mv /etc/httpd/conf/httpd.conf{,.bk} mv etc/php.ini{,.bk}
Linuxには、oom-killer(Out of Memory Killer)という、メモリ不足が発生した際にプロセスを強制終了させ、実メモリに空き容量を確保する機能が実装されている。 しかし、この空きメモリが確保できないことによりシステムが停止するという最悪の事態を避けるために用意されている機能が、肝心のDBなどの一番大事なサービスを殺すはめになる・・・ カーネルパラメータ vm.oom-kill を変更することで無効化できる。 # sysctl -w vm.oom-kill=0 vm.oom-kill = 0 # デフォルトは1(有効)となっており、0を設定することで無効化される。 システム再起動後も設定を有効にする場合は、sysctl.confに記載すればOK。 # vi /etc/sysctl.conf vm.oom-kill=0
以前にsyslog server で 「OOM-Killer」 というLinuxカーネルの仕組みが原因で「syslog」と「mysql」のプロセスが強制停止される事象が発生した。 1. OOM-Killerとは システムを動作させるために必要なメモリが確保できなくなった場合に、システム全体が停止するのを防止するため、OOM-Killerで定義されたファイルからランダムにProcessを強制終了させ、空きメモリを確保するLinuxカーネルの仕組み。 2. OOM-Killerのデメリット Serverとして提供しているサービスのProcessが強制終了させられ、サービスが提供できなくなる場合がある。 3. 対応策 1). OOM-Killerを無効にする(システム再起動後も有効) # vi /etc/sysctl.conf vm.oom-kill=0 2). 大切なプロセスの優先度を変更し、
メール転送エージェントにPostfix,POP3/IMAPサーバにDovecotを用い,SSLによる通信経路の暗号化をし,スパムフィルタのSpamAssassinを組み込み,SPFやDKIM,DMARCを設定したメールサーバの構築手順について書く. ここでは,メールサーバのFQDNが mail.example.net ,作成するメールアカウントを test@example.net と仮定して書いているため,自身の環境に合わせて読み替えてほしい. なお,Arch Linuxベースでの構築を想定している. ソフトウェアのインストール まず,メールサーバ構築に必要なソフトウェアをインストールする. # pacman -S postfix dovecot opendkim インストールできたら,まずはDovecotの設定を行う. Dovecot Dovecotの設定に入る前に,まずはクライアントと
# 2018/1/28追記 私のエントリは長々書いていますが、次のurlが分かりやすくまとめられていますので、 こちらを参照する方が良い気がいます。 net.ipv4.tcp_tw_recycle は廃止されました ― その危険性を理解する - Qiita あるサーバに対してsoap(http)で接続できない現象が発生した為、netstatしてみると、次のように大量のTIME_WAITが発生していました。 $ netstat Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 localhost.localdom:5432 localhost.localdo:32776 ESTABLISHED tcp 0 0 localhost.l
先日のこの話 、Out Of Memory Killer 、通称OOM Killerのせいらしい。キャッシュとしてshared memoryを贅沢に(^^;)使用するPostgresSQLのWrite processが集中的に狙われてます>_<。 直接的にこの仕組みを切るにはecho 0 > /proc/sys/vm/oom-kill かecho -17 > /proc/(PID)/oom_adj ただし前者はRedHat独自&OOM Killer完全停止、後者はカーネル2.6.11以降&プロセスごとに設定。CentOS 4.4のカーネルは現時点2.6.9なので前者。もうひとつの方法として、OOM Killerが発動する1つの原因を作っているメモリのオーバーコミットをさせない方法。具体的には、 echo 2 > /proc/sys/vm/overcommit_memory echo 90
こんな記事を発見しました。10分で作る、Subversionレポジトリ - Unix的なアレDebian 版らしいので過去記事の修正も兼ねてCentOS 版を書いてみようと思います。# Trac 連携も修正しないと…。 動作環境id:wadap さんと同じくまっさらな環境を想定します。OSCentOS 5.2Apache2.2.3-11.el5_1.centos.3Subversion1.4.2-2.el5mod_dav_svn1.4.2-2.el510分でできるといいな…。 パッケージのインストール必要なパッケージを yum を使用して導入します。必要なパッケージは以下の通りです。Apache Web ServerSubversionmod_dav_svnその他はパッケージは依存関係によって自動的に解決されます。# mod_dav_svn だけ入れれば勝手に全(ry... # yum
メールサーバーでウィルス&スパムチェック(Postfix+Clam AntiVirus+SpamAssassin) 最終更新日: 2008.10.02 <<トップページ <<新着情報 <<質問掲示板 <<アンケート <<サイト内検索 <<ダウンロード <<管理人へメール <<Fedoraで自宅サーバー構築 ■概要 Clam AntiVirusとSpamAssassinを使用してメールサーバー側でメールに対するウィルスチェックとスパムチェックを行う。 なお、メールサーバー(Postfix)とClam AntiVirus、SpamAssassinとの連携はamavisd-newを利用して行なう。 ここでは、自宅サーバーに構築したメールサーバーに外部から送られてきたメール及び、内部から送り出すメールのウィルスチェックを行い、ウィルスを検出したらメールを破棄するようにする。 また、外部から
DNS サーバである BIND の設定ファイル named.conf を書き換えた後、いきなり再起動してしまうと、記述エラーがあったときにデーモンが起動せず焦ります。 named-checkconf コマンドを使えば、事前に named.conf の記述が正しいかチェックをしてくれます。ただしチェックできるのは文法エラーとか、ファイルの存在有無だけです。ゾーンファイルの A レコードの値が正しいかとか TTL が適切かといった部分はチェックできませんので、DNS が稼動している状態で名前解決ができないなどのトラブルのときに使うものではありません。 # named-checkconf /etc/named.conf chroot している場合は、-t オプションを使います。 # named-checkconf -t /var/named/chroot /etc/named.conf name
ネットワークの設定,変更などをどこで設定するか. 何を確認するか. (大抵の場合,設定は /etc/init.d, /etc/rc.d などにあるスクリプトなどで行っている.) 関連ファイル /etc/modules.conf : module の設定 ネットワーク設定(IPアドレスなど) /etc/network/interfaces : (Debian) /etc/rc.d/rc.inet1 : (Plamo) /etc/sysconfig/network-scripts など : (RedHat, Vine) /etc/init.d/* 又は /etc/rc.d/init.d/* : 初期設定スクリプト ホスト名参照 /etc/hostname : 自ホスト名(Debian) /etc/sysconfig/network: 自ホスト名(RedHat) /etc/HOSTNAME :
UnixおよびLinux系サーバの特長の1つは、SSHサービスを実行することでシステム管理者が安全にリモート接続をできるようにしてあることだ。もっともセキュリティ管理者に言わせれば、こうしたSSHサービス自体に対する攻撃も現在では当たり前の手口となってしまっている、ということになるだろう。そこで本稿では、SSHサービスを実行するマシンをブルートフォースアタック(総当たり攻撃)から防護する手段を解説することにする。そのために利用するのは、pam_ablプラグインというSSH用のプラグイン可能認証モジュール(PAM:pluggable authentication module)である。 pam_ablの入手については、モジュールをダウンロードしてコンパイルを自分で行うか、リポジトリからバイナリパッケージをダウンロードして直接インストールすればいい。モジュールをコンパイルする場合は、ソースのダ
はじめに サーバを運用したり環境を構築したりしていて「あれ。あのプロセスで吐いてるログどこだっけ・・」など困るときがあります。 そんなときに頼りになるかもしれないコマンドを 3つご紹介します。 @madeth 師匠に教えていただきました。 1. proc でプロセスが使っているファイルを見る 困ったこと プロセスの吐くログのパスがどうしても分からない・・。 解決法 (編集 2014/09/10) 知りたいプロセスの ID を調べます。 $ ps aux | grep unicorn deploy 3335 xxx xxx xxx xxx X XX 15:14 0:07 unicorn master -c /var/www/myproject/unicorn/staging.rb -E staging -D プロセスID (この場合は 3335) をもとに root 権限でファイルディスクリ
squidをubuntu上にインストールし、透過型プロキシとして使用するための設定をメモします。図のようなネットワーク構成で、ubuntu1がsquidを使用します。なお、ubuntu1にプロキシサーバに関する設定を行うことなく、ubuntu1のhttpトラフィックをsquidに介入させる設定は完了しているとします。(vyattaを使って透過型プロキシ環境を構築する参照) Squidのインストールubuntuのターミナル上で下記のコマンドを実行してsquidのインストールは完了です。 sudo apt-get install squid /etc/squid3/squid.confの修正続いてsquidを透過型プロキシとして使うための設定です。/etc/squid3/squid.confに必要な記述を追記します。 アクセスコントロールの設定まず、squidにクライアントPC(図中ubunt
シングスブログ 中小企業のマーケティングやブランディングのコンサルティング。事業開発 (ビジネスモデルの開発)、デジタルマーケティングやウェブサイト改善など事業の持続的・長期的な成長・発展に貢献できるサービスを提供しています。 2018.2.20追記: Logwatchのコマンドが変わっていたので、書き直しました。ログ監視ツール Logwatch を使ってみる (アップデート版) Logwatch は、いろいろなログをまとめて集計し、レポートとして毎日定期的にメールで届けてくれる。不正アクセスや不具合の発見とサーバの監視に便利なツール。 Logwatch のインストール Logwatch は Perl で書かれていて Perl 5.8 が必要です。 yumからのインストールは、 $ yum install logwatch で、 ソースからのインストールは、こちらから。 Logwatch
ネットワーク関連の設定 /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 デバイス名 ONBOOT=yes システム起動時に有効にするか BOOTPROTO=none 固定IP:none,static DHCPはdhcp HWADDR=00:D0:79:43:AF:12 MACアドレス TYPE=Ethernet インタフェースのデバイスタイプ。他にxDSLなど #DHCP_HOSTNAME=c27r1i2m.corede.net DHCPサーバに通知するホスト名 IPADDR=192.168.1.7 IPアドレスの指定 NETMASK=255.255.255.0 IPアドレスに対するネットマスクの指定 #NETADDR=192.168.1.0 ネットワークアドレス。通常IPアドレスとネットマスクより自動判断 #BROADCAST=
はじめに Linux のセキュリティ設定ってなかなかまとまったものがないので、いろんなサイトを参考にしながら設定をまとめてみました。想定はWeb サーバーで、使用している Linux は CentOS 6.2 です。 設定内容は以下のようになります。 全パッケージのアップデート リモートからの root ログインを無効にする 公開鍵暗号方式を使用した SSH ログイン設定 iptables 設定 SSH ポート番号の変更 不要なサービスを停止 ログ監視設定 ファイル改ざん検知ツール設定 ウィルス対策ソフト設定 Apache の設定 全パッケージのアップデート 最初に以下のコマンドを実行して、全パッケージを最新の状態にする。 # yum –y update 後は脆弱性が発見された時、または定期的にパッケージのアップデートを行う。 リモートからの root ログインを無効にする リモートからメ
次世代版MRTGのRRDtoolを利用してサーバー監視システムを構築する。 ここでは、RRDtoolのフロントエンドとしてCactiを利用し、Webインタフェースでグラフの管理ができるようにする。 サンプル(当サイトのグラフ) ※Apache+PHP、MySQLが必要 [root@centos ~]# vi /etc/snmp/snmpd.conf ← Net-SNMP設定ファイル編集 # sec.name source community #com2sec notConfigUser default public ← コメントアウト com2sec local localhost private ← 追加 com2sec mynetwork 192.168.1.0/24 public ← 追加(ネットワークアドレスは各自の環境に合わせること) # groupName securityMo
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く