ロリポップは 2001 年以来、約 15 年間ホスティング (レンタルサーバ) サービスを提供してきた。その間、ハードウェアやソフトウェアの進化に伴って要求されるサービス品質も高くなってきており、いかにサービス事業者の運用コストを減らしながらも、高品質なサービスを提供するかが重要である。そこで、私が京都…
セキュリティと性能要件を同時に満たすWebサーバホスティング技術の最新動向 / virtualhosting-security-performance-operasion
ロリポップは 2001 年以来、約 15 年間ホスティング (レンタルサーバ) サービスを提供してきた。その間、ハードウェアやソフトウェアの進化に伴って要求されるサービス品質も高くなってきており、いかにサービス事業者の運用コストを減らしながらも、高品質なサービスを提供するかが重要である。そこで、私が京都…
プログラマーが「ネットワーク怪しくない?」と思った時に覚えておくと便利なことまとめ - LIVESENSE ENGINEER BLOG
インフラエンジニアの中西です。 最近プログラマーからこのような話を耳にします。 「ネットワークって難しい/よくわからない」 最近ではAWS,GCPをはじめとするクラウドサービスが充実しているのでWeb界隈のエンジニアはなおさら気にするシーンが少なくなったように思います。 今日は最低限これだけ覚えていたら有事の際にちょっとは役に立ちますよという話が出来たらなと思います。 書式統一のため sudo を省略しています。ご容赦下さい。 コマンド編 ping ping です。疎通確認を行う時のコマンドです。 さすがに分かると聞こえてきそうですね。 例えば、192.168.1.1 というサーバに通信を確認したい場合はこうです。 $ ping 192.168.1.1 繋がる場合はこうなります。 $ ping 192.168.1.1 PING 192.168.1.1 (192.168.1.1): 56 d
CentOS で行なっておきたいセキュリティ設定: ある SE のつぶやき
はじめに Linux のセキュリティ設定ってなかなかまとまったものがないので、いろんなサイトを参考にしながら設定をまとめてみました。想定はWeb サーバーで、使用している Linux は CentOS 6.2 です。 設定内容は以下のようになります。 全パッケージのアップデート リモートからの root ログインを無効にする 公開鍵暗号方式を使用した SSH ログイン設定 iptables 設定 SSH ポート番号の変更 不要なサービスを停止 ログ監視設定 ファイル改ざん検知ツール設定 ウィルス対策ソフト設定 Apache の設定 全パッケージのアップデート 最初に以下のコマンドを実行して、全パッケージを最新の状態にする。 # yum –y update 後は脆弱性が発見された時、または定期的にパッケージのアップデートを行う。 リモートからの root ログインを無効にする リモートからメ
Linuxサーバにログインしたらいつもやっているオペレーション - ゆううきブログ
主にアプリケーション開発者向けに、Linuxサーバ上の問題を調査するために、ウェブオペレーションエンジニアとして日常的にやっていることを紹介します。 とりあえず調べたことを羅列しているのではなく、本当に自分が現場で使っているものだけに情報を絞っています。 普段使っているけれども、アプリケーション開発者向きではないものはあえて省いています。 MySQLやNginxなど、個別のミドルウェアに限定したノウハウについては書いていません。 ログインしたらまず確認すること 他にログインしている人がいるか確認(w) サーバの稼働時間の確認 (uptime) プロセスツリーをみる (ps) NICやIPアドレスの確認 (ip) ファイルシステムの確認(df) 負荷状況確認 top iostat netstat / ss ログ調査 /var/log/messages or /var/log/syslog /
glibcの脆弱性対策(取り急ぎiptables/firewalldで叩き落とす!)for CVE-2015-7547 - Qiita
はじめに glibcでヤバメな脆弱性キター! 「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響 - ITmedia エンタープライズ Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow CVE-2015-7547: Critical Vulnerability in glibc getaddrinfo - SANS Internet Storm Center Carlos O'Donell - [PATCH] CVE-2015-7547 --- glibc getaddrinfo() stack-based buffer overflo 内容見るに、getaddrinfoの名前朝解決時に悪意あるDNSレスポンスパケット食わされるとexploit発動
Ansible, sudoパスワード要求を忘れただけでめんどくなる - Goldstine研究所
AnsibleをVagrant上でずっと使ってて、Playbookも完成したし本番サーバへ... と思ったところである初歩的な罠にハマった。 本番環境へPalybook実行!! $ ansible-playbook playbook.yml -i hostsあれ、GATHERING FACTSで10分以上も待たされた... しかも、エラー出た... GATHERING FACTS failed to parse [ sudo via ansible, key= ..... ]sudoできていない...? playbook内のsudo: yesを外して実行。 GATHERING FACTSは通過。 しかし、当たり前だがsudo で実行すべき部分で失敗... とても単純なことに気づいた... ・Vagrant環境ではsudoのパスワードを要求されない ・本番環境はsudoのパスワードを要求され
Linux サーバーを強固にする
原文 は、2015 年 8 月 5 日に掲載されました。 著者は、家にファイル サーバーを 1 台と、サイト、メール サーバー、およびクラウド ストレージ サーバーとして 3 台の Live サーバーを持っています。 ホーム サーバーのセキュリティについては、外部と接続していないため、それほど心配していません。しかし、他の 3 台については、適宜保守をしています。サーバーを構築したいと考えている Linux 初心者が注意すべき点について、本文献で説明します。 必要なものをインストールする サーバーを構築する時、だいたいの人は、「40GB の SSD だから、欲しいサービスをなんでもインストールできる」と考えがちです。間違いではありません。しかし、そう簡単ではありません。どんなに強固なサーバーでもどこかに弱点があり、パッチが当たっていない部分があるため、乗っ取られる危険があります。 ですから
サーバの負荷テストのための、何百万ものHTTPリクエストを発生させる方法 | POSTD
(注記:6/9、いただいた翻訳フィードバックを元に記事を修正いたしました。) 今回の記事は毎秒300万ものリクエストを処理できるほど強力で高性能なWebクラスタの構築についてのパート1になります。まず初めに、あまり多くはありませんが、私がこれまで使用したことのあるロードジェネレータツールをいくつか紹介します。私のようにてこずって時間をかけてしまわないよう、今回の記事が理解の手助けになれば幸いです。 ロードジェネレータはテストを目的とした数種類のトラフィックを発生させるプログラムです。それによって高負荷においてサーバがどのように動いているか、そのサーバの弱点はどこなのか、などが見えてきます。負荷テストを通じてサーバの限界を知ることは、サーバのレジリエンシーを測定する最適な方法であり、あらゆる問題に対する準備の手助けにもなります。 ロードジェネレータツール 負荷テストをする際に頭に入れておくべ
apacheを再起動するときはgracefulを - なんちゃってウェブ系エンジニアの備忘録
標題の件、ちょっとメモにしておく。 Apacheの設定変更を行った場合、それを反映するには再起動する必要があるのだが、 私はいつもrestart を使っていた。 # /etc/init.d/httpd restart restartは、クライアントと接続中のhttpdプロセスを停止してしまうため、 クライアントとの通信が強制的に切断してしまう。 瞬時とはいえ、クライアントにご迷惑をお掛けにしてしまう。それを解決するのが「graceful」 # /etc/init.d/httpd graceful gracefulはすべてのクライアントとの通信が終了するまで再起動しません。 Webサーバなどを公開していて、httpdサービスの停止が出来ない場合は かなり効果的といえる。 ただ、SSL証明書の変更やモジュール追加の場合を行った場合、「graceful」だと変更が正しく反映されないというケースも
UbuntuとCentOSどっちがいいの?正しいサーバOSの選び方 - lamichの日記 - 海外でイラスト制作を行う社長のブログ
サーバOSを選定する上で一番大切なことは何か、それはもちろん安定性とセキュリティである。それも将来に渡ってのということになる。 セキュリティに関しては、万が一OSにセキュリティホールが見つかったとしても、それが世界で最も使われているOSでオープンソースであればすぐにパッチが用意され重要アップデートを自動更新する設定(Ubuntu においてもインストール後に設定するのが定石)によってすぐに適用される。 では将来にわたっての安定性とはなにか、これは今世界中の特にオープンソースコミッタ達の間で最も使われているものなのかどうか、世界中の企業のサーバで使われているものなのかどうか。これが将来にわたっての安定性を左右するということにつながる。OSのトレンドが変わればそのとき乗り換えばいいという人がいるかもしれない。 ただし、もしOSを乗り換えなければならない時にあなたのサービスが巨大なユーザーを抱えて
閏秒を迎えるにあたってLinuxでは何を対策すべきか? | Act as Professional
2016/12/27 更新Googleなどの大手IT企業がうるう秒対策済のNTPサーバが公開したため、これを利用する内容などを以下にまとめました。 元旦に実施される うるう秒の対策 まとめ2016/07/08 更新2017/1/1に閏秒の実施が決定されました。対応はこの記事のとおりで問題なさそうです。 2015/06/24 情報追加(2015/06/29 更新)下記の対応に関わるntpdの比較的新しいバージョンにSLEWモードで動作していても、うるう秒が挿入されるバグが発見されました。[redhat] これによりntp-4.2.8p3-RC1以降のバージョンでないとSLEWモードで動作していてもうるう秒が挿入されます。RedHatはntp-4.2.6p5-3.el6_6という対応済みのバージョンを提供しています。Ubuntuでは今日現在12.04LTS, 14.04LTSの2バージョンはパ
Docker代替のコンテナーランタイム「Rocket」をCoreOSが公開
Docker代替のコンテナーランタイム「Rocket」をCoreOSが公開:「Dockerはもはや標準コンテナーではない」 CoreOSがDocker代替のシンプルなコンテナーランタイムを公開。Dockerの当初の目的であるシンプルなコンテナーを目指すプロトタイプだ。 CoreOSはこれまでDockerを積極的に推進し、共同創業者のブランドン・フィリップスCTOはDockerの筆頭コントリビューターだった。「2013年にDockerが登場した時点で『標準コンテナー』の概念は魅力的だった」とアレックス・ポルビ最高経営責任者(CEO)は振り返る。 しかし現在のDockerについて同氏は、「クラウドサーバー構築用のツールやクラスタリングのためのシステムとなって幅広い機能を持つようになった。『標準コンテナー』の宣言は削除され、我々が描いたようなシンプルで組み立て可能なコンポーネントではなくなりつつ
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
sar(sysstat)によるボトルネック特定 - Qiita
sar(sysstat)とは LoadAverageやCPU使用率、ディスクI/Oの状態を表示できるコマンド。 何より便利なのは、過去にさかのぼれる点。 sarのインストール
新しいNTPクライアント&サーバ、chrony - Qiita
はじめに CentOS 7で"最小限のインストール"以外を選んだ場合にインストールされるchronyはntpdに代わり標準となったNTPクライアント兼サーバである。 とはいえ、CentOS 7でも相変わらずntpdは使用できるし、ntpdateの代わりではないのでntpdateコマンドを打ちたければntpdateを使用する。 以下、初期稿ではchronyの、ntpdとの違いを中心に記述する。注目点があればそれも書くが、まともに追っていくと深いので、後で気になる点が増えたら追記する形を取る。 あと、この記事でネタにするのはchronyであってcronieではないので悪しからず。 chronyのインストールと起動 CentOS 7ではOSインストール時にインストールされていなければyum install chronyでインストールすることができる(CentOS 6でも6.8からOS標準のリポジ
コピペから脱出!iptablesの仕組みを理解して環境に合わせた設定をしよう
Linuxのファイアウォール「iptables」について入門から実践まで解説 数回に分けてLinuxのファイアウォール「iptables(アイピーテーブルズ)」について解説します。 ネット上に有益な設定が溢れているので、あまり理解しないままコピーペーストで運用している方も多いはず。 しかしそれでは実際に攻撃された際に対処できません。 そこでこのページでは、初めてファイアーウォールについて学ぶ方でも理解できるように、全体像と細かな設定の意味について解説します。 目次 ファイアーウォールの種類 NATについて パケットフィルタリングの概要と書式 テーブルについて チェインについて オプションについて パラメータについて 拡張パラメータについて iptablesの記述順序とルールの適用順について ポリシーについて ファイアーウォールの種類 ファイアウォールと聞いて、まず何を思い浮かべるでしょうか
[さくらのVPS]wordpressを動かしているhttpdが落ちまくる件を何とかした
その結果、遅かったページの表示速度が改善されて、管理画面も前よりもサクサクページが開くようになり、こりゃ快適でいいな?と思っていたのもつかの間・・・ 動かした翌日の午前中にhttpdが突然ストップ! 翌日の朝6時頃に気付くまでHappyQualityが表示できなくなっていました…orz すぐにサーバごと再起動して、その時点ではページは見られるようになりましたが、また昼ごろには同様の現象が起きてしまいました。 とりあえず何が起きているのかログをチェック。 その結果/var/log/messagesにoom-killerの嵐がw これがその時のログ。 この時は何が起きているのかわからず正直怖かったですね。killerの文字が。殺し屋かと。 参考:OOM Killer – Linuxキーワード:ITpro 結局調べてみると、httpdがメモリを使いすぎてSwapまで食い尽くしてoom-kille
![[さくらのVPS]wordpressを動かしているhttpdが落ちまくる件を何とかした](https://cdn-ak-scissors.b.st-hatena.com/image/square/9f9d0144d7f6bf25b19eb16bbace8f8c67dddaa6/height=288;version=1;width=512/https%3A%2F%2Fhappyquality.com%2Fwp-content%2Fuploads%2F2012%2F02%2Fcs_20120201_41.jpg)
5分で分かるDockerのキホン
アジャイル開発に取り組むチーム向けのコーチングや、技術顧問、認定スクラムマスター研修などの各種トレーニングを提供しています。ぜひお気軽にご相談ください(初回相談無料) 全国100万人のImmutable Infrastructure職人のみなさんこんにちは。 もう誰も彼もがDockerなので、あんまりブログに書こうという気にもならなかったのですが、知り合いからリクエストを貰ったので、5分くらいで分かるようにかいつまんで概略を説明します。 Dockerとは詳しくは本家サイト見ればだいたい分かる。仮想化技術コンテナ単位でパッケージングVirtualBoxとかと違って高速、オーバーヘッドが少ない。chrootに近い。LXCには依存しなくなっているコンテナごとにIDが振られるコンテナは差分保存なのでロールバックも簡単一回作ればどこでも動く。JavaっぽいDockerfileでコンテナを作成するDo
Dockerを勉強するための、Docker解説記事のまとめ
横田です。 ここのところインフラ業界ではDocker関連の記事が人気になったり、Docker関連のイベントに人が多く集まったりとDockerが話題になるとことが多くなっています。 Dockerについては、色々と記事が出ているのですが、体系的にまとまった文章や書籍が少なく、勉強をしようと思っても資料を集めるのが面倒だという方もいらっしゃるかと思います。 というわけで、今回はDockerについての人気/実用記事をまとめてみました。結構数があったので「概要/入門記事」「実践編」「Mac OS」「さくらのVPS」「Vagrant」「各種事例」といったように分類してみました。 《概要/入門記事》■まずは、Dockerとはどういうもので、どのような所に利用できるのか? という事をまとめた「概要/入門記事」を集めてみました。この中でも1つ読めば、Dockerの概要は大体はわかると思います。 ・15分で分
Raspberry Pi:アシマネくんのほんわか日記:So-netブログ
アシマネくん(assimane)のほんわか日記です。ITや日常の出来事、料理などを紹介します。よろしくね。 Twitter @assimane 久しぶりにダウンロードサイトを見たら、新しいバージョンのRaspbian wheezyが出ていました。 2013-05-25バージョンです。 ダウンロードはリンククリックすればできますが、非常に遅いです。80KB/sぐらいしかでません。 では、もっと早くスピードでダウンロードできないかとサイトを探すと、北陸先端科学技術大学院大学(JAIST)のサイトが見つかりました。 2013-05-25-wheezy-raspbian/をクリックします。 このリンクからダウンロードします。数MB/sのスピードがでますよ。 [No.1:Raspberry Piが届いた]はこちらです。 [No.2:ブートイメージSDカードを作ろう]はこちらです。 [No.3:初期設
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
