「OpenBSD 6.2」リリース、カーネル保護機構などを強化 | OSDN Magazine
OpenBSD開発チームは10月9日、「OpenBSD 6.2」を公開した。カーネル保護のためのランダム化技術「Kernel Address Randomized Link(KARL)」などの機能が加わっている。 OpenBSD 6.2は、2016年9月に登場したバージョン6系の最新版。4月に公開されたバージョン6.1に続くリリースとなる。 ネットワークスタックを強化し、KERNEL_LOCKなしに受信と転送のIPパケットを処理できるようになった。遅延を改善し、性能を強化できるという。また、カーネルがIPv6 Stateless Address Autocongiguration(RFC 4862)を処理しないよになり、IPv6ネットワークスタックを簡素化した。このほか、IPv6のIPsecポリシーの強化、ネットワークパケットアロケーターでCPU単位でのキャッシュの使用が有効になるなど多数
「glibc 2.26」リリース、mallocのスレッド毎キャッシュによる高速化やUnicode 10サポートなどが導入される | OSDN Magazine
The GNU C Library(glibc)開発チームは8月2日、標準Cライブラリ実装の最新版「glibc 2.26」を公開した。Uniode 10のサポート、mallocへのスレッド単位のキャッシュ機能のマージなどといった新機能が加わっている。 GNU C Library(glibc)は移植性と高性能にフォーカスしたCライブラリ。ISO C11、POSIX.1-2008などの標準に準拠しており、LGPLv2.1の下でライセンスされている。 glibc 2.26は2月にリリースしたバージョン2.25に続く最新版。スレッド毎のキャッシュ機能がmallocにマージされた。キャッシュへのアクセスにはロックが必要ないため、小さい単位でのメモリ割り当ておよび解放が大幅に高速化されるという。実際の測定結果でも、さまざまなユーザーワークロードで大きく性能を改善できていると報告されている。 また、Un
Linux Virtual ServerとKeepalivedで作る冗長化ロードバランサ | OSDN Magazine
多数のクライアントがアクセスするような負荷の高いサービスや停止させられないサービスを運用する場合、複数のサーバーを使ってサービスの負荷分散や冗長化を行うのが一般的だ。本記事では、「Linux Virtual Server(LVS)」を使ってこのような構成を実現する方法について紹介する。 Linuxサーバーをロードバランサにする「Linux Virtual Server」(LVS) 最近では多数のCPUコアを持つサーバーが安価で利用できるようになり、サーバー1台の処理能力は飛躍的に向上している。しかし、リクエストの処理に多くのリソースを使用するようなサービスや、短時間に多数のリクエストを処理する必要があるサービスでは、1台のサーバーだけでは処理能力が不足する場合がある。このような場合、複数台のサーバーで同じサービスを運用し、ロードバランサを使ってリクエストを振り分けることで負荷の分散を図るこ
Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定 | OSDN Magazine
Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。 Apache KillerはFull-disclosureというメーリングリストで先週公開された。問題となっているのは「Range header DoS」と呼ばれる脆弱性。リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。バージョン1.3系および2系のすべてがこの脆弱性を持つという。デフォルト設定ではこの攻撃に対し脆弱で、現在この脆弱性を修正するパッチやリリースはない。Apache Killerではこの脆弱性が悪用され、多数のリクエスト
Linuxディストリビューションの安全性が確立されるまでの舞台裏 | OSDN Magazine
Linuxディストリビューションは星の数ほど存在する。それだけ多数の種類が存在しているが故に蔓延しているのが、新規のLinuxディストリビューションを作りたければ、採用するLinuxカーネルを決定し、同梱するアプリケーションをいくつか選び、専用のリポジトリを用意してISOを作成するだけでいい、という誤解である。実際に1つのLinuxディストリビューションを立ち上げて継続的に運営するとなると、単にアプリケーションの組み合わせが正常に機能することを確認すれば良し、というレベルで済ます訳にはいかない。少なくともメジャーなディストリビューションの場合、提供するシステムの安全性を確認し、必要な時期に適切なアップデートをリリースする体制を整えておく必要があるため、それに見合うだけの多くの時間と手間をかけているものなのである。 メジャーなディストリビューションであれば、どのようなベンダであっても、セキュ
SSHへのブルートフォースアタックにpam_ablを用いて対策する | OSDN Magazine
UnixおよびLinux系サーバの特長の1つは、SSHサービスを実行することでシステム管理者が安全にリモート接続をできるようにしてあることだ。もっともセキュリティ管理者に言わせれば、こうしたSSHサービス自体に対する攻撃も現在では当たり前の手口となってしまっている、ということになるだろう。そこで本稿では、SSHサービスを実行するマシンをブルートフォースアタック(総当たり攻撃)から防護する手段を解説することにする。そのために利用するのは、pam_ablプラグインというSSH用のプラグイン可能認証モジュール(PAM:pluggable authentication module)である。 pam_ablの入手については、モジュールをダウンロードしてコンパイルを自分で行うか、リポジトリからバイナリパッケージをダウンロードして直接インストールすればいい。モジュールをコンパイルする場合は、ソースのダ
削除したファイルをlsofで復元する | OSDN Magazine
たとえば、あなたが午後いっぱいを費やして製作したオーディオ・ファイルの再生を楽しみながら、「やあ、こいつはすごい音だ! こっちに移動しておくとしよう」と思ったとする。そのとき、潜在意識が違和感を唱えるのだ。「ええと、mvだっけ、rmじゃないのか?」…やっちまった。そのショックはよくわかる。誰にでもありうる失敗だ。だが、失われたファイルを取り戻す簡単な方法はある。しかも、それはどの標準Linuxシステムでも使える方法だから、覚えておいて絶対に損はない。 簡単に説明すると、Linuxファイルシステム上にあるように見えるファイルは、実際はinodeへのリンクに過ぎない。inodeには、ファイルのあらゆるプロパティ(アクセス権や所有権など)のほか、ファイルの中味が実際に存在するディスク上のデータブロックのアドレスも記録される。rmコマンドでファイルを削除すると、ファイルのinodeを指すリンクは削
米Zend、PHP Webアプリケーションサーバー「Zend Server」を公開 | OSDN Magazine
米Zend Technologiesは2月18日、同社初のアプリケーションサーバー「Zend Server」を発表、ベータ版を公開した。ミッションクリティカルなPHPアプリケーションを運用・管理できるという。Windows、Linux、Macに対応、同社Webサイトより無料でダウンロードできる。 Zend Serverは、信頼性、性能、安全などの要求が高いPHPアプリケーションを動かすサーバーソフトウェア。 Apache、PHP、Zend Framwork、PHP Optimizerの設定を高速に行うネイティブインストーラ、PHPアプリケーション設定のための管理ツールを持つ。主要データベースと容易に接続できるほか、Javaコネクタも用意した。 PHPバイトコードキャッシュとフルページキャッシュを利用して、アプリケーションに変更を加えることなく性能を強化できるという。PHPスクリプト実行の鈍
pam-mysqlを使って仮想FTPサーバを構築する | OSDN Magazine
バックエンドにデータベースを持つ仮想FTP(File Transfer Protocol)サーバを構築することには多くの利点がある。例えばデータベースを使用することによって大量のユーザ情報を一箇所にまとめて保存することができるので管理が楽になる。また仮想サーバのユーザはFTPサーバのリソースのみにアクセスすることが可能でOSのリソースにはアクセスできないため、従来のUnix OSのユーザ認証方法よりもセキュリティを高めることもできる。さらにバックエンドのデータベースを簡単にインストール/設定/管理するための数多くのウェブツールを利用することもできる。また仮想FTPサーバはFTP自体がサポートしていない「@」を含むいくつかの特殊文字もサポートするので、例えば社員の電子メールアドレスをユーザ認証に使用する場合などに便利だ。 pam-mysqlは広く利用されているPAM(Pluggable Au
Open Tech Press | Libxml2 を使う
XML はあらゆる分野における基礎技術となって利用が進みつつあるが、GNOME 環境においても例外ではない。GNOME 2 においては Libxml2 が XML を扱うための基本ライブラリとして採用され、あらゆる局面で活用されている。本稿ではこの Libxml2 を使った簡単なプログラミング例を紹介しよう。 GNOME と XML GNOME の多くのアプリケーションは設定に関する情報を GConf というフレームワークを利用して保存しているが、この GConf は標準では XML 形式のテキストファイルを利用して情報を保存している。GNOME を利用しているなら、ホームディレクトリにある ~/.gconf/ というディレクトリの中を覗いてみよう。そこの中には %gconf.xml というファイルがいくつも存在しているが、これが GConf によって書き出されたユーザ固有の設定情報である
1つのシェルから複数のSSHセッションを同時に実行するツール3種類を試す | OSDN Magazine
リモートマシンへのログインやファイルのコピーなど、システム管理作業全般でSSHを利用する機会は多い。SSHでの作業を効率よく進めるには、複数のリモートマシンに対してコマンドを同時に実行できるツールを使ってみるとよいだろう。この記事では、Parallel ssh、Cluster SSH、ClusterItという3つのツールを紹介する。いずれも、単一のターミナルウィンドウで入力したコマンドを、対象となる複数のリモートマシンに対して一斉に送ることができる。 こうしたツールを使わずに、openSSHで複数ホストに対する処理を行うことも不可能ではない。たとえば、実行するコマンドを記述したファイルを作成し、bashのforループを使って、複数のリモートホストに対して順次実行していけばよい。だが、ツールを使うことにはメリットがある。その1つは、複数のホストで並行してコマンドを実行できる点だ。短時間で完了
Linuxケーパビリティ(1/3) | OSDN Magazine
ケーパビリティは、特権をより細かな断片に分割しようというものである。プロセスに対して特権を細かく分けて与えることによって、安全性を高めることができる。 ケーパビリティとは UNIX系OSにおいてはrootユーザに絶対的な特権が与えられている。特権がなければできないことがある反面、特権がありさえすれば何でもできてしまう。この状況が問題をはらんでいることは、各種のセキュリティホールの存在によって明らかである。 Linuxケーパビリティは、こうした特権にまつわる問題(の少なくともいくらか)を解決するための機構だ。基本的な考え方は従来一つだった特権をいくつかに分割し、それぞれの権限のうちの本当に必要なものだけを選択的に保持するようにするというものだ。そして分割された特権の断片のそれぞれのことをケーパビリティと呼ぶ。 この仕組みは、特権のうちの必要のない部分を手放すための手段を提供するという形で機能
fioを用いたディスクIOのパフォーマンス測定 | OSDN Magazine
コンピュータを構成する主要コンポーネントの中でも、ストレージ系のパフォーマンスは他に比べてかなり劣るものとなっており、例えばハードディスクは容量的には順調に拡大し続けているものの、そのアクセス速度の発展ペースはRAMやCPUの速度向上に追いつけなくなっている。こうしたハードドライブの性能的限界がシステムパフォーマンスのボトルネックとなっている可能性を考えた場合、各自の所有するディスクやファイルシステムが発揮可能な速度および、ディスクのサブシステムに対してユーザが行える設定変更の影響を数値的に把握しておくことは重要な意味を帯びているはずである。またディスクのアクセス速度を向上させる手法の1つとしては、RAID-5のように複数のディスクを組み合わせて運用することが考えられる。 Linuxの場合、物理ディスクに対するアクセス速度の基本的な情報であれば、hdparmツールに-Tおよび-tオプション
Open Tech Press | Linuxのスワップ処理を最適化するためのヒント
コンピュータのメモリ容量を超えるサイズのプログラムを実行する必要がある場合、最近のオペレーティングシステム(OS)のほとんどはスワップ処理と呼ばれる手法を用いる。これは、メモリ内データの大部分を一時的にハードディスクに格納しておき、必要なデータだけを物理メモリ空間に持ってくるというものだ。本稿では、Linuxシステムにおけるスワップ処理の効率化とスワップ処理サブシステムのパフォーマンス最適化につながるテクニックを紹介する。 Linuxは、物理メモリの領域をページという単位に分割して処理する。スワップ処理とは、ハードディスク上にあらかじめ設定した空間(これをスワップ空間と呼ぶ)にページ単位でメモリ上のデータをコピーし、そのページのメモリ領域を解放する処理をいう。物理メモリとスワップ空間を合わせた容量が、仮想メモリとして利用可能になる。 スワップ処理が必要になる主な理由は2つある。1つは、物理
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
