(CentOS8))
ファイアウォール構築(iptables)(CentOS8) - すだちWiki
Linuxのパケットフィルタリング機能であるiptablesを使用して、Web等外部に公開するサービス以外のポートへのアクセスをブロックするようにする。 ファイアウォール停止 [root@host3 ~]# systemctl stop firewalld ← ファイアウォール停止 [root@host3 ~]# systemctl disable firewalld ← ファイアウォール自動起動解除 Removed /etc/systemd/system/multi-user.target.wants/firewalld.service. Removed /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. iptables設定 iptables設定 iptables-servicesインストール [root@hos
rp_filter が静的ルーティング下の traceroute に及ぼす影響 - とあるSIerの憂鬱
静的ルーティングを設定した Windows と Linux (RHEL6.4) で、それぞれ tracert と traceroute を実行したとき不思議な差が出た。解明までのプロセスが自分の好みにドンピシャだったので順を追って書く。 環境 環境を大まかに書くと下図のようになる。外部との通信用のデフォルトゲートウェイと、内部のシステムである targethost と通信するための内部ネットワークに接続するゲートウェイ A がある。Windows Server 2012 のサーバと RHEL 6.4 のサーバそれぞれに、targethost 向けの静的ルートを入れ、ゲートウェイにはゲートウェイ A を設定した。 設定が終わったので、「さて、正しいルートを通っているかな♪」と tracert と traceroute を叩く。すると違いが。 Windows Server 2012 での実行結
CentOS 7 の rp_filter でハマった件
CentOS7の標準設定の場合このマシンに外部,例えば 192.168.2.3/24, から ping をうつとどちらか片方にしか届かない. なぜか.CentOS7は標準設定では入力インターフェイスと出力インターフェイスが異なるトラフィックを破棄するように設定してあるから.上のような場合,デフォルトルートが設定してあり, ping の入力インターフェイスは ping の宛先により変化するが, ping の返信(ICMP echo reply) は必ずデフォルトルートのインターフェイスから発信され, ping の宛先に依存しない.よって,入力インターフェイスと出力インターフェイスが異なる非対称ルーティングとなる. Red Hat Enterprise Linux 6 で、出力トラフィックのルートが入力トラフィックのルートと異なる場合に、パケットを無効/破棄する理由 上のようなパケットを一時的
vmstatコマンドについて調べてみた - DENET 技術ブログ
こんにちは! ディーネットにて見習いエンジニアをしております下地です(^^) 私の所属するチームでは、メンバーの技術共有のために朝少し時間を取ってミーティングをしているのですが、ある日のミーティングでvmstatについての話題がでました。 サーバのトラブルシューティングや負荷状況を調査する際に時々使ってはいるのですが、自分自身イマイチ各項目が何を意味しているのかを掴めていませんでした。 そこで改めてvmstatコマンドについて調べてみました。 vmstatとは vmstatとは、LinuxにおいてCPUやメモリなどの使用状況を表示するコマンドです。 システム全体の負荷状況をリアルタイムで観察するのに適しています。 vmstatコマンドの使い方 1回だけ実行します vmstatとだけ打ち込むと1回のみの実行結果を表示します。 1秒毎に連続して実行します 1秒毎に連続して実行します。停止はCt
findで時間を指定する~mtime,ctime,atimeとmmin,cmin,amin - grep Tips *
具体的な値に当てはめて考えてみると、timeで +n だと「 n+1 日より前」となるため24時間のずれがあり、minの1分のずれと比べて、直観的でなくわかりづらい。 mtime +2 更新日が3日より前 mmin +2 更新日が3分より前 24時間単位でなくするためには、nに小数を入れると実現できるが、余計わかりづらくなってしまうかもしれないので、minを使う方がいい。 mtime +0.5 更新日が36時間より前 古いファイルを処理するシェルを mtime +1 と書いて実行した場合、「1日と数時間は経っているファイルが処理されていないのはなぜ?」と無駄に考え込んでしまったので、1日を過ぎたファイルを対象にする場合は、mmin +1440と書くようにしている。 参考 http://www.sioazike.info/wordpress/?p=243 from A to Bのように期間を
メモリを食いまくるプロセスがメモリ使用量に与える影響をtopで追う
暴走してどんどんメモリを食うスクリプトが OS全体のメモリ使用量(CentOS5 ... カーネルは2.6系になる)の動作にどんな影響を与えるのか ってのを見るために以下のようなテストをしてみました。仕組みはだいたい理解してるけど、細かい数値を追ったことはなかったのでやってみました。 sshでログインして、topを立ち上げる。プロセスを見張る用意をしておく 別のsshをたちあげて、 Perlワンライナーで以下のようなプロセスを走らせる(このプロセスをtopで見張る) # 1秒ごとに5MB単位でメモリを食うプロセス # 数値はお好みで perl -e "while(1){ sleep 1; push @h , 1 x 1024 x 1024 x 5 } " ちなみにtopで見張るときは メモリ使用量でソートされるようにして top起動中に shift + o を押して n を押すと 実メモリ
ぜんぶTIME_WAITのせいだ! - Qiita
課題 突然キャンペーンとかの高トラフィックが来る!とか言われると色々困ることはあるものの、今のご時世クラウドだからスペック上げときゃなんとかなるでしょ。ってとりあえずCPUとかメモリあげて見たものの、キャンペーンが始まったら意外と早くブラウザからつながらない!!とか言われたりする。 CPUもメモリもそんなに負荷は特に高くもない。調べてみたらTIME_WAITが大量にあった。 とりあえず何とかしたい TIME_WAIT数をコマンドで確認 $ netstat -anp|grep TIME_WAIT __(snip)__ tcp 0 0 192.168.1.1:80 192.97.67.192:56305 TIME_WAIT - tcp 0 0 192.168.1.1:80 192.63.64.145:65274 TIME_WAIT - tcp 0 0 192.168.1.1:80 192.39
Devuan 1.0 RCがリリース - systemdが取り除かれたDebianフォーク | ソフトアンテナ
RedHat、Debian、Ubuntuなどの主要なLinuxディストリビューションはinitやUpstartからsystemdへの移行を進めています。 対して今回このsystemdを良しとしないLinuxディストリビューションの一つ「Devuan Jessie 1.0 RC」が公開されました。名前から想像がつくとおりDebianのforkとして開発されているLinuxディストリビューションで、起動システムからsystemdが取り除かれているのが特徴です。 Devuan 1.0 RCは、Debian 8.0 Jessieをベースとし、Debian 7 (Wheezy)からのアップグレード、 Debian 8 (Jessie)からのスイッチが可能なほか、もちろん「initの自由」が保証されています。systemdに疑問を持っているLinuxユーザーは試してみてはいかがでしょうか。
LVSの高負荷対策 その1 ~障害発生~ : DSAS開発者の部屋
こんにちは。インフラ担当の岡村です。 昨年、あるサービスで使用中のロードバランサが停止してしまうという事件が起こりました。 事の顛末を、数回に分けて紹介していきたいと思います。 もし同様の事象にお困りの場合は、役立てて頂ければと思います。 システム構成 KLabのDSASでは、ロードバランサにLVS (Linux Virtual Server) を使用しています。 ロードバランサはマスタ-バックアップ構成になっており、マスタ側が停止してしまっても、通常はバックアップ側がマスタに昇格し、サービスを継続できるようになっています。 おおまかな構成は下図のようになります。 ある日の晩、突然ロードバランサ(マスタ側)の死活監視のアラート通知が届きます。 (なんだろう..。電源障害? その他HW障害? もしくはカーネルのバグを踏んだ?) 原因調査・復旧はもちろん必要ですが、冗長構成のため、とりあえずサ
Ksarでsarをグラフ化するのが便利すぎる - 自分の仕事を憎むには人生は余りにも短い
性能を見るのでPSやらsarを使うわけですがやっぱりデータはグラフ化したいです。 PSだったらPSグラフ化君とかがあって便利なのですが、IOとかも一緒に全部みたいとかなるとSarが楽です。 んで、Sarをグラフ化したいなと思っていたらめっちゃ便利なものがありました。 http://ksar.atomique.net/ ダウンロードは以下 http://sourceforge.net/project/showfiles.php?group_id=179805 すごいところ グラフがかっこいい。シンプルで見やすい。 画面はこんな感じ。 CPU情報 Eth情報 IO情報 メモリ情報 グラフの任意の場所を拡大できる。 マウスでボックス選択するとそこが拡大。 時間指定でグラフ化したり出来る。 グラフを以下の形式で出力できる。 PDF PNG JPG CSV TXT Sarを見る時のニーズはほぼ全て満
hansode.org - このウェブサイトは販売用です! - hansode リソースおよび情報
このウェブサイトは販売用です! hansode.org は、あなたがお探しの情報の全ての最新かつ最適なソースです。一般トピックからここから検索できる内容は、hansode.orgが全てとなります。あなたがお探しの内容が見つかることを願っています!
Linuxサーバで負荷試験するにあたって - Qiita
LinuxでTCPのサーバを置いて多量のTCP接続を行うと、初期設定のままではうまくいきませんでした。 多量のTCP接続を受け付けるには設定手順があると知ったので紹介します。 「Too many open files」と出て接続できない 1プロセスで開けるソケット数上限に達したようです。 上限を上げましょう(デフォルト1024)。 接続元と接続先でそれぞれ以下のコマンドを使います。 ulimit -n 102400 「Connection refused」と出て接続できない まず接続先でdmesgコマンドを実行しましょう。 TCP: Possible SYN flooding on port 8888. Sending cookies. と表示されたらSYN flooding攻撃かもとOSが判断して新規接続をブロックしています。 無効化しましょう( http://ja.wikipedia.
特定のユーザのみSFTPでchrootする | DevelopersIO
はじめに webサイトのドキュメントルートをLinuxユーザのホームディレクトリ配下のディレクトリにして 運用しているサイトは結構あると思います。 しかしそのドキュメントルート配下の特定のディレクトリのみ 他のユーザも編集したいなんてことがあります。 そのような条件の場合にOpenSSHのchroot機能を使って 特定のユーザのみSFTPでchrootする方法を紹介します。 ※OpenSSHのchroot機能はOpenSSH4.2.9以降から使用できるようになっています。 http://www.openssh.com/txt/release-4.9 要件 簡単に要件を箇条書きに書いていきます。 ・既存ユーザ websiteuser ・既存ユーザのホームディレクトリ /home/www/websiteuser ・ドキュメントルート /home/www/websiteuser/htdocs/
S.M.A.R.Tの見方とよくある誤解
誕生日:1981年生 性別:男 職業:病気療養中の無職 趣味等:ドライブ、ツーリング、機械いじり、温泉巡り、キャンプ、アマチュア無線、コーヒー、お茶、鉄道、廃墟、ダム、発電所、近代化遺産 4スタンスタイプ:B1 ・平凡な資格・検定諸々 中型自動車(8t限定) 普通自動二輪 第二級アマチュア無線技士 危険物取扱者乙四類 第一回パソコン自作力検定 評価 C 79 / 100点 (以下在学中にとったもの) MIDI検定3級 情報処理活用能力検定準2級 日商ワープロ検定3級 計算技術検定3級 情報技術検定2級 (失効したベンダー資格) CCNA ・愛車1 スバル インプレッサ S-GT MT CBA-GH8A ・愛車2 カワサキ D-トラッカー 2007年式 アマチュア無線 コールサイン:7 K 4 S X S ・リグ1(第一送信機) YAESU FT-991M 50W HF~144/430M 自
LinuxでHDDが壊れた時の見分け方 - 異国見聞私書録
先日、外付ストレージとして使っていたハードディスクが壊れた。その際に行ったことをメモしておきたい。なお、このPCのOSにはLinux Mintを使用しており、Ubuntu系のLinuxであることから、それに基づいた記述をしている。 そもそもこの外付ストレージ、かなり荒技でmdadmを使ってのソフトウェアRAID構成をしていた。荒技というのはRAID5とRAID1を結合させて、あたかも一つのストレージに見せるという、ちょっと歪な構成になっていた。なぜこうなっていたというと、余っていたディスクを使ってストレージを作っていたからである。例を図で示すと以下のようになる。 容量の異なるディスクで構成されたディスクアレイだったので、RAID5とRAID1をLVMで束ねて作ってみたのだ。しかし、結果的にディスクが壊れた際の復旧が難しく、バックアップから戻す方法でデータは復活させた。よほどディスクアレイな
業界最大級のライブチャットDXLIVE
9月14日(水)午前5時~5時30分(日本時間)に、サイトのメンテナンスを行ないます。その間は、一時的にチャットが中断される場合がございます。メンテナンス期間は、作業状況により多少前後することもございます。ご利用の皆様にはご迷惑をおかけ致しますが、ご理解ならびにご協力の程、何卒宜しくお願い申し上げます。 日本時間午後10時30分頃から午前零時頃までの間、チャットに繋がりにくい状態がありましたが、現在は解決しています。ご利用されている皆様には大変ご迷惑おかけいたしましたことをお詫び致します。 9月6日(水)午前4時30分(日本時間)より約1時間、サイトのメンテナンスを行ないます。その間は、一時的にチャットが中断される場合がございます。メンテナンス期間は、作業状況により多少前後することもございます。ご利用の皆様にはご迷惑をおかけ致しますが、ご理解ならびにご協力の程、何卒宜しくお願い申し上げます
Debianなマシンで IPv6 bridge
すでにだいぶ経ってますが、ここにメモってなかったので駄文。 引っ越してフレッツ光ネクストに切り替えたんでフレッツ光ネクスト上で提供されているIPv6接続サービスが利用できるようになりました。接続形態にはIPv4 と同じような PPPoE を使った接続と IPoE 接続 (とか書くとなんのこっちゃだけどネイティブ方式と呼ばれてた要は Etherでそのままつながってます方式)があるわけですが、余計なもの(PPPoEのトンネル)がはさまらない分 IPoE の方がレイテンシなどで有利なわけで、当然こっちを選択して接続しました。ISPにはIIJmioのFiberAccess/NFを選択。 なお、IPoEでの接続に関しては「ひかり電話を契約しているかどうか」によってネットワーク側の挙動が少し変わってきます。ここの説明が非常に詳しくてわかりやすいので興味がある方は見てみましょう。 さて、hanzubon
【NAT64】[Jool] Linuxだけで実装するNAT64(概要編) - Qiita
1. はじめに 去る2016.08.20に開催されましたiOSDC(iOS Developers conference)にて、 このカンファレンスで使えるWi-Fiネットワークの構築にCONBUメンバーとして参画し、 ありがたくもNAT64の実装に携わってきました。 聞くところによりますと、iOSアプリの審査は2016/06以降「IPv6 Ready」でなければpassできないそうで、アプリレイヤの方々が否応なくIPv6を意識しなければならないというある種そこそこ酷な状況かと思います。 参考: Supporting IPv6-only Networks 参考: Supporting IPv6 DNS64/NAT64 Networks そのような中、IPv6-only Networkってどう作ればええねん! ネットワーク上での挙動の試験なんて環境がががが などという方もいらっしゃると思い、実
![【NAT64】[Jool] Linuxだけで実装するNAT64(概要編) - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/0ba47284c8b6fb06a74e66e6a6ba2573c3538b19/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JUUzJTgwJTkwTkFUNjQlRTMlODAlOTElNUJKb29sJTVEJTIwTGludXglRTMlODElQTAlRTMlODElOTElRTMlODElQTclRTUlQUUlOUYlRTglQTMlODUlRTMlODElOTklRTMlODIlOEJOQVQ2NCUyOCVFNiVBNiU4MiVFOCVBNiU4MSVFNyVCNyVBOCUyOSZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnM9ZjgyOWUxZTdiMTkzYmJkYzBlZGE0ZGYzYzZlMjk0OTA%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBvbmlmaW5nZXImdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTJhZjRlYWRlZTgyNjU2NDg4OTc0MGU0MTE0Y2QwMzIw%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3Deda4be1539c0b2db2ef854cf1f7c6e72)
5分で一通り理解できる!Linuxのリダイレクト 使い方と種類まとめ
「リダイレクト」とは出力の向かう先を変更することだ。 Linuxの場合、コマンドの結果表示を画面に表示するのではなく、ファイルに保存するときなどで使うことが多い。 リダイレクトにもいくつかの種類があるので、種類と共に使い方をご紹介していこう。 リダイレクトとは? リダイレクトの基本 一般的にリダイレクトというとWebページで使うことが多い。あるページに移行したときに、強制的に別ページに飛ぶことをリダイレクトという。ページのURLを変えたときや、会社の変更によりドメインが変わったなどでよく使われる。 Linuxでは基本的に標準出力や標準入力、標準エラー出力その「向かう先を変更する」ことを意味している。 標準出力というのは、コマンドを打ったときに画面に表示されるもののことだ。下記でいうと2行目の「Hello_World」の部分が標準出力になる。 標準入力はそのまま入力だ。上でいうと「echo
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
UNIXの部屋 コマンド検索:シェバング (*BSD/Linux)