZかVirtuozzoかのコンテナらしくてiptablesのモジュールが自由にできないのがある。
そこではipt_recentをつかうとエラーになってしまい、前述の簡単ブルートフォース対策が使えないのだ。
 
 

仕方ないので fail2ban を使うことに。
pythonで動く、アクセス制限操作用のプログラムだ。
ちなみに導入先はCentOS5.4。
 
 

fail2banのインストール

開発元のサイトから最新のStableを落とそう、記事の時点では0.8.4だった。
http://www.fail2ban.org/wiki/index.php/Main_Page
 

RPM があるみたいだけど、ここはtarボールで。簡単だから。
 

展開したらPythonのスクリプトを流そう、Python2.3以上がいるらしいが、
まあ問題ないだろう。
# python ./setup.py install
 
なんとこれだけで終わりだ、便利になったもんだ。

"/etc/fail2ban/" に設定が一式、"/usr/share/fail2ban"にpythonのスクリプトが入る。

1. fail2ban.conf：基本の設定
2. jail.conf：サービス別設定

これだけ覚えてりゃなんとかなる、今回は jail.conf しかいじらない。
 
 

fail2banの動作パターン

ログを30秒ごとに監視する⇒パターンマッチしたらアクション(iptables設定追加など)
一定時間経過⇒適用済みのアクションを解除
 
という感じだ。
 
 

色々細かい設定やテストが出来るが基本はこのパターン。シンプルで他に影響が出ない。
導入の敷居としては低いんじゃないかな。
 

※当然iptablesを動かして無いと効果がない。
 
 

sshの制限（設定）

じゃあ導入のきっかけ、sshの制限をしよう
 
 

jail.confにもともと書いてある設定をちょっといじる。太字は大事なとこで、他も適当に書き換えよう。
 

[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
# sendmail-whois[name=SSH, dest=hogehoge@example.com, sender=fail2ban@mail.com]
logpath = /var/log/secure
maxretry = 5
 

有効にして、メール通知やログパスの設定を環境に合わせる。
通知はコメントアウトしているが、動作確認などでは便利なので安定動作を確認するまで使ったほうがいい。
 
 

sshの制限（デーモン稼働）

fail2banの軌道方法だけど、スクリプトが用意してある。
デーモンモードとなり、制御端末は切り離されるのでログアウトしても心配いらない。
# /usr/bin/fail2ban-client start
 

設定を変更した場合などは、
# /usr/bin/fail2ban-client reload
 
 

自動起動についてだけど、init.d/に置くスクリプトはとくに用意してないみたいだったので、inittabに書いちゃったな。
これについてはきっちり試してないのだが多分大丈夫だろう。
 
 

fail2banの様子

とりあえず同一のIPから600秒以内に5回ログインミスったらbanするように(さっきの設定)した。
デフォルトではbanして600秒たったら元に戻る。
 

"/var/log/fail2ban.log" にbanの様子が記録されるので見てみよう。

# tail /var/log/fail2ban.log
2010-03-23 18:20:55,628 fail2ban.actions: WARNING [ssh-iptables] Ban 211.142.19.251
2010-03-23 18:30:55,810 fail2ban.actions: WARNING [ssh-iptables] Unban 211.142.19.251
2010-03-23 21:35:14,533 fail2ban.actions: WARNING [ssh-iptables] Ban 211.142.19.251
2010-03-23 21:45:14,707 fail2ban.actions: WARNING [ssh-iptables] Unban 211.142.19.251
2010-03-23 22:33:37,424 fail2ban.actions: WARNING [ssh-iptables] Ban 211.157.108.132
2010-03-23 22:43:37,616 fail2ban.actions: WARNING [ssh-iptables] Unban 211.157.108.132
2010-03-24 00:00:34,088 fail2ban.actions: WARNING [ssh-iptables] Ban 64.3.96.221
2010-03-24 00:10:34,310 fail2ban.actions: WARNING [ssh-iptables] Unban 64.3.96.221
2010-03-24 00:53:33,939 fail2ban.actions: WARNING [ssh-iptables] Ban 211.142.19.251
2010-03-24 01:03:34,114 fail2ban.actions: WARNING [ssh-iptables] Unban 211.142.19.251

おお、引っかかってるね。Banして、10分後にUnban、10分もすりゃたいがい攻撃は終わってる。
こいつらほっといたら万単位で試行しやがる、まったく。
 
 

ついでにログを何秒間隔で掘っているのか気になったのでstraceして測ってみた。
# strace -p 26424
Process 26424 attached - interrupt to quit
poll([{fd=3, events=POLLIN|POLLPRI|POLLERR|POLLHUP|POLLNVAL}], 1, 30000) = 0 (Timeout)
poll([{fd=3, events=POLLIN|POLLPRI|POLLERR|POLLHUP|POLLNVAL}], 1, 30000) = 0 (Timeout)
poll([{fd=3, events=POLLIN|POLLPRI|POLLERR|POLLHUP|POLLNVAL}], 1, 30000) = 0 (Timeout)
…

30秒間隔見てるね、まー十分だろう。
 
 

他にも各種サービス用の設定がプリセットされていた、使いやすいツールの一つとして覚えておこう。
 

なんだかんだと検証でVistaを入れていたマシンに、折角だからとWindows7のDVDを入れてみた。
 

アップグレードインストールを選択したら、以下のような制約があることを教えてくれた。
 
 

Windows をアップグレードするには、ユーザー、Program Files、Windows の各ディレクトリが同じパーティション上にある必要があります。これらのディレクトリが同じパーティションにない場合、アップグレードはサポートされません。また、これらのディレクトリを同じパーティションに移動することもできません。代わりに Windows 7 Enterprise の新規インストールを行うことはできますが、アップグレードとは異なり、新規インストールではファイル、設定、プログラムが保持されません。現行のプログラムはすべて、元のインストール ディスクやインストール ファイルを使用して再インストールする必要があります。Windows のインストールを行う前にファイルを保存するには、CD、DVD、または外付けハードドライブなどの外部の保存場所にバックアップしてください。Windows 7 Enterprise の新規インストールを行うには、左上隅にある [戻る] ボタンをクリックし、[新規インストール (カスタム)] を選択してください。

プロファイルをDにうつしちゃったからかなあ。
最近はHDDもでかいし、CにシステムいれてDにユーザデータとProgramFilesを入れるのも古い考えかたなのかもしれない。
 
 

ChormeOSとまでは言わないけど、今後は手元のPCは構成を極力シンプルにして、データストアはどっかのクラウドをどんどん使っていくのがいいだろうね。
 

宅内のNASでもいい、オンラインストレージでもいい。
物理デバイス(HDD)を基準にしたパーティショニングは考え方から改めて行きたいね。 
 

ほぼタイトルオンリーだが、驚いたのでエントリ。
 
 

イーモバイルの「Pocket WiFIことD25HW」 なんだけど、ルータとして所々妙な動き。
中でも驚いたのは本体設定のファイアーウォール機能を無効にしたら、WAN側の回線からHTTP管理画面が開けるところ。
 

確認したのは 2010/01/16 に契約した端末で、ソフト的にはこれ。
ファームウェアバージョン:
706.11.174.12.109sp07
 
 

これはファームウェアの改良希望だな、そっちにバインドせんでええちゅーねん。
 

ほか、うちの環境だけという奴もあるかもしれないが、現行ファームでなんか変な所。
・ファイアウォール機能をONにしたら、ipod touch からプリセットでない自前設定したPOPSサーバに接続できない。なんだろねこれ。
・余計なトラフィックを外に流さないという、IPフィルタの設定がLAN側192.168.1.0/24 のルールばっかり、0.0.0.0 でいーやん。おかげでデフォルトのIPを変えづらい。
 
したは設定次第だからいいけど、上はなあ、、Touchはトラブルシューティングしづらいなさすがに。
 

ファームウェア更新の要望窓口を探さねば・・・
管理画面開くのははイヤん。
 

Nagiosに一風変わったプラグイン、check_multiというのがある。主に通常のプラグインのラッパーとして利用する。
 

公式これかな？
http://my-plugin.de/wiki/projects/check_multi/start
 
 

基本的にはプラグインをまとめて叩くという使い方をする、他にも幾つかあるようだが。
 

まとめて叩くと何がいいかというと、Naigosの表示画面でまとめられたり、NRPE経由で呼ぶときに監視用のセッションが1つでよくなるなど挙げられる。
詳しいコンセプトは公式サイトに図入りで説明があるので、興味があれば参照されたし。
 
 

で、リクエストのやり方とレスポンスはこんな感じ。リモート相手の時はちゃんとホストを指定しよう。
 

コマンドラインから。
./check_multi -x “command [ procs ] = check_procs”-x “command [ load ] = check_load”

 

設定ファイルから
command [ httpd ] = check_procs -C httpd
command [ crond ] = check_procs -C crond
…
↓
./check_multi -f configfile

 

レスポンスの例。
OK - 12 plugins checked, 12 ok
[1] httpd PROCS OK: 9 processes with command name 'httpd'
[2] crond PROCS OK: 1 process with command name 'crond'
[3] mysqld PROCS OK: 1 process with command name 'mysqld'
[4] ntpd PROCS OK: 1 process with command name 'ntpd'
[5] sendmail PROCS OK: 2 processes with command name 'sendmail'
[6] load OK - load average: 0.22, 0.13, 0.09
[7] dev_hda DISK OK - free space: / 57922 MB (83% inode=99%);
…

 

テストしてみたが、NRPE経由でもちゃんと動いた。
通知内容にもどのプラグインがどういう状態か載ってくるので心配ない。
 

ちなみにActionURLなど使って、NagiosのUIに統合出来るようになっているがそこまでやる事はないので、プラグインをコンパイルしたらそれだけ拾って使ってみてます。
 

結構いい感じだ。
 

仮想化を色々試しているなか、VMware ESXi4をベースにして、それ上に構築したVMにもハイパーバイザを入れるという環境を作ったときのメモ。
 

まあ載っけたのはXenなんですが、ちょっとマシンがたらなかったので無茶をしてるね。
狭い区画の中で、よりコマ切れにされたリソースを使って活動。。なんとも日本的な環境になったと思うわけで。
 
 

それはさておき、当然ネットワークは VMware ESXi4の仮想スイッチを通ってさらに中のXenへーとつながるわけだが、そのまま繋いだのでは孫に当たるVMが外部と通信できないみたい、。
対策として仮想スイッチのプロミスキャスモード(日本語版管理ツールでは無差別モード)を有効にすることで通信出来た。
 

理由について多分こうかなというのを図にしてみた。
 

画像：親子孫VM

いじるのは１の所にある仮想スイッチ、ここがプロミスキャスでないと既知のアダプタ２まではブリッジしてくれるが、知らない相手の３のアダプタ宛はブリッジしないってことだろうか。
スイッチと言いつつも多少通常のL2とは動作が違う、まあ設定としては妥当かも。
 

こうなるとMACアドレステーブルとか気になる所だな、まさか全部フラッディングするわけでもあるまいて。
学習・・・するのかな？
 
 

しかしプロミスキャスモードの日本語訳って「無差別モード」なのな。
スイッチのプロパティ開いたときに正直困惑したね、動作からしてプロミスキャスモードだとは分かったけど、なんか物騒じゃないか(^^;)
 
…と思ったが一応Googleで検索したら無差別の方が多いのな。。
いやあ、プロミスキャス(promiscuous)でいいと思うよ。いざ何かで英語版という時に困るし。