DNSサーバー「BIND」に2種類のセキュリティ・ホール,DoS攻撃を受ける恐れ
セキュリティ組織の英NISCCや米US-CERTなどは現地時間9月5日,DNSサーバー・ソフト「BIND」に2種類のセキュリティ・ホールが見つかったことを明らかにした。特定のクエリー(問い合わせ)を送信されると,BINDのサービス(デーモン)が不正終了する場合がある。つまり,DoS(サービス妨害)攻撃を受ける恐れがある。影響を受けるのはBIND 9.3.x/9.4.x。対策はパッチの適用やアップグレード。 今回明らかにされたセキュリティ・ホールは2種類。(1)DNSSEC(DNSセキュリティ拡張)のRRsets(リソース・レコード・セット)の署名の取り扱いに関する問題と,(2)再帰問合せの取扱いに関する問題---である。いずれについても,悪用されると,リモートの攻撃者にBINDのサービスを不正終了させられる可能性がある。 セキュリティ・ホールが確認されているバージョンは,BIND 9.3.
電子書籍.club -
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
I, newbie » 一歩先ゆくNagios: SNMP trapを監視する
○penViewなんて入れられないけど、SNMP trapくらいはきちんと監視したい、なら。 NagiosはSNMP managerとして設計されていないけれど、ある程度SNMP trapも監視することができる。officialな文書には、snmptrapdだけを使った例が取り上げられているけれど、生(?)のSNMP trapは読みにくいので、snmpttを使ってhuman-readableにしてみる。snmpttはPerlで書かれていて、trapを任意のテキストに変換できる。 snmptrapdは受け取ったtrapをsnmptthandlerというwrapperを叩いて、trapをキューに入れる。snmpttは定期的にキューのtrapを処理し、submit_check_result経由でNagiosにコマンドを実行させる、という流れ。 前提は、いつもの通りFreeBSDのports使用、
ストレージ・ネットワークの管理
ストレージ・ネットワークの導入・構築の後には、運用・管理という作業が待っている。今回はストレージ・ネットワークの管理手法と、管理の内容について説明する 前回は「ストレージ・ネットワークの導入」と題して、データの定義を中心に、ストレージ・ネットワーク導入に際して考慮すべき事項を解説した。今回は「ストレージ・ネットワークの管理」と題して、ストレージ・ネットワークのさまざまな管理手法を紹介していく。具体例を挙げて説明した方が読者にとっての理解が深まると考え、当社(ブロケード・コミュニケーションズ)製品を例とした説明がたびたび登場するが、多くの場合は他社製品でも同様である。あらかじめご了承いただきたい。 ストレージ・ネットワークの管理手法 ストレージ・ネットワークの管理手法にはさまざまなものがあるが、図1に示したようにSNMP、Syslog、機器のAPIを使う手法が代表的である。 この中で、SNM
DSAS開発者の部屋:こんなに簡単! Linuxでロードバランサ (1)
DSASのロードバランサは高価なアプライアンス製品ではなく、LinuxのLVS (Linux Virtual Server)を利用しています。 安価、というか、ハードウエア以外は金銭的コストがゼロなので、一般のクライアントからのアクセスを受ける外部ロードバランサのほかに、内部サービス用のロードバランサも配置しています。それぞれactive, backupで2台ずつあるので合計で4台もロードバランサがあることになります。(こんな構成を製品を使って組んだら数千万円すっとびますね) また、ネットワークブートでディスクレスな構成にしているので、ハードディスが壊れてロードバランサがダウンした、なんてこともありません。 ですので「ロードバランサは高くてなかなか導入できない」という話を耳にする度にLVSをお勧めしているのですが、どうも、 なんか難しそう ちゃんと動くか不安 性能が出ないんじゃないか 等々
matd - なんとなく◎
matd は,libpcap と libdnet を利用した MAT (MAC Address Translation) のためのユーザスペースデーモンで, Solaris と FreeBSD 上で動作確認しています. ロードバランシング方法としてポピュラーな NAT (Network Address Translation) を用いた場合では,全パケットがロードバランサを通過することになるため ロードバランサがボトルネックとなってしまいかねませんが,MAT では戻りパケットはロードバランサを通過せずダイレクトにクライアントに 返ります(このため DSR (Direct Server Return) とも呼ばれます). 2ch の雪だるま作戦において,当初 MAT のために LVS の FreeBSD 版 を用いようとしたもののカーネルパニックを繰り返すなど不安定だったため, その代替品と
Keepalived for Linux
Home Download Documentation Release Notes List & Archives Sponsors Keepalived is a routing software written in C. The main goal of this project is to provide simple and robust facilities for loadbalancing and high-availability to Linux system and Linux based infrastructures. Loadbalancing framework relies on well-known and widely used Linux Virtual Server (IPVS) kernel module providing Layer4 load
人力検索はてな - サーバなどの機器が大量に増え、命名に困っています。 サーバやネットワークの管理者にお尋ねします。 サーバやハブ、ルータなどの名前はどのように付けていますか?
サーバなどの機器が大量に増え、命名に困っています。 サーバやネットワークの管理者にお尋ねします。 サーバやハブ、ルータなどの名前はどのように付けていますか? 機器名や役割などをそのまま名前にしている場合もありますが、今回は惑星の名前や星座の名前など、バリエーションが豊富で今後機器が増えても安心な「シリーズもの」を教えてください。 <回答として欲しいもの> ・どんな名前のシリーズか ・その一覧が出来るだけ多く掲載されているサイトのURL(カナだけではなく英語の綴りも記載されているサイト) ※2つとも必須です <除外> 以下のものはすでに調査済みですので今回は除外します。 ・惑星 ・衛星 ・12星座やその他の星座 (自宅でLANを組んでいる方や、何かいい案を思いついた人でも回答OKです)
I, newbie » cfengineによるシステム管理の自動化: その1
システム管理の省力化は管理者の永遠のテーマだ。複雑化するシステム、多様な要求、コストダウンの圧力、管理者の悩みのタネは尽きない。 ほぼ同一の構成のclusterの管理であれば、HDDイメージによる複製や、pxeboot+NFSによるdiskless構成などで管理を省力化することができるが、複数のOSや複数の役割を果たすホストの混在環境や、NFSに依存できない状況では、多数のホストを一括管理するのがむずかしい。そこでcfengine。cfengineはUniversity of Osloで開発されたGPLソフトウェアで、 設定の一括管理 OSに依存しない言語(cfengineの設定ファイル)による統一管理 ネットワーク経由のファイル配信 階層的なホスト管理 条件に応じたジョブ管理 といった機能がある。このcfengineにSubversionなどのrevision control syste
Gmailは危険 - sanonosa システム管理コラム集
「Gmailは危険」というタイトルを付けましたが、別にGmailに限った話しではなく、これから記す行動パターンに合致する人は皆危険ですので気をつけましょう。 【危険その1:会社のメールを無条件にGmailに自動転送する】 世の中には会社に届くメールを無条件にGmailに自動転送している人が大勢います。これはいつどこからでも会社のメールを見たいというニーズや、Gmailの優れたスパムフィルタリング機能の恩恵を受けたいという理由からと思われます。しかし考えてみると、会社に届くメールは機密情報が含まれているかもしれません。そのようなメールを、NDAも結んでいないような他社が管理しているサーバに無条件に転送してしまってもよいのでしょうか。情報漏洩が企業に壊滅的なダメージを与えかねないこの時代において、自殺行為にしか見えません。 【危険その2:一度使い始めるとやめられない】 メールを全てGmailで
I, newbie » 初心者管理者がやりがちなサーバ移行
非publicなサービスが停止したままだが、監視していないので気づけない DNSを変更するが、parentの修正を忘れてlameに /etc/ssh以下をバックアップを忘れる。ユーザにknown_hostsを修正させる crontabもdefault状態へ root宛のメールがbounceしてて、エラーにも気づけない logのrotate間隔の修正を忘れる。過去7日間のlogしか残っていない One Response to “初心者管理者がやりがちなサーバ移行” 遊び人 Says: August 17th, 2006 at 9:01 pm /etc/sshと決め付けて失敗するのも初心者管理者がやりがちなサーバー移行 Leave a Reply Name
L4スイッチはDSR構成にすべし - sanonosa システム管理コラム集
大規模サイトではL4スイッチをDSR(Direct Server Return)構成で組むことはもはや常識です。しかし国内には大規模サイトが少ないためかDSR構成についての情報が不足しているのが現状です。L4スイッチを扱っているベンダーさんもDSR構成でネットワークを構築したという例をほとんど聞かないとのことです。そこで今回はDSR構成の紹介とメリット&デメリットをご紹介します。 【一般的な構成とDSR構成の違い】 一般的な構成ではスイッチとサーバの間にL4スイッチを挟み込む構成を取ります。それに対してDSR構成ではスイッチに直接L4スイッチを接続します。 これを踏まえてパケットの流れを見てみましょう。一般的な構成では行きのパケットがL4スイッチを流れサーバに到達し、帰りのパケットもL4スイッチを流れていきます。それに対してDSR構成では行きのパケットはL4スイッチを通りますが、帰りのパケ
DSAS開発者の部屋:いかにして冗長構成を作るか 〜DSASの場合〜
DSASはいかにして可用性を高めているか、ちょっと紹介したいと思います。 今回は概略ということでざざざっと説明します。個別の構成についてはまた回を改めて紹介したいと思います。 │ │ ┌┴┐ ┌┴┐ │ │ │ │ISPの上位ルータ └┬┘ └┬┘ │ │ 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜 責任分解点 │ │ ┌┴┐ ┌┴┐ │ ├─[ lb(active) ]─┤ │ │ ├─[ lb(backup) ]─┤ │ │ │ │ │ │L2├─[ Web ]─┤L2│ │SW├─[ Web ]─┤SW│ │ ├─[ Web ]─┤ │ │ │ │ │ │ ├─[ SMTP ]─┤ │ │ ├─[ SMTP ]─┤ │ │ │ │ │ │ ├─[ D B ]─┤ │ │ ├─[ D B ]─┤ │ │ │ │ │ │ ├─[ NFS ]─┤ │ │ ├─[ NFS ]─┤ │ │ │ │ │
最速配信研究会 - ロードバランサの運用.DSRって知ってますか
id:hirose31くんがロードバランサについてあれこれ書いてる. そんなわきゃない>DNS RRはロードバランサの座を奪い返せるか この間彼から教えてもらったんだけどLVS(LinuxVirtualServer)は結構すごいという話. 「でも安定性がぁ」とか「ASICには勝てないよね」といかいうやつは、まずは試してみてみー きっとびっくりするから。 ロードバランサの1運用形態であるDSR(Direct Server Return)を知らない人だと「ソフトウェアでロードバランサ?ありえねー」とか思っててもしかたないと思う.DSRを知らないといつまでもベンダーに高いお金を払うことになるのでチョロチョロ書いてみる. DSRを知らない人がロードバランサーに持っているイメージは図の1の通りだと思う.つまり HUBを通してリクエストがロードバランサに届く(1,2) ロードバランサは適当にバランシン
Postfix Backscatter Howto
Postfix 後方散乱 Howto はじめに このドキュメントは Postfix バージョン 2.0 以降を必要とする機能を 記述しています。 このドキュメントがカバーする話題: 後方散乱メールとは? ランダムな受信者アドレス宛の後方散乱メールを ブロックするには? 実在する受信者アドレス宛の後方散乱メールを ブロックするには? 騙られた HELO 情報を持つ後方散乱メールの ブロック 騙られた送信者情報を持つ後方散乱メールの ブロック 騙られた他の情報を持つ後方散乱メールの ブロック ウィルススキャナからの後方散乱メールの ブロック 後方散乱メールとは? スパマーやワームが送信者アドレスを騙ってメールを送信すると、 罪のないサーバは不達メールの通知であふれてしまいます。これは後方散乱 (backscatter) メールと呼ばれており、システムがあふれればすぐに わかるでしょう。 ランダ
(ひ)メモ - そんなわきゃない>DNS RRはロードバランサの座を奪い返せるか
チープなDNSラウンドロビンは高価なロードバランサの座を奪い返せるか つっこみどころが満載スギなのは脇においておいて、金をかけないなら、DNSラウンドロビンじゃなくて、せめて、件の記事でも紹介されている Apache 2.2のmod_proxy_balancer か、Apache 2.2じゃなくても使えるreverse proxy系の実装たち、 POUND mod_backhand Perlbal を使うべきでしょう。 んで、「L7ロードバランサ(要はreverse proxy)なんていらねっす。セッション? んなのmemcachedでシェアすりゃいいんじゃん。その方がスケールアウトしやすいしー」という向きには、LinuxでL4のロードバランサするのをオススメでします。まともなL4ロードバランサが手に入るのに、金銭的コストはゼロですってよ、オクサン! Linux Virtual Serve
複数のサーバのモニタリングソフト
Linux、Windows、FreeBSD、Mac OS Xで動作可能なサーバモニタリングソフトウェアです。フリーで利用できるバージョンであっても商用利用可能で、30個までのサーバを一元監視することができます。 HTTPなどの各種サービスの監視はもちろん、CPU負荷やメモリ、温度の詳細なグラフ出力やレポート出力も可能。サービスが落ちたかどうかの判断基準や、落ちた場合の通知方法はグラフィカルに条件分岐のダイアグラムから作成可能で、その際に実行するスクリプトなども指定できます。 ソフトウェア自体は監視するBixAgent、監視エージェントから送られてきた情報をまとめるBixServer、そしてその監視結果を表示して確認するためのBixDesktopで構成されています。 詳細は以下の通り。 BixData | Cluster and Systems Management http://www.b
ウノウラボ Unoh Labs: ベンチャー流サーバ構築のススメ(同期ツール編)
ダイエット中で炭水化物の量が気になる尾藤正人です。 前回のエントリベンチャー流サーバ構築のススメ(ソフトウェア編)では、主にOS周りのことについて書きました。複数台のサーバを管理するのに重要なのは極力構成を同じにすることです。そうすることで管理コストが大幅に下がります。 以前Klabさんのサーバ管理者向け無精のすすめ ~ちょっと便利なツールの紹介~というエントリで同期ツールの紹介がありましたが、ウノウでも同じような感じの独自ツールを作って同期をとっています。今回はこの同期ツールの紹介をしたいと思います。 僕が shell scripter ということもあってスクリプトは全て sh で。zsh の特殊な記法が使いたかったので zsh で書いています。 凡例 全てのコマンドは最後に対象とするホスト名を指定します。all というは特殊な指定で全てのサーバに対してリクエストが送られます。 共通関数
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://ultramonkey.jp/papers/lvs_tutorial/html/
我が友よ.できることなら手伝わせておくれ.: Distro Freak