Postfixのぺーじ−Postfixでのspam対策
このページでは、メールサーバの不正利用を防ぐための対策方法、 そして不正利用されたサーバからのメールを拒否する方法を紹介します。 spamメールの問題点などについては、あやむらさんの SPAMの現状と対策が 詳しいです。 Postfixはsendmailよりも安全なMTAとはいっても、設定によっては sendmailよりも簡単に危険なspam大量生産マシンにすることができます (なにしろ設定ファイルの書き方簡単ですから...)。そのため、メールサーバの 設定はやはり注意深くやる必要があります。 緊急対策 メールの不正中継を防ぐ 不正リレーのチェック 外部からの SMTP 接続に認証を求める ブラックリストの活用 spam 対策リンク集 緊急対策 万が一Postfixがspamを大量に送信していたり、ホストのリソースを異常に 使用していることに気づいたら、通常の postfix stop で
postfix スパムに踏み台にされて防いだ後2 - online106の日記
その後もスパムにあってるかもしれないと、ログを定期的にみています。それにしても世の中には、踏み台にしようとサーバに日々、アタックされているんですね。こういうのってむやみやたらに怖がっている人が多すぎて、実態の掴めない世界と感じているエンジニアは多いはず。メールサーバは使わないにしても、自分で立ててみた方が身にしみるんじゃないだろうか。 前回の「フローコントロール、レートコントロール」について、もうちょっとふみこんで実装を記載します。前紹介したサイトは参考になりますが、古いホームページだからかもしれませんが、イマイチこうしろ!っていう記載の仕方が緩いです。要するにどうするの?って読んでて思っちゃいます。 ともあれ、記載はmain.cfの最後当たりに追記します。 vi /etc/postfix/main.cf 以下は、HELLOとかいうログをみたことあるかもしれませんが、スパムのアタック目的の
postfix スパムに踏み台にされて防いだ後 - online106の日記
防いだには防ぎました。しかしログを見ると、また踏み台にしようとめっちゃログイン失敗を繰り返しまくっていました。 これはどうしたものかと思いまして、色々調べたのですが、なかなかシンプルかつ分りやすいサイトって見つからず困りました。 xinetdを使う方法が一つ / 二つ main.cfをさらにセキュアにする方法が一つ / 二つ です。これ、かなり分りやすい記述をしてくれているサイトだと思います。色々見ましたがなかなかどうにも分りにくいサイトが多く... 要は、 「xinetに中継させてPOP3を立ち上げて、xinetでIP制限とかしちゃおうぜ」 「スパムリストサイトを照合して、自分オリジナルのも作ってブロックしようよ」 の2ケースですね。 で、さらにはmain.cfで接続制限とかもできるようで、スパムの連チャンが来てもまずは、制限(ブロックではなく制限)させることもできます。アタックされ続
ぐぬぬ、postfixで踏み台にされたお話 - online106の日記
メールサーバが踏み台にされました。一応ありきたりに設置方法を検索して設定したのですが、はじめてなのが仇になったのか、ログを見る限り踏み台にされています。そこで、困ったのが、踏み台にされたらやることです。今回学んだことをピックアップします。なんせ踏み台防止はあるけど、踏み台にされた時の対処となると、検索にヒットあんまししないんですもの... 1.postfixをとりあえず止める 慌てず騒がずメールサーバを止めます。サーバの再起動は不要です。もう慌ててしちゃったかもしれませんね。私がそうでした...再起動してもメールサーバは踏み台なので、アクセスできたらまた踏まれるだけです...またサーバの再起動は他のサービスに影響がでてしまうという2次災害を引き起こしているかもしれません...私は引き起こしました...node.jsが止まってた。 2.ログを確認する ログを見れば、通常送受信しないであろうメ
サーバー設定ツール「Chef」の概要と基礎的な使い方 | さくらのナレッジ
はじめに 近年注目されているサーバー管理ツール「Chef(シェフ)」は、ファイルに記述した設定内容に応じて自動的にユーザーの作成やパッケージのインストール、設定ファイルの編集などを行うツールだ。今回はこのChefについて、基本的な環境構築方法と使い方を紹介する。 前回はサーバーの設定管理ツールとして「Puppet」を紹介したが、今回紹介するChefは、このPuppetと人気を二分するサーバー設定管理ツールだ。 Chefは米Opscodeが開発しているオープンソースソフトウェアで、Rubyなどのオープンソースな技術を使って実装されている。ライセンスはApache License 2.0だ。同社はChefにいくつかの機能を追加した有償版の「Private Chef」やクラウド型の「Hosted Chef」といったサービスも提供しているが、本記事ではオープンソース版のChefについて紹介する。
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年5月時点の調査。
【Munin】rrdcachedでIOを取り戻せ! | Pocketstudio.jp log3
Munin の監視ノードが増えてくると、ストレージの IO がボトルネックになりがち。Munin によるランダムなファイルの読み書きが主な原因。改善するためには、 rrdcached と Munin を連携する方法が手軽で確実な方法です。Muninサーバの処理が重いなと思ったら、SSD など高速ストレージを導入する前に、まずは rrdcached の導入がおすすめです。 記事内容は、rrdcached のメリット(1台で300ノードまでの監視に対応)と、RHEL5 で導入したときの手順メモ、そして rrdcached の効果を知る為の rrdcached プラグインの導入方法です。 ■rrdcached を何故使うのか? Munin は収集データを RRD ファイルに格納し、グラフ描画時に再び参照します。このとき、ストレージに対する読み書き(IO)が増えます。 とりわけ、負荷になりがちなの
Wgetとメールを使ったお手軽サーバ死活監視
Wgetとメールを使ったお手軽サーバ死活監視:Windows環境でちょっとした定型業務を自動化する(1/2 ページ) 管理下のWebサーバが止まったら、速やかに管理者の携帯端末へメールで通知する。そんな死活監視システムを、無償のソフトウェア・ツールとバッチ・ファイルを組み合わせて簡単かつ手軽に実現しよう。 連載目次 サーバ管理者が行うべき作業はいくつもあるが、その中でも特に重要なのが「予期せぬサーバの停止」の検出とその対処だろう。いうまでもなくサーバが停止していることが分かったら、なるべく早く復旧に向けて対応しなければならない。そのためには、普段からサーバを継続的に監視しておき、停止などの異常があれば速やかに検出して、管理者に知らせる必要がある。 社内設置のサーバであれば特段の監視体制を用意せずとも、その異常に気付きやすい。距離的にもネットワーク的にも「身近」であり、また周りのスタッフが異
手動でサーバの設定をすることを禁ずる。入門Chef Solo - プログラマでありたい
入門Chef Solo - Infrastructure as Codeを読みました。アプリエンジニアだけでなく、インフラエンジニアでもあり1,000台規模のサーバを運用管理してきた経験のある元はてなの伊藤直也さんの著書です。そんなこともあり本書では一貫して実際の運用時の課題を元にChefでどう解決出来るかという観点があり、非常に実用的でした。また入門と銘打う通り、初めてChefを触る人に理解出来るように、概要説明からChef独特の用語説明とその役割、必要とされる背景まで解説してあります。またポイントとしては、Chef Server/Clientではなく、Chef Soloの入門ということです。Chef Server/Clientはフルスタックの機能を使えるのですが、その分構成がややこしくて挫折する人も多いと思います。その点Chef Soloは構成も単純で、手軽に始められるという点で非常に
Linuxサーバ運用マニュアル
Linuxサーバ運用マニュアル サービスの状態をチェックしよう! 定常運用において,サービスのチェックは重要です。普段は正常に稼動しているサービスは,何らかの障害で,突然停止するかもしれません。定期的にチェックを行なっていれば,障害の早期発見につながり,復旧までの時間も短縮できます。また,定期的なチェックにおいて,どの程度まで突っ込んでチェックするかというのもポイントです。詳しくチェックし過ぎると管理者の負担も大きいですし,逆に適当なチェックを行なうと障害を見落とす可能性があります。システム管理の専従者ならともかく,SOHOなどの環境では他の業務に影響が出ない程度に詳しくチェックすることが大切です。 定常時のサービスのチェック方法 具体的にチェックするものは,アプリケーションの動作,アプリケーションのログ,プロセスの状態,ログインサービスなどです。アプリケーションの動作チェックは,定常のチ
muninの表示がクソ重くなっていたのを劇的に改善した話 - 元RX-7乗りの適当な日々
某所の"munin"がびっくりするくらい画面表示が重くなっていて、ひょんなことから改善することになった話。 前提条件として、このmuninが動いているサーバは数百台のノード(サーバ)を管理している状態で、muninのバージョンは2.0系でした。 本当は、後学のためにも作ってくれた人に直してもらうべきと思いつつ、あまり悠長なことも言ってられない感じだったので、一人チューニンガソンを敢行。・・・要望があったのでログを残しておきます。(遅くなってごめんなさい) 最初の状態(before) まず、muninのトップページですが、開いてみると、、、 うほっ、19.61秒かかっておりました。これはなかなかのストレスです。 特にHTML部分の出力に19.4秒かかっている。ここをなんとかせねばなるまい。 次に4台分のサーバの各リソースの負荷状況が確認できるページを表示してみると ズラズラと出ております。各
メールサーバーを無停止で切り替える方法 - jesterseraの日記
メールサーバーを無停止で切り替えなければいけない不幸な人の為に。 というか、後何回か不幸な目にあいそうなのでメモ。 環境 移行元サーバーA RedHat Linux 9 Postfix 移行元サーバーB FreeBSD sendmail 移行先サーバー Fedora Core 5 Postfix 事前準備 移行先の設定は一通り完了しているものとします。 DNSの設定を変更してTTLを短くしておきましょう。切り替えの待ち時間の短縮と失敗時の切戻しが早くなります。 Aレコードに新旧サーバーを追加しておきます。 パターンA 移行元のサーバーにrelay_hostまたはtransport_mapsを設定し、移行先のサーバーにリレーするようにします。 DNSのMXレコードを移行先のサーバーに向けます。 以上。Sendmailのサーバーはリレーの設定のしかたがよくわからなかったので、ちょっと複雑ですが
MySQLTunerでMySQLのチューニングを診断する方法
https://github.com/rackerhacker/MySQLTuner-perl MySQLTunerはMySQLのチューニングを診断してくれるアプリケーションです。 基本的なパフォーマンスチューニングのヒントをわかりやすく表示してくれます。 MySQLのチューニング設定に不安な方や、はじめてMySQLをさわる方は試してみると良いでしょう。 ライセンスはGNU GPLで無料で使えます。 検証環境 CentOS 6.3(64bit) MySQL 5.5.28 MySQL 5.5をインストール MySQL 5.5をインストールします。 # wget http://rpms.famillecollet.com/enterprise/remi-release-6.rpm # wget http://ftp.jaist.ac.jp/pub/Linux/Fedora/epel/6/x86
さくらVPSでwwwありドメインを設定&wwwなしにリダイレクト
先日、さくらVPSに独自ドメインを設定しましたが、その独自ドメインへのwwwつきアクセスが表示されていなかったので、wwwサブドメインでも表示されるように&wwwなしドメインにリダイレクトする設定を追加しました。 近年の流れからドメインにはwwwをつけない運用で統一していました。もしアクセスがあっても、一般的なレンサバは自動的にwwwつきを設定してくれるので今までは特に意識していませんでしたが、VPSだと当然ながら自分で設定する必要がありました。 そもそもwwwって何だろう 独自ドメインの先頭にwwwのサブドメインがつくのは歴史的な意味合いが強く、そのドメインの中でWWW(ウェブ)を担当するよという意味があります。ftpとかmailがつくのと同じです。しかし近年ネットと言えばWWWなので省略されるようになりました。 慣習に従えばウェブページにはwwwをつけるべきで、歴史あるサイトの多くはw
sarによるボトルネック発見の手順(というかsysstatの使用法)をまとめてみた - end0tknr's kipple - web写経開発
sar で収集したリソース使用情報が sadf コマンドで TSV として出力 (2014/8/6追記) sar で収集したリソース使用情報が sadf コマンドで TSV として出力できる - 宮川拓の日記 ↑全く知りませんでした 私がよく利用するoption (2013/8/6追記. よく忘れるので) $ sar -r -s 00:00:00 -e 01:00:00 -f /var/log/sa/sa03 オプション 内容 例 -q load average $ sar -q -u cpu使用率 $ sar -u -b I/O回数とデータ量 $ sar -b -r メモリとスワップ使用率 $ sar -r -s 開始時間 $ sar -s 00:00:00 -e 終了時間 $ sar -e 03:00:00 -f 日付 ※ $ sar -f /var/log/sa/sa03 ※「
さくらのVPSで複数台の契約するときの注意点 - elf's blog
記事自体の注意点 これは2012年10月末位の経験と周囲の情報をもとにした話なので,のちに状況など変化している可能性があります. 要約 この記事はさくらのVPSを複数台借りたときにちょっと困ったこと,具体的にはVPSのハイパーバイザーが同一筐体になってしまった.ということに関する諸処まとめです. VPSのハイパーバイザーが同一筐体になると何が困るの? そもそもの話です. VPSはいわゆる仮想化技術を使っていてそれ自体はHW障害からは縁が遠いような気がしますね. でもHDDならRAID 1で,NICならボンディングで実運用上はある程度耐障害性を確保できますが,たとえば「メイン基盤が壊れた」など冗長化が難しい部分が壊れた際にはもろ影響を受けます. 実際の報告ベースだと軽く検索すると色々出てきます. 色々と書いていますが台数を想像すると決して多いとは感じませんが… さくらのVPS 2012年春
sanonosa システム管理コラム集: KeepAliveについて考える
「KeepAlive設定のon/offの違いだけでサーバのキャパシティが数倍違ってくる」。大規模サイトならではの経験則です。ApacheやIIS等、一般的なWEBサーバでは通常KeepAliveの設定ができます。この設定はアクセスが少ないWEBサーバの場合にはonでもoffにしても大差がないため、小規模サイト運営の経験しかない管理者はこの設定についてあまり深く考えない場合が多いと思います。しかし大規模サイトではこの設定を誤るとサーバのキャパシティをすぐに超えてしまうので要注意です。 【一般的にonとoffのどっちがよいの?】 あくまでも私の大規模サイト運用上での経験則ですが、offにしておいたほうが安全であると感じています。例をお見せしましょう。これは非常にアクセス数の多いWEBサーバの例です。 KeepAliveがoffの時にはTCPコネクション数が少なく押さえられていますが、onにした
『logrotateでログファイルがローテーションされない事への対処』
logrotateは、Apacheのアクセスログや、syslogなど運用の中で肥大化していくログファイルを定期的に退避してくれるツールです。 logrotateの設定は、/etc/logrotate.confファイルにて全てのログファイルに対しての設定を、/etc/logrotate.d/ディレクトリ以下に個別のログファイルごとの設定を記載して管理します。 ※ /etc/logrotated/ディレクトリ以下の個別の設定ファイルに記載した内容は、logrotate.confファイルに設定した内容より 優先度が高くなります。 - /etc/logrotate.confの設定例 # see "man logrotate" for details # rotate log files weekly weekly # keep 4 weeks worth of backlogs rotate 10
サービス障害を起こさないために、障害を起こし続ける。逆転の発想のツールChaos Monkeyを、Netflixがオープンソースで公開
サービス障害を起こさないために、障害を起こし続ける。逆転の発想のツールChaos Monkeyを、Netflixがオープンソースで公開 米国でビデオオンデマンドサービスを提供しているNetflixは、Amazonクラウド上でわざとシステム障害を起こすためのツール、Chaos Monkeyをオープンソースで公開しました。 Chaos MonkeyはAmazonクラウド上で使うツール。Amazonクラウド上のインスタンスをランダムに落としまくることで、サービスに対して仮想的な障害を引き起こしてくれます。 NetflixはこのChaos Monkeyを実環境で使うことで、本物の障害が起きたとしてもサービスが継続できることをテストし続けてきました。Netflixのブログ「Chaos Monkey released into the wild」から引用します。 There are many fail
ロードアベレージを監視して任意のコマンドを実行する(monitで) - 酒日記 はてな支店
他に似たツールがあれば教えて欲しいです ロードアベレージを監視して任意のコマンドを実行するコマンド - blog.nomadscafe.jp いままで使ったことはなかったのですが、monit でできるはず、と思って実験。一般的には、負荷が上がったりプロセスが応答しなくなったら再起動、のような用途に使うツールです。 # /etc/monit/monitrc check system localhost start program = "/path/to/command" if loadavg (1min) > 2 then start[追記] exec を使うほうがよいとのご指摘をコメントでいただきました。 check system localhost if loadavg (1min) > 2 then exec "/path/to/command"これでロードアベレージの1分平均が2を超
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
