数年前に、こういう記事「ulimitが効かない不安を無くす設定」を書きました。しかし、ディストリビューションのバージョンが上がり、デーモン管理が systemd に変わったことで、インターネットのゴミとなりつつあります。 そのため今回は、その次世代バージョン的な内容ということで、systemd の場合はこうしておけば見えない敵と闘うこともなくなるはずです、というものになります。例によって、抑えきれていないパターンがあったら御免なさいです、押忍。 limits設定で目指す所 復習になりますが、limits の設定で困るのはだいたいこういうパターンでしょう。 作業中ユーザーのシェルのlimits設定が思い通りにならない コンソール／SSHログインしてデーモンを再起動したら、limits設定が戻っていた su/sudoを使ってデーモンを再起動したら同上 デーモンをシステムに自動再起動させたら同上

AWS VPC内のLinuxでは、拡張ネットワーキング（Enhanced Networking）という機能が使えます。利用条件はあるものの、この機能を有効にするだけでネットワークが速くなるので有用なのですが、何がどれくらい速くなるのか気になったので計測してみました。 この機能自体は2013年末に発表されたものなので、目新しくはないです。ただ、公式の説明やその辺の情報を調べても、イマイチ情報がわかりやすくまとまっていない部分があったので、設定についてもまとめ直してみました。 デフォルトと拡張ネットワーキングの性能比較 この機能のON/OFFによって、変化するのは通信のレイテンシであり、最大Bandwidthが変わるわけではありません。また、インスタンスタイプによってレイテンシの変化量が変わるわけでもありません。 そのため、ここで載せるのは１つのインスタンスタイプにおいて、バージョン違いを含め

RedHat系におけるRPMパッケージを扱うYUM、Debian系におけるDEBパッケージを扱うAPT、これらはサーバー管理において重要なわけですが、絶妙な度合いで、おざなりに扱ってもわりとなんとか運用出来てしまう感があります。そのため今一度、こんな感じが今風のスタンダードじゃないっすかね（ｷﾘｯ という構成を説明してみます。 ぶっちゃけ、たいしたことないネタの集合体なので、タイトルに下駄を履かせました。 そもそもパッケージは必要なのか 言うまでもなく必須です。理由は、インストール物のファイル管理が容易になるのと、インストール時間を短縮できるからです。既存のパッケージでconfigureオプションが物足りない時や、RPMパッケージが存在しない場合は作成することになります。 最近はプロビジョニング・ツールによって全て自動化できるので、超簡素なコンパイルのものはレシピに落とし込んで終わりにした

だいぶ前に sshguardでブルートフォースアタック対策 という記事を書きましたが、最近CentOS7で環境を作りなおしていることもあり、最新バージョンのパッケージがなかったので自作してみました。 どこにでもありそうな内容ですし、別にCentOS”7″だからという部分もほぼないのですが──主にRPMパッケージの作成手順を目的として、sshguardパッケージの作成をまとめていきたいと思います。 RPM作成用パッケージ インストールします。

クラウド・インスタンスにおけるDNSサーバーの指定は、DHCPサーバーから情報を取得して利用するようになっています。具体的には dhclient が resolv.conf を上書きする感じですが、最近は NetworkManager さんがこの辺の面倒を見てくれるので、まともな構成 ってやつを考えてみました。 ドンピシャで正着に至ったというわけではないですが、ひとつの有効な手段として扱うことはできそうです。 目次 概要 NetworkManagerがない場合 NetworkManagerのデフォルトの挙動 dnsmasqを利用する 任意のDNSサーバーを追加する 起動時の設定として組み込む dnsmasqのForward方式 DNSキャッシュ 耐障害性 理想の挙動 概要 NetworkManager は必ずしも必要なわけではないですが、CentOS7 など新し目のディストリビューションで

先日、SSSD+LDAPネタを連投しましたが、ローカルアカウントとLDAPの２つのデータにおいて、少々変わった挙動がありましたのでメモっておきます。 今回の話はローカルユーザー／ローカルグループどちらも対象なのですが、発見時の操作がグループだったのと、作成・削除がよりシンプルなのでグループメインで説明していきます。OSはCentOS7です。 問題点 とある環境でGIDを指定せずに groupadd した時、新規グループのGIDは、ローカルグループ・LDAPグループの両方の中から、利用中の最大GID+1 で登録されました。 別の環境で同様に groupadd すると、GIDは 1000番で登録されました。 この違いを探るのに最初はディストリビューションの違いを疑いましたが、軽く調べているうちに nslcd の場合は最大GID+1 を、SSSD+LDAPの場合は 1000番以降で使われていない

実験エントリです。 動機 OracleのStatspack/AWRで取れるファイル単位のDisk I/O情報を、MySQLでも採取したい。これは次に示すようなデータです。 File IO Stats DB/Inst: ORA112/ORA112 Snaps: 6-7 ->Mx Rd Bkt: Max bucket time for single block read ->ordered by Tablespace, File Tablespace Filename ------------------------ ---------------------------------------------------- Av Mx Av Av Rd Rd Av Av Buffer BufWt Reads Reads/s (ms) Bkt Blks/Rd Writes Writes/s Wai

AWS VPN (1) between VPC VPN G/W and Debian Linux (racoon, setkey, quagga) with NAT AWSのVPCにはVPN機能がついているので、利用すると社内など任意のサブネットとVPCの間を、Privateアドレスで暗号化通信できるようになります。 通常このVPC VPNは、ハードウェアルーターを用いて接続するべく、一般的なルータの設定ファイルを配布してくれる至れり尽くせりな環境なのですが、ウチは貧乏でLinuxが大好きなので、 Debian Wheezyで接続を試みるのでした。 ２つの方法 Linuxでは私が最初に構想した、綺麗で完全な冗長化構成はできないことがわかり、妥協案として２つの構成案ができたため、２つのエントリに分けて書くことにします。その２つの案とは、 綺麗な冗長化＋NAT 泥臭い冗長化＋非NAT で、まず

sshdログとiptablesを用いて、SSHのブルートフォースアタック（総当たり攻撃）から守る sshguard を試す機会があったのでメモっておきます。 ぶっちゃけ、お外からSSHで繋げるサーバとかほぼ皆無だし、鍵認証だしで、実際に活躍することなどないのですが・・・開ける必要があったり、ミスって開いちゃってたりした時に、iptables でがっちりカットできるので使いドコロはまぁまぁあるかもしれません。 OSとsshguardのバージョンについて ここでの構築は、Debian Wheezyで行っています。 Wheezyのパッケージは、ちゃんと設定ファイルとデーモンになっていてナイスです。 SqueezeやLenny、CentOS5 などもパッケージはあるのですが、内容は /usr/sbin/sshguard が入っているだけのクソパッケージです。その理由がおそらく、sshguard の