pam_tally2 で一定回数ログインに失敗したアカウントをロックする - うまいぼうぶろぐ
http://www.fprog.org/~mura-masa/diary/?date=20111130 man pam_tally2 /etc/pam.d/password-auth authの冒頭部分に追記。(pam_env.soの次?) 下の例は合計失敗3回するとロックされる。(ロックされるまでの途中に一度でも認証成功したら失敗回数はクリアされる) auth required pam_env.so auth required pam_tally2.so deny=3当然だけどsshの認証で利用する場合はsshd_configにUsePAM yes と記述しておくこと。 pam_tally2 option deny=n 失敗回数がこの数値に達するとロックする unlock_time=n 最後に失敗してからこの設定秒数経過するとアンロックする。設定しない場合、pam_tally2 コマン
tcp wrapper で/etc/hosts.allow を使って特定のhost/networkを拒否する - うまいぼうぶろぐ
https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Server_Security.html#sect-Security_Guide-Server_Security-Securing_Services_With_TCP_Wrappers_and_xinetd man hosts.allow hosts.deny で任意のipを拒否したいと思っても、hosts.allow でallで許可設定を書くと、公開サーバなどで以下のような設定は出来ないと思っていた。 例えば公開FTPサーバを用意するとして、セキュリティ対策のためにhosts.deny でまず全てを拒否する。その後、proftpd は外部からアクセスを許可するので
fio でdisk のパフォーマンス測定 - うまいぼうぶろぐ
http://freecode.com/projects/fio http://sourceforge.jp/magazine/08/05/22/0127246 install libaio-devel がいる。 # yum install libaio-devel # wget http://brick.kernel.dk/snaps/fio-2.0.7.tar.gz # tar zxvf fio-2.0.7.tar.gz # cd fio-2.0.7 # make && make install 追記 epelにあったのでそこから入れてもいいかな。 # yum install --enablerepo=epel fio 実行 パラメータは引数で指定するか、ini形式のファイルに書いてそれを読み込むか。 # fio hoge.ini # fio -filename=/tmp/data -
mysqltunerでmysqlの設定値を診断してチューニングする - うまいぼうぶろぐ
https://github.com/rackerhacker/MySQLTuner-perl/ mysqltuner.pl を実行するだけ。 $ git clone git://github.com/rackerhacker/MySQLTuner-perl.git $ cd MySQLTuner-perl $ perl mysqltuner.pl"!!"の項目が改善すべき項目。 $ perl mysqltuner.pl >> MySQLTuner 1.2.0 - Major Hayden <major@mhtx.net> >> Bug reports, feature requests, and downloads at http://mysqltuner.com/ >> Run with '--help' for additional options and output filter
tcp関連の/proc パラメータ復習 - うまいぼうぶろぐ
/proc/sys/net/ipv4/ 以下のアレ。高負荷時にはチューニングすると良いらしいけど、これを設定して効果が出るような状況にはまだ出くわしたことない。 tcp_fin_timeout default: 60 (秒) tcpのシーケンスでFIN-WAIT2からTIME_WAIT に移行するまでの待ち時間。TIME_WAITが残っている時間ではない。TIME_WAIT 自体の時間はkernelをrebuildしないとダメ? tcp_max_tw_buckets TIME_WAIT 状態を保持する上限数 tcp_tw_reuse default: 0 TIME_WAITを自分からの接続で再利用する。1でよさげ tcp_tw_recycle default: 0 TIME_WAITを相手からの接続で再利用する これを有効にすると同一IPからのパケットが同時に来た時に、timestampの
apache脆弱性対策 - Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192) - うまいぼうぶろぐ
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/browser もうあちこちで大騒ぎになっていてみんな知ってると思うけど。HTTP Requestに非常に長い(コンマ区切りの複数のヘッダ) Rangeヘッダを送られるとapacheのプロセスがメモリ食いまくるっていう。 追記 2011/9/17 現在でapache 2.2.21 が出ているので、可能であればバージョンアップしときましょう。 ## 追記終わり 対象は全バージョンのapache 攻撃が簡単 (Rangeヘッダをちょろっといじるだけ: 某所にupされてるperlも80行程度 ということで結構厄介かも。すぐパッチが出るとのことだけど、急いで対応する場合は↑のURLのとおりhttpd.confを設定する。 apache 2.2の場合はmod_hea
find -execとxargs - うまいぼうぶろぐ
find -execは、1ファイルに対して1回ずつコマンドを実行。xargsは標準入力から受け取った複数のファイルに対して、コマンドを1回で実行(といってもシェルに渡せる限界があるから、入力が多すぎる場合は複数回にわけて実行)。だから、xargsのほうが早いと思っていた。例えば特定のファイルを消す場合。 $ find /tmp/ -type f -mtime +1 -exec rm {} \; # 以下とほぼ同等 $ find /tmp/ -type f -mtime +1 -print0 | xargs -0 -n1 rmところが、find -execで'\;'ではなく、'+'を指定すればxargsと同じように、複数ファイルに対してコマンド実行するらしい。 http://ja.wikipedia.org/wiki/Xargs これはすべての単一ファイルに対して一回ずつ rm を呼んでいる
最近のCPANモジュールを使ったメール送信 - うまいぼうぶろぐ
http://perl-users.jp/modules/email_send.html perl-users でEmail::Send 使えばいいよって書いてたので、Email::Sendを使ってたんですが、ふとperldoc Email::Send みてたら Email::Send is going away... (略) As of today, 2008-12-19, Email::Sender is young, but it's fairly well-tested. Please consider using it instead for any new work. と書いてるのでEmail::Sender 使おう。 perldoc Email::Sender::Simple perldoc Email::Sender::Manual perldoc Email::Sende
linuxでネットワークのスループット測定 - うまいぼうぶろぐ
iperfとnetperfあたり?iperfのほうが簡単そう。 iperf defaultで5001番portを使用 $ iperf --help Usage: iperf [-s|-c host] [options] iperf [-h|--help] [-v|--version] Client/Server: -f, --format [kmKM] format to report: Kbits, Mbits, KBytes, MBytes -i, --interval # seconds between periodic bandwidth reports -l, --len #[KM] length of buffer to read or write (default 8 KB) -m, --print_mss print TCP maximum segment size (MT
ngrepでパケットをキャプチャしてgrep (ngrepの使い方) - うまいぼうぶろぐ
最近知ったんだけど、かなり便利くね?もしかして常識? http://ngrep.sourceforge.net/ http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/027ngrep.html installにはlibpcapがいる。 http://downloads.sourceforge.net/libpcap/ もしくはepelリポジトリからyumでinstallする。 # yum install -y --enablerepo=epel ngrep 追記 今更知ったけど、ASCIIで表示するだけならtcpdump -s0 -A だけで良いので(ngrep -W byline とほぼ同じ?)、grep 的なことしないならtcpdump で十分な気がする。 man tcpdump -A Print each packet (m
mysqldump の option 復習 - うまいぼうぶろぐ
mysql 5.5 GA が年内にreleaseされるとかいう噂を聞いていて、ふとdumpについて知りたくなったので調べた。主にlock関連で。 http://dev.mysql.com/doc/refman/5.1/ja/mysqldump.html --opt defaultで有効。 "--add-drop-table --add-locks --create-options --disable-keys --extended-insert --lock-tables --quick --set-charset" をまとめて設定。 --quick defaultで有効。 結果をmemoryにbufferしないで、1行ずつSQLを吐き出す。sizeの大きいdatabase/table に対してこのoptionを指定しないと(全部memoryに乗っけてからSQLを吐くので)、serverの
ethtoolでNICのパラメータ設定 - うまいぼうぶろぐ
http://www.ksknet.net/linuxai/ethtool_duplexa.html あえてNICの速度を落としたいことがあったので調べた。 確認 # ethtool eth0 設定 ### ethtool -s eth0 key value # ethtool -s eth0 autoneg off # ethtool -s eth0 speed 100 OS起動時に反映 redhat /etc/sysconfig/network-scripts/ifcfg-eth0 とかに ETHTOOL_OPTS="autoneg off speed 100 duplex full"などを書く。 debian 調べてないので不明
apacheの mod_cache の設定を復習した - うまいぼうぶろぐ
http://httpd.apache.org/docs/2.2/en/mod/mod_cache.html http://httpd.apache.org/docs/2.2/ja/mod/mod_cache.html "Studying HTTP" HTTP Header Fields apacheの日本語のdocumentはversionが古くて、いくつかのdirectiveの説明が無い。他には Caching Guide のoverview "What Can be Cached?" の項目を読むと良い。 1. Caching must be enabled for this URL. See the CacheEnable and CacheDisable directives. 2. The response must have a HTTP status code of 200
phpのinstall - SAPI cli, cgi, apache DSO module メモ - うまいぼうぶろぐ
http://www.php.net/manual/ja/features.commandline.php http://www.php.net/manual/ja/security.cgi-bin.php http://d.hatena.ne.jp/hogem/20090809/1249801747 今まで専用サーバだからほとんどapache moduleとして入れていたけど、共有サーバだからcgi版で入れようということになったので。phpのことちょっと調べたメモ。 phpのSAPI (Server Application Programming Interface) defaultではcliとcgi版 両方がinstallされる。 cli: PREFIX/bin/php cgi: PREFIX/bin/php-cgi cli版とcgi版の大きな違いは cgi版は自動的にHTTPヘッダが
mod_proxy - ProxyPass、BalancerMemberのパラメータのdocumentを読んだのでまとめた - うまいぼうぶろぐ
http://httpd.apache.org/docs/2.2/en/mod/mod_proxy.html#proxypass http://httpd.apache.org/docs/2.2/ja/mod/mod_proxy.html#proxypass timeoutとかconnectionとか。今まで真面目にみてなかったので。mod_proxyのdocumentは翻訳が追いついてないためか、日本語のページに記載されている内容は古いversionのものがあるので、なるべく英語のページを見たほうが良い。 とりまメモった内容を記録。体裁は後で整える。 あと、"まとめた"とか言ってるけど、全部のパラメータについて調べたわけではないです。 parameter: default Description timeout: ProxyTimeoutの設定値 ProxyTimeoutのdefault
linuxでinterfaceをbondingして冗長化 - うまいぼうぶろぐ
ref. http://www.pochinet.org/linux0A044.htm http://www5.ocn.ne.jp/~m-shin/linux/linux-bonding.html http://blog.dc-d.jp/archives/290.html modprobeでbondingのモジュール読み込んで、ごにょごにょっと設定書くだけで出来た。すげー簡単。 modeはラウンドロビンの0じゃなくて、active-backupの1のが管理しやすいかな。 /etc/modprobe.d/bonding alias bond0 bonding options bonding mode=1 miimon=200 /etc/sysconfig/network-script ifcfg-bond0 DEVICE=bond0 BOOTPROTO=static BROADCAST=19
lsofの使い方 - プロセスが使用中のファイルを調べる - うまいぼうぶろぐ
odz buffer - プロセスが開いているファイルを確認する ls -l /proc/`pgrep -n java`/fd lsofでも調べられます。 lsof - list open files lsof うにょうにょと結果が出てきます。が、多すぎて訳わからん。 -pオプションでプロセスID指定 ### プロセスID指定 lsof -p 12345 ### バッククォート使うとこんな感じ lsof -p `pgrep -n java` -cオプションでプロセス名指定 lsof -c java -uオプションでユーザ指定 lsof -u hoge -iオプション [@IPアドレス:ポート番号] listenしてるポートを出力。指定したポートのみ表示することもできる。 lsof -i # Listenしてるのずらずら表示 lsof -i :22 # ssh lsof -i :22,80
SSLアクセラレータ配下のapacheで、アクセスがhttpかhttpsかを判別する方法 - うまいぼうぶろぐ
少し前に試行錯誤して現在はひとまず解決したのですが、同じようにはてなで悩んでた人がいるみたいなので、自分の設定例を軽くまとめてみる。 SSLアクセラレータとは 【SSL accelerator】 - 意味・解説 : IT用語辞典 http://q.hatena.ne.jp/1224205069 SSLアクセラレータ配下にあるapache上でクライアントからのアクセスがhttpsかhttpであるかの判別をする方法はありますか? mod_rewriteを利用しhttpのアクセスをhttpsにリダイレクトする設定を考えていますが、SSLアクセラレータを経由してのアクセスとなるため、apacheへの接続は全てhttpとなります。 回答にもあるように、恐らくapache単独では解決できませんが、SSLアクセラレータの設定と組み合わせれば可能です。それも拡張ヘッダやmod_rewriteなどの特別な仕
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
