サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
コーヒー沼
www.asahi-net.or.jp/~AA4T-NNGK
NFS ファイル共有システムは、良い意味でも悪い意味でも「古い」。UNIX 系 OS にはほぼ必ず実装されているので、LINUX マシン同士でファイルを簡単にやりとりすることができる。しかし一方、メールの SMTP プロトコルのように、他人 (他PC) が信じられる時代の性善説で成り立っているプロトコルである点は否めず、セキュリティを確保しながら利用するのは難しい。出来る限りのセキュリティ対策を施し、ローカルネットワーク内のみでの使用に限定し、使う時だけ起動させる姿勢で用いるべきだ。 ※ 当ページは NFSv4 が使い物になる前、主に nfs-utils 1.0.4 での検証を元に書いたものだ。NFSv4 については、もっと最近別ページにまとめた。 NFS の動作に関係するデーモン RedHat 系の RPM パッケージでは、portmap だけは portmap パッケージ、それ以外は
7.2. conntrackエントリそれでは、conntrack エントリの様子と /proc/net/ip_conntrack の読み方を簡単に見てみよう。 conntrack エントリには、あなたのマシンの現在の conntrack データベースエントリがリストされている。 ip_conntrack モジュールがロードされていれば、 /proc/net/ip_conntrack を cat すると以下のような感じになるだろう: tcp 6 117 SYN_SENT src=192.168.1.6 dst=192.168.1.9 sport=32775 \ dport=22 [UNREPLIED] src=192.168.1.9 dst=192.168.1.6 sport=22 \ dport=32775 [ASSURED] use=2 この例は、特定のコネクションのステートを判断するた
このサイトは、もともと作者の自分用メモとして書き始めたものです。書いてあることが全て正しいとは限りません。他の文献、オフィシャルなサイトも確認して、自己責任にて利用してください。 ひとつのOS上で複数の Postfix を動かす Postfix は Sendmail に比べるとアドレスリライティング機能が弱い。例えば、或る宛先ドメインへメールを出す時にだけ From: ドメインを特定のものに書き換えるというようなことができない。Postfix デーモンを複数立ち上げて別のポートか別の IPドレスで待機させる方法を知っておくと、アドレス書き換えの他にもいろいろな難局を乗り越えることができるだろう。 Advosys Consulting - Adding a second Postfix instance が非常に役立った。 本稿では、副インスタンスをループバックアドレスのポート 1025 で
virt-manager GUI を使わずにコマンドラインで仮想ドメインを操作したり情報を表示したりするコマンドを紹介する。また、仮想ブリッジのためのコマンドについても触れる。 ここで少しウンチクを垂れなければならない。Xen の世界では、まだ xm ユーティリティと virsh (ヴァーシュ) ユーティリティが共存している状態にある。当コーナーでも xm と virsh のコマンド織り交ぜて紹介するが、時代の先を見据えるなら virsh のコマンドに慣れておいたほうが得だと思う。なお、virsh を使用するには、xend の他に、libvirtd というデーモンが起動していなければならない。その辺りの概略は「Xen 用語集」にまとめた。 ここでは、通常使うであろう主な命令句やオプションだけを取り上げている。他のオプションや命令句などは各ユーティリティの manページなどで調べていただきた
2.10. SCTPの特徴Stream Control Transmission Protocol (SCTP) はネットワーク戦線ではまだ新顔の部類に入るプロトコルだが、利用される場面は日に日に広がりつつあり TCP および UDP プロトコルの弱点を改善するものでもあるため、こうしてセクションを設けて解説することにした。 SCTP は TCP にも勝る高信頼性を備え、なお且つ、プロトコルヘッダの造りから、オーバーヘッドが低く抑えられている。 SCTP には非常に興味深い特長がいくつかある。このプロトコルについてより詳しく知りたい人は、RFC 3286 - An Introduction to the Stream Control Transmission Protocol と RFC 2960 - Stream Control Transmission Protocol を読んでいただ
このサイトは、もともと作者の自分用メモとして書き始めたものです。書いてあることが全て正しいとは限りません。他の文献、オフィシャルなサイトも確認して、自己責任にて利用してください。
Xenハイパーバイザ (Xen Hypervisor) 「ハイパーバイザこそ Xen の本体であり、Xen とは Xen Hypervisor のことである」。Hypervisor はまた、VMM (Virtual Machine Monitor = 仮想マシンモニタ) とも呼ばれる。Xen Hypervisor は一個の OS であり、実は Linux とは全く別の Nemesis というオペレーティングシステムだ。 事象的にとらえると、Xen版 dom0 カーネルのブート設定に見る通り、Xenホスト実マシンのブート時には、まず Xen そのもののカーネルイメージ xen.gz が起動され、そいつが Nemesis の上で Xen版 dom0 カーネルを起動させる。この xen.gz が Hypervisor だ。ハイパーバイザはハードウェアと全ての仮想ドメイン (dom0 も含む) と
1台のマシン上で Linux や別の OS を複数稼働させることのできる仮想化技術。最近は VMWare もかなりパフォーマンスが改善されたが (※)、Xen は OS上のOS だということをほとんど意識させないオーバーヘッドの少なさが売りだ。また、ひとつの基幹サービス (たとえば Webサービス) を OSごと根こそぎ分離するという用途においては、Xen は chroot の究極のカタチであるとも言える。Xen では、ゲストOS (子供) とホストOS (親) はカーネルもライブラリもそれぞれで持ち、ゲストは他のゲストやホストのリソースにほとんど影響を与えられないようにできているからだ。 また、例えば Apache HTTPSサービスと NFSサービスを提供したい時、ゲストOS 1 は Apache 専用にして CPU を 2個割り当ててメモリ割り当ても多めに、ゲストOS 2 は NFS
単純化するため、NIC を 1つだけ持つマシンを例として図に示そう。グリーン系のオブジェクトはネットワークインターフェイスの類で、薄い緑のものは仮想、濃い緑は実在の NIC を表す。()内の IP は 例えば のアドレスだ。Dom0 枠内のものは、仮想であれ物理であれ、dom0 の持つオブジェクト。virbr0 はブリッジあるいはルータだと書いてきたが、dom0 の持つもうひとつのネットワークインターフェイスだとも言える (※A)。 図のゲストドメイン domU#1 は、ここまでの構築例で示した通り virbr0 ("default"ネットワーク) に参加している。そこで、domU#1 が 192.168.122.y へパケット (例えば ping) を送った時には、特にアドレス変換は行われず virbr0 まで直通だ。かたや、dom0 の実IPアドレス 172.18.10.1 へ宛てて送
LDAP とは Lightweight Directory Access Protocol のこと。一種のデータベースだが、トランザクション管理など、いわゆるリレーショナルデータベースの備えるような高度な機能は持たない。しかし大きな特徴がふたつある。 PostgreSQL などのリレーショナルデータベースの場合、データを投入する以前に、入れ物となるデータベースやテーブル、テーブルに持たせる項目、各項目の保持できるデータの「型」をまず考えて作らなくてはならない。一方、LDAP は、既製品のテーブル/データ定義や制約 (Constraint) を最初から持ったデータベースだといえる。 LDAP はネットワークやコンピュータアカウントの管理に利用されることが多い。というのも、LDAP のテーブル/データ定義は RFC で規定/公開されているので、環境や機器メーカー/機種、LDAPサーバソフトウェ
ダンプ & リストアには様々な利点がある。万が一のサーバクラッシュへの備えや、マシン間でのデータベース移植にはもちろん。しかしそれだけでない。ファイルというポータブルな形にしてしまえばバックアップは簡単。さらに、PostgreSQL のバージョンアップの際には、リストア時に新しいサーバプログラムが構造を適宜変換して取り込むので、バージョンによるデータ互換性問題も、たいてい解決してくれる。日常的には当然だが、 PostgreSQL をバージョンアップする前には必ずダンプを取っておこう。 データベースのダンプ データそのものやテーブル構造をまるごとファイルに書き出すことができる。ファイルに書き出されるのは、リストアに必要なSQLコマンド。一切合切をいっぺんにダンプできる pg_dumpall を使う方法もある。 コマンド書式: pg_dump options database > ダンプ先fi
「良い意味でも悪い意味でも古いNFS」 を、インターネット経由でも使用できるようにと改良したのが、 NFSv4 すなわち NFS Version 4 だ。本当に安心してインターネット経由で使えるかどうかにあまり興味はないが、NFS の Version 2 や 3 に比べると、mountd, lockd, statd 及び quotad の機能を NFS デーモン内部に取り込んだこと、(基本的には) portmapper が必要なく、サーバは 2049 番ポートだけ解放すればよくなったこと。NFS over TCP が標準になったこと、デフォルトの読み取りブロックサイズが格段に大きくなったこと、ファイルのオープン/クローズやキャッシュなど多くのオペレーションをクライアントに任せるようになったことなどが特徴だ。従来の NFS と NFSv4 との違いは NFSv4 TESTING for Li
DNSサーバソフトウェアといえば BIND が有名だが、これから新たに DNSサーバを構築するのなら djbdns が断然お勧めだ。安全なこと。軽量なこと。ドメインネームシステムの規定に忠実に作られ、動作構造にもそれがよく反映されていること... 優位点を挙げればきりがない。しかしそれらにも増してウレシイのは、設定やレコード記述が簡便だという点だ。 djbdns を知るまでは、「BIND のゾーンファイル = Domain Name System」 のように思っていたが、今となっては、あれは DNS と闘っていたのではなく BIND と闘っていたのだとつくづく思う。 参考にしたページ EZ-NET 特集: DNS サーバ djbdns NemunekoのWebななめ読み(クラスレス逆引き委譲の実例あり) Netsphere Laboratories Life With djbdns
なお、madwifi は各所からバイナリパッケージもダウンロードできる。URL を挙げておこう; ATrpms RPMforge (Dag Wieers のレポジトリ。RPMforge のものをインストールするには dkms も必要) madwifiソースの入手 安定版を入手する方法と、最新の開発版を subversion コマンドでダウンロードする方法、スナップショットアーカイブを入手する方法がある。安定版は確かに手堅いが、MADWiFi はまだどんどん開発されている最中なので、それでは充分に機能しないことが多い。筆者の経験から最もお勧めなのはスナップショットアーカイブをダウンロードする方法で、これならば既存のいろいろなリビジョンのスナップショットが試せる。(スナップショットは、各時点毎の subversion ディレクトリをアーカイブしたもの)。開発版は madwifi-ng-* とい
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10 --to-destination オプションは、 DNAT メカニズムに対して、 IP ヘッダに設定したい宛先 IP と、マッチしたパケットの行き先を指示する。上記の例は、 IPアドレス 15.45.23.67 に宛てられたすべてのパケットを、LAN の IP 192.168.1.1 から 10 の範囲へ送る。既に述べたように、ひとつのストリーム中では常に同じホストが使用されるが、ストリームが異なれば、各ストリームが使うべき宛先 IPアドレスはランダムに選択される。また、単一の IPアドレスを指定することも可能で、そうすれば、接続は常にそのホストへ導かれる。さらに、ト
Ultra Monkey 解説のはじめに「RedHat Enterprise Linux 4 と Fedora Core 5 で検証した」と書いた。しかし残念ながら heartbeat については実験に供する 2台目の Fedora Core 5 マシンの持ちあわせがないため、ここからの内容は RHEL4 でのみ検証したものであることをお断りしておかなければならない。よって、heartbeat のバージョンも 1.x が話題の中心となる (Fedora Core 5 でインストールされるのはバージョン 2.x)。 heartbeat Linux-HA プロジェクトのオフィシャルドキュメントサイトに、"Getting Started with Linux-HA (Heartbeat)" をはじめ、優れた HOWTO がたくさんある。そちらも読むべし。 ここで目指すかたち いよいよ ldire
Ultra Monkey とは、Linux-HA (High Availability=高可用性) プロジェクト、LVS (Linux Virtual Server) プロジェクトの産物を中核とした様々なツールを組み合わせて、冗長化と負荷分散、つまり広義のクラスタを Linux で実現しようというプロジェクト。ここでは、RedHat Enterprise Linux 4 (RHEL4) と Fedora Core 5 での検証に基づいて実装方法を解説する。 Ultra Monkeyには、TCP/IP(7層のOSI参照モデル) のL4でロードバランスをする元祖 Ultra Monkey と、それを拡張した UltraMonkey-L7 とがある。当ページで検証したのは L4 のほうだ。L7版の検証は別ページにまとめた。 UltraMonkey をよりよく理解したいのなら、UltraMonke
上記全てにおいて :TTL 以降は省略することもでき、その場合には tinydns によって常識的な TTL が自動決定される。なお、 add-ns 及び add-mx で作成されたデータ行の nshost 及び mxhost 部は、a とか b といった適当な英字一文字の相対ホスト名になってしまうので、そこも後で ns1.hoge.cxm などといった Aレコードに相応しい名前に手直ししたいところだ。 [Note] BIND と違って、FQDN を表す場合でも頭にドットは要らない。 dataファイル記述例 こういうサーバ群のあるローカルネットワークを想定してみる; ドメイン名は hoge.cxm で、ネットワークセグメントは 192.168.1.0/24。 ホスト名 dog.hoge.cxm のマシン (IP=.1) は、今 tinydns を設定している当のマシンであり、 ns1.ho
このサイトは、もともと作者の自分用メモとして書き始めたものです。書いてあることが全て正しいとは限りません。他の文献、オフィシャルなサイトも確認して、自己責任にて利用してください。 Fedora Core 1 から Fedora Core 3 へアップグレードした際の経験から OS のリリースをアップグレードする際の要点をまとめた。 yum や apt を使ってライブアップグレードする手もあるようだが、最も安全且つ確実なのは anaconda を使う、つまりインストール CD によるアップグレードだということなので、冒険は犯さずに CD からブートしてアップグレードを行った。 Table of Contents インストールCDの入手 バックアップを取る デーモンを止める 不要なパッケージのアンインストール RPMデータベースのクリーンナップ 現状のゴミファイルの確認 アップグレード実行 必
ntpd の認証機構は、対称鍵認証 (Symmetric Key Cryptography) と、公開鍵認証(非対称鍵認証) (Public Key Cryptography) とがある。 対称鍵方式は、通信ピア双方があらかじめ同じキーを用意しておく方法。キーは、合い言葉つまりパスワードであり、且つ、交わされる NTP メッセージの捏造を検査するためのチェックサムの生成にも使用される。対称鍵方式では通信の暗号化は行われない。この方式はシンメトリックピアどうしの認証に使用することができる。また、ntpq, ntpdc ユーティリティの認証は、こちらの方法だけをサポートしている。Red Hat系のディストリビューションでは、ntp パッケージをインストールすると既定でひとつだけキーの書かれた対称鍵ファイルが置かれるが、安全性を高めるため、対称鍵ファイルはきちんと生成しなおしておいたほうがいい(
このサイトは、もともと作者の自分用メモとして書き始めたものです。書いてあることが全て正しいとは限りません。他の文献、オフィシャルなサイトも確認して、自己責任にて利用してください。 つまずきやすい設定項目 ディレクティブ個々の解説は Apache のドキュメントや様々な書籍で見られ、改めて論じても仕方がないので、ここでは、混同しやすい似たようなディレクティブの比較を中心に、覚え書きを並べることにした。各項は、前ページの設定ディレクティブ一覧からリンクしている。 Global Environment セクションのディレクティブ バーチャルホスト設定や <Directory> ブロックの中などでは使えない、サーバの動作環境設定専用ディレクティブ群。ただし、本来 HostsDefaultセクションに属するディレクティブも、 Global Environment のディレクティブと関連性が高いものは
RedHat Enterprise Linux (RHEL) や Fedora Core を、CDを使わずネットワークブートでインストールする方法。これまでは dhcpd, pxe, tftpd, httpd を個別に設定する必要があったが、 Cobbler (コブラー ※) というユーティリティパッケージが現れて、かなり簡単に配布サーバを構築できるようになった。なお、Cobbler には、Yum や Up2date 用のローカルレポジトリを作成/更新する機能や、ディスクレスクライアントのイメージサーバを構築する機能もある。ここでも、その片鱗として、クライアントをレスキューモードで立ち上げるための設定も網羅する。 PXEブートの仕組みについてはどんどん他力に頼ってしまう; PXEを使ってPCもディスクレスにしよう@謎の処理系 SunOS 4.1.4 ※ `cobbler' はあの頭の平たい
このサイトは、もともと作者の自分用メモとして書き始めたものです。書いてあることが全て正しいとは限りません。他の文献、オフィシャルなサイトも確認して、自己責任にて利用してください。 AWK それ自体でプログラムを組むことは少ないが、シェルスクリプト中で引数や文字列処理に使うと便利なものだ。ここでは、筆者がこれまでに BASH や AWK スクリプトの中で使ったり試したことのある処理を、スクリプト例として紹介する。参考になりそうな例があれば随時追加していく。 AWK の正規表現は Perl と同じではないが、事始めとしては Perldoc の perlrequick が役に立つだろう。 意外 ! AWKでは { } が使えない !? ファイルのタイムスタンプを求める ファイルからコメント行と空行以外の内容を読み込む(出力レコードセパレータ変数 ORS) パスワードファイルから特定のフィールドだ
はっきり言って、ここは Linux とはほとんど関係のない話。 Windows Vista Business のプレインストールされたPCを、XP Professional にダウングレードした時の記録だ。これじゃ、「どんがらりん」でなく「どんがらうぃん」だが、誰かの役に立つかもしれないのでシタタメておくことにした。 Windows Vista がリリースされてもう暫く経つが、PC をほうぼうのイントラネットに繋ぐ必要のある場合や、愛用してきた「ちょい古」アプリを使い続けるためには、新しいPCを XP で使わなければならないこともある。そんな時のために、Windows には ダウングレード権 なるものが存在する。最近筆者の身の上に起こったことが、まさにこれだった。仕事使いのノートPCを買い換える必要が生じ、新マシンは諸事情により Vista Business プレインストールモデルにならざ
「キックスタート」とは、RedHat Linux や Fedora Core のインストールを自動化する仕組みのことであり、 Windows で言えば Unattended Install (無人セットアップ) がこれに当たる。再び Windows に例えると、無人セットアップ応答ファイルに当たるのが ks.cfg というテキストファイルで、このファイルは RedHat 系システムのインストーラである anaconda (正体は python スクリプトを中心とした実行ファイル群) への指示書である。詳細は RedHat サポートサイトにある下記のガイドであらかた説明されている。ここでは、リファレンスガイドに不足している情報を並べることにする。 役に立つ文献: RHEL5: 「Red Hat Enterprise Linux インストールガイド」の第28章「キックスタートインストール」 R
Linux のコンポーネントやプログラムはいろいろなところから手に入るわけですが、ドキュメントまでもが世界中に分散していて、糸口を見つけるのさえ大変な場合があります。非常に不親切な説明しか公開されていないサーバプログラムもあります。このホームページは、そういう様々なドキュメントや解説から読み取った断片をかき集め、実際に自分のマシンで検証しながら、覚え書きとしてまとめたものです。 せっかく調べたことなので、ひとにも分かるように説明を補い、公開しています。記事を書くにあたっては、自分なりにいくつかの方針を決めています。 ストレイペンギン の方針 たまたまうまく動いたからといって、その設定やコマンドの意味が分からないまま使うのは意味がない。納得できるまで調べる。 やったことのないことは書かない。知ったかぶりはしない。 検証できていないことは書かない。 何かの設定中に「迷える仔ペンギン」 状態に陥
Proxy Balancerの使い方 Apache 2.2 から実装されたプロキシバランサを、左図のような構図で使うことを想定する。リバースプロキシはユーザ(インターネット) からの全ての http リクエスト と https リクエストをロードバランスして実サーバ 1, 2 へ振り分ける。 https の場合は、リバースプロキシがリクエスト内容の暗号化をほどいてから実サーバ (バックエンドサーバ) に HTTPリクエストを送る。つまり SSLキーはリバースプロキシにだけ置いておけばいい。 このやりかたでは、実サーバのドキュメント空間をリバースプロキシのローカルドキュメント空間に割り付ける (概念的には alias に近い) イメージになるので、帰りのトラフィックもリバースプロキシを通る。 SSL通信の場合、実サーバからリバースプロキシへは平文でレスポンスが返され、リバースプロキシがそれを
次のページ
このページを最初にブックマークしてみませんか?
『Stray Penguin - Linux Memo』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く