最強のSSH踏み台設定 - Qiita
追記:openssh-7.3 以降なら ProxyJump や -J が使えます ホスト名を + で繋げることで多段Proxy接続も簡単に、がコンセプトだった本エントリの設定ですが、OpenSSH 7.3 から ProxyJump という設定が使えるようになったので、使えるなら ProxyJump を使う方が健全だし柔軟で使い勝手も良いのでそちらを覚えて帰ることをオススメします。 使い方は簡単で以下のような感じです。多段も行けるし、踏み台ホスト毎にユーザ名やポート番号を変えることも出来ます。 # 1. bastion.example.jp -> internal.example.jp ssh -J bastion.example.jp internal.example.jp # 2. bastion.example.jp -> internal.example.jp -> super-de
閏秒を迎えるにあたってLinuxでは何を対策すべきか? | Act as Professional
2016/12/27 更新Googleなどの大手IT企業がうるう秒対策済のNTPサーバが公開したため、これを利用する内容などを以下にまとめました。 元旦に実施される うるう秒の対策 まとめ2016/07/08 更新2017/1/1に閏秒の実施が決定されました。対応はこの記事のとおりで問題なさそうです。 2015/06/24 情報追加(2015/06/29 更新)下記の対応に関わるntpdの比較的新しいバージョンにSLEWモードで動作していても、うるう秒が挿入されるバグが発見されました。[redhat] これによりntp-4.2.8p3-RC1以降のバージョンでないとSLEWモードで動作していてもうるう秒が挿入されます。RedHatはntp-4.2.6p5-3.el6_6という対応済みのバージョンを提供しています。Ubuntuでは今日現在12.04LTS, 14.04LTSの2バージョンはパ
Windows 10搭載PCにはLinuxなどをインストールできなくなる可能性あり
ファームウェアがマルウェアに感染するなどして不正な署名になっているとOSが起動しなくなるのがセキュアブートと呼ばれる機能です。「Designed for Windows 8」のロゴをつけたハードウェアを発売するためにはこの機能をサポートする必要がありましたが、一方で、Linuxやその他のOSをインストールしたいというユーザーのために、セキュアブートをオフにするオプションも搭載するように定められていました。しかし、Windows 10ではセキュアブートをオフにするオプションを搭載するかどうかはメーカーが選べることになり、Windows 10以外をインストールできなくなる恐れが出てきています。 Windows 10 to make the Secure Boot alt-OS lock out a reality | Ars Technica http://arstechnica.com/in
fork()は失敗するんだぜ、覚えときな
fork() can fail: this is important あー、fork()のことね。プロセスがもっとプロセス作るためのやつな。いや、他にもプロセス作る方法はあるけどな。ま、面白い話がもうひとつあるから聞かせてやるよ。 forkは失敗するんだぜ。分かってるか? マジで分かってるか? マジだぜ。forkは失敗するもんだ。mallocと同じさ。失敗することもある。そんなに頻繁にってわけじゃないけどさ、でも失敗したら、無視できっこないぜ。ちっとは脳みそ働かせなきゃならん。 forkが0を返したら、そいつは子プロセスで、親なら正数を返すってことは、みんな知ってるよな。その値は子のpidだ。こいつを保存しといて、あとで使うってわけだ。 失敗を確認しない場合どうなるか知ってるか? そうだよ。お前多分、"-1"(forkのエラー通知)をpidとして扱ってるんだろ。 さて、問題の始まりだ。本当
はてなブログ | 無料ブログを作成しよう
思いは言葉に。 はてなブログは、あなたの思いや考えを残したり、 さまざまな人が綴った多様な価値観に触れたりできる場所です。
lsyncd(+rsync)で複数サーバ間のファイルを自動で同期する - うまいぼうぶろぐ
http://fedorasrv.com/lsyncd.shtml http://www.naney.org/diki/d/2009-02-13-lsyncd.html http://d.hatena.ne.jp/wadap/20090913/1252839223 linuxのinotify機能を使ってファイルアクセスを監視して、ファイルの更新を検知するとrsyncかけてくれるらしい。めちゃ便利じゃね? inotify http://www.linux.or.jp/JM/html/LDP_man-pages/man7/inotify.7.html http://www.ibm.com/developerworks/jp/linux/library/l-inotify/index.html lsyncd 参考URLにあるように、デフォルトではrsync --deleteオプション付きなので注
何がLinuxデスクトップを殺したか(What Killed the Linux Desktop 日本語訳)
以下の文章は、Miguel de Icaza による What Killed the Linux Desktop の日本語訳を著者の許諾を得て公開するものである。 本文については、八木の野郎さん、Shiro Kawai さん、猪股健太郎さんに誤訳の訂正をいただきました。ありがとうございます。 これは実話である。 うちの Linux マシンの /home ディレクトリがあるハードディスクがおかしいので、それを新しいのに換えなければならなかった。このマシンは机の下にあるので、ケーブルを全部抜き、マシンを外に出し、ハードドライブを交換してまたプラグを全部つなぎ直さなければならなかった。 至極ありきたりなことだ。AC 電源をつなぎ、キーボードをつなぎ、マウスをつないだが、スピーカーケーブルを手に取ると、僕はそれをつなぐのはやめた。 なんでオーディオ設定なんかに手間かけなきゃいけないの? オーディオ
若者が知らない最強のLinuxコマンドTips - すがブロ
タイトルは釣りぽよ〜 今日ここで書くのはわりかし最近知ったことだったりするのが多いんですが、せっかくなので書いておこうかなぁと思った次第です。Linuxって書いてるけど、普通にMacでも使えるハズです。 知ってる人にとってはアタリマエのことですけどね……。 ファイルサイズの桁でかすぎてがわからん ls とか duあたりで使える話ですね。 ファイルサイズが大きすぎてパッと見わからないよっていうことってあるじゃないですか。ありますよね。いやある。 そんな時は -h オプションを使いましょう。 $ ls -l /var/log/nginx/access.log -rw-r--r-- 1 root root 1897381 8月 26 02:50 2012 /var/log/nginx/access.log $ ls -lh /var/log/nginx/access.log -rw-r--r--
SSH力をつけよう
5. RFC RFC 4250 The Secure Shell (SSH) Protocol Assigned Numbers RFC 4251 The Secure Shell (SSH) Protocol Architecture RFC 4252 The Secure Shell (SSH) Authentication Protocol RFC 4253 The Secure Shell (SSH) Transport Layer Protocol RFC 4254 The Secure Shell (SSH) Connection Protocol RFC 4255 Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints RFC 4256 Generic Message Exchange Authent
RedHat Linux AS4 でログインの失敗回数がしきい値を超えるとアカウントロックする
RedHat Linux AS4 でログインの失敗回数がしきい値を超えると、 アカウントロックするように設定する方法は次の通り。 パスワードクラックのために何回もログインを試行することを 制限することが目的。 /etc/pam.d/ 以下のファイルを編集します。 ここでは、ランレベル 3 のログイン時に失敗を繰り返すと アカウントロックされるように設定します。 この場合、編集するファイルは、 /etc/pam.d/login です。 以下の 2 行を追記する auth required /lib/security/pam_tally.so onerr=fail no_magic_root account required /lib/security/pam_tally.so deny=3 no_magic_root reset auth required
[unix] Linux SYNパケット取りこぼし (2) 2007-05-21 - LowPriority
前回の続き。 パケット自体を零さずに処理に入った後にSYNを落とすのは以下3パターン。 syncookie無効時にsynのbacklog(tcp_max_syn_backlog)が溢れている listenのbacklogが溢れている(3way-handshake完了後のaccept待ち接続) net.ipv4.tcp_tw_recycleの制限に抵触 で、今回問題になっていたのは最後のtcp_tw_recycleへの抵触だった。 現象として発生しうるのは、以下の条件をすべて満たす場合 サーバ側でnet.ipv4.tcp_tw_recycleが有効 TCPタイムスタンプオプションを使用 同一IPからの接続でセッションを跨ぐとセットされるTCPタイムスタンプの値が戻る場合がある 最後の条件が微妙だが、TCPタイムスタンプの値としてセットされる値は起動時を 起算時にしていたりと実装によって初期値
![[unix] Linux SYNパケット取りこぼし (2) 2007-05-21 - LowPriority](https://cdn-ak-scissors.b.st-hatena.com/image/square/264702d4cb37ced3c2fd5dda6a1368c235356862/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F17680117127119925553%2F17680117127119930188%2F1557218483)
サルでも分かる多段ssh - 射撃しつつ前転 改
仕事をしていると、お客さんの環境にログインするため、 踏み台マシンを経由する必要がある 踏み台マシンへのログインすら、特定範囲のIPアドレスからしか受け付けてくれない といった厳しい条件を満たさなければならない場合があり、多段にsshをしなければいけないことがある。しかし、単純な多段sshには、 毎回順繰りに多段ログインするのは結構めんどくさい scpでいちいち中継サーバーにコピーしていく必要があり、中間サーバーのディスク容量が足りない場合に大きなファイルがコピーできない といった問題がある。 実は、sshには設定ファイルがあり、設定を行うことで、間に何台のサーバーを挟んでいようとも、あたかも直接アクセスしているかのように接続することができるのであるが、世間的にはあまり知られていないようだ。知らないのは非常にもったいないので、簡単に説明しておく。 設定ファイルは~/.ssh/configに
コンパイル(make)の高速化 - 元RX-7乗りの適当な日々
最近、yum(rpm)やaptなどといったパッケージ管理の仕組みが秀逸で使いやすくなってきていますが、最新バージョンのプロダクトの検証がしたいときなど、ソースからビルドしてぶち込む事も個人的に多々あったりもします。 そんなビルド野郎な方に朗報です。 いやね、ちょっとしたものなら全然いいんですよ。 最近はマシンスペックもすっかり良くなっちゃって、時間もそれほどかからなくなってきているから。 でも、MySQLとかPHPとか、ちょっと大きいものを色々オプションつけてコンパイルしたりすると、時間がかかりはじめて、ちょっと馬鹿にならなくなってきます。 で、今日、makeのマニュアルを読んでたら、こんなオプション見つけました。 -j jobs 同時に実行できるジョブ(コマンド)の数を指定する。 -j オプション が 複 数 個指定された場合は、最後の指定が有効になる。引き数無しで -j オプションが与
なぜ,/var や /etc が /etc や /cfg というディレクトリ名ではないのか? - NO!と言えるようになりたい
Unixを使っていると,/usr が全然ユーザー用じゃなくどう見てもシステムのための物だったり,/etc が事実上設定ファイル置き場となっていたり,/var がログファイル置き場となっていたりと,名が体を現していなくて奇妙な感覚を覚える.もっと分かりやすい名前の付け方があったんじゃないかと,Unixユーザーならば誰もが思うはずだが,これに対する解答がredditに投稿されており,その内容が非常に面白かったので,軽く翻訳してみた. Anyone know why /var and /etc weren't named something like /etc and /cfg? http://ja.reddit.com/r/linux/comments/cpisy/anyone_know_why_var_and_etc_werent_named/c0ua3mo 昔々,システム7が使われていてU
いっぱい接続したいの - (ひ)メモ
とあるホストに、TCP接続を張っては切るという処理をぐるんぐるん繰り返すベンチマーク的なプログラムを書いて動かしました。 最初のうちは期待した通りの動作をしてるんですが、途中から対向のホストにTCP接続できなくなってエラー出まくり。 $ netstat -tna | grep TIME_WAIT | wc -l 28230これが原因ぽい。 KERNEL_SOURCE/Documentation/networking/ip-sysctl.txt によれば、 ip_local_port_range - 2 INTEGERS Defines the local port range that is used by TCP and UDP to choose the local port. The first number is the first, the second the last loc
tcp_tw_recycle=1にすると、今でもソフトバンク携帯で障害が起きる。
Webサーバに使うLinuxサーバの設定の話なのですが、TCPコネクションが沢山溜まりすぎるのを、コネクション終了後のTIME_WAITという状態を維持する時間を短くすべく、/proc/sys/net/ipv4/tcp_tw_recycleの値を1に変えたら、softbank携帯で繋がらない障害が多数起きた。 softbank携帯で問題が起きるかもという話はWebで見かけていて、でもいつからいつまでの携帯かがわからなかったので、古い携帯かもしれないと試しにやってみたら、モバツイのユーザーさんから繋がらないという話が来たので慌ててtcp_tw_recycleを0に戻したら直った。 いつもこのキーワードを検索するのに苦労してるからメモしておきます。 2009/5月記述 参考: 誰も褒めてくれないから自画自賛する日記(2007-07-23)
最新のFedoraとUbuntuではrelatimeもnoatimeもいらない? - 科学と非科学の迷宮
(2008/6/14 13:35 追記) 続き書きました http://d.hatena.ne.jp/shiumachi/20080614/1213415948 要約 前回の検証で、マウントオプションに noatime や relatime をつけても オプションなしのときと性能が変わらないという結果を報告しました*1。*2 しかし、調査の結果、Fedora8、Fedora9、Ubuntu8.04 LTS などでは カーネルのコンパイルオプションに default_relatime がついていることが 判明しました。 そのため、各ファイルシステムに noatime や relatime オプションを つける必要はなくなっています。 relatimeについての調査 relatime マウントオプションについて調査していたところ、 LWN.netに atime 周りの議論のまとめ記事が掲載され
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
非推奨になったネットワークコマンド養成ギプス : sonots:blog
protecting sshd from OOM killer - Bart's Blog
x.com