きなこもちのチロルチョコ普及委員会

5月 13 2005

FreeBSD-SA-05:09.htt

Tag: FreeBSD — TOSHI @ 14:47:54

FreeBSDのHTTに関する脆弱性。詳細が全然わかってなくてREVISEDするぞとかのっけから言ってますが…

HTTなマシンでSMPつけてkernel作ってるマシン見たけど、どうもFreeBSD4だとそれだけでは論理CPUとみてないっぽい。

% sysctl -a | grep "machdep.hlt_logical_cpus"
machdep.hlt_logical_cpus: 1

FreeBSD5なましんでSMPつけてたのだけ影響ありそう。念のためsysctlで状態を確認しておくのが吉。該当マシンはとりあえず上記の値を上書きしてHTT無効にしておいて、kernel作り直しがよさげかな

コメント (0) | Trackback (0)

5月 13 2005

RRDTool+CactiでMRTG脱却

Tag: Cacti, FreeBSD, net-snmp — TOSHI @ 13:28:13

誰かさんがRRDToolあげたらmrtg-rrdがうまく動かないとかいってて、ならmrtg-rrd捨てて他をあたろうぜ言ってあげた。のだけど、かく言う私もRRDToolのdb取得の複雑さに根をあげて、未だMRTGから脱却してなかったりする。ここで一発気合を入れて脱却を図ってみる。

RRDToolを入れるだけなら簡単で、まずはdbの簡単取得をするフロントエンドの調査。
HotSaNICが有名だが、portsにない/CPU負荷高い/localマシン見るのにばかり特化/Linux特化でFreeBSD向け変更が多数、等とまんどそうだったのでパス。
ここで私が選択したのはCacti。RRDToolは勿論、PHP+MySQL/net-snmpと依存ソフトが多いのが難点だけど、それさえクリアーしてれば設定は全てWebインターフェース上からだし、テンプレも多数ありとっつきやすいと想う。私は元からMTでPHP+MySQLな環境は構築済みだし、MRTG使ってるんだからnet-snmpがないわけはなく、この点は無問題。

まず、インスコはportsにあるから至ってシンプルに portinstall net/cacti で終了。終了時に、MySQL等の初期設定の方法がmessageされるので、パスワード等は変えておいてもいいけど大体その通りに。
参考資料: SNMPによるネットワークシステムの監視第5回：Cactiの利用

その後のデータについては、先ほどのSTACK*のほか、下記URIもわかりやすくまとまっててGJ
cacti – グラフツールcactiとは?
1. [Devices]を選択して[Add]で取得するサーバ情報を入力。Host Templateを[ucd/net SNMP Host]にしておいて取得するデータはテンプレをまんま。
2. [New Graphs]で、各Hostで必要なグラフを選択。例えばInterface Statisticsでlo0の情報なんか取ってても仕方ないので除くとか。
3. [Graph Trees]でグラフツリーの登録。今回は単純にrootの下に各Hostをくっつけただけ。
4. グラフを他の人に見せるのにいちいちguestアカウントで入ってもらうのもまんどいので、MRTGの如くhtml出力してくれるように設定。
[Settings]の[Graph Export]で[Export Method]をClassicにして出力先ディレクトリを選択。

公開用のはこんな感じになりますた。どれがなにをとってるかはお察しくｄ

コメント (0) | Trackback (0)

4月 07 2005

vim6 for crontab

Tag: FreeBSD, vim — TOSHI @ 14:06:28

FreeBSD4な某鯖でcrontabが反映されないぞヽ(｀д´)ノとせんせーがゴルンゴルンいってくるので見てみることに。

うーん、/tmp/crontab.hoge なファイルまでは作ってるんだけどその後 /var/cron/tabs/ へ持っていかないなぁ。ちょろちょろ調べてみるとありました。とりあえず最終的な解決法は >>920

ヘルプにありました。
:help backupcopy
最終的に以下のように.vimrcに書くことで解決。
au BufRead /tmp/crontab.* set backupcopy=yes

ということで最後の一行を .vimrc に書いて解決。
しかし、私は大概のサーバーでvim6使ってるのに、症状出るの1鯖だけなんだよなぁ。どういう条件だ?まぁ書いていて害はなさそうだからこのまま .vimrc 統一しちゃうような気がするけど。

コメント (0) | Trackback (0)

3月 31 2005

telnet client buffer overflows

Tag: FreeBSD — TOSHI @ 19:11:50

FreeBSD-SA-05:01.telnetみたいな感じでRSSバーに入れてたFreeBSD-SAのRSSが初めて役に立ちましたよっ。

ってのは置いといて、実はBSD由来やらkerberos由来のは全部ひっかかるっぽくて春のtelnet祭り(茎命名)。
FreeBSDはMLみりゃわかるけど、lib/libtelnetとusr.sbin/telnetで作れば再起動いらない、ていうかしたくない(笑)
NetBSDはSAあがってないけどsrcみたら入ってたのでちょちょいとうぷ。サーバー用途に多いだろうと想われるSolarisでもSAあがってたけど、当日はパッチとかなかった。飾りOSは沢山上がってるけど興味ないのでシラネ。

コメント (0) | Trackback (0)

3月 31 2005

smbfs+dump

Tag: FreeBSD — TOSHI @ 18:54:33

足元においてあったFreeBSDマシンがVGAまわり?かなんかが逝ったくさく、XがOSごと巻き込んで止まった挙句、リセットボタン押したら緑の縦縞々状態でお話にならなくて修理逝き

で修理に出す時にはよくある「原因追求のため、HDDを初期化することがあります。同意しますか?」の文章付依頼書があってまぁバックアップとろうかと想い、足元にもう一台あるFreeBSDマシンに刺して吸い出そうかとしたら、見事なまでにi440BX世代なので137Gの壁にぶつかるわけで。ちなみにいうとこういう古い世代のマシンなので、HDDなんてのも勿論ギチギチ運用なわけであいてるわけがない。後バックアップをおいて置けそうなのは…手元にあるWindows入ってるノートPC(’A`)?

さてどうしようかと困った挙句、んじゃぁ時代はsmbfsなんて便利なものあるじゃんってことで、ノートPCでは適当に共有フォルダ作っといて、稼動FreeBSDマシンでmount

# mount_smbfs -I <ノートPCのIPアドレス> //nanamaki@<ノートPC名>/backup /mnt

で、後はsingleで上げた元pcからssh使ってdump

# dump 0af - /dev/ad0s1a | ssh <もう一台のFreeBSDマシン> dd of=/mnt/dumpfile

みたいな。

でも、今かいてて想ったんだが、singleで立ち上げてIPアドレスだけ振ってる時点で、そのマシンでsmbfsやっとけよとかいうツッコミがきそうだ。もう後の祭りだけど。
まぁ、smbfsは書き込みの権限さえ考えればそれなりに使えるということで。

コメント (0) | Trackback (0)

3月 01 2005

Firefox 1.0.1とbrowse-url.el

Tag: Firefox, FreeBSD — TOSHI @ 13:49:15

Firefoxを1.0.1にageたら、portsのwww/firefox-remoteを使って呼び出していたbrowse-url.el(主にrieceでURIをクリックした際にFirefoxへ飛ばす)やら、Sylpheedでの外部コマンドでのWebブラウザ呼び出しがおかしくなった。正確にはfirefox-remoteを使ったら、新しいWindowと、既に出ていたWindowに新しいタブと、飛ばしたURIのタブと3つ表示が(’A`)

とりあえずportsのfirefox-remoteは捨てて、対策を考えることに。Sylpheedは外部コマンドで引数まで設定できるのでいいのだけど、browse-url.elの関数は利口に対応してくれない。最近のbrowse-url.elには browse-url-mozilla なる利口な関数があるらしいのだが、Emacs-21.3使いなのでそんなのない。しかしemacsはportsから入れてるので、変にbaseにあるlispをいぢりたくもない。
ということでfirefox-remoteに変わるスクリプトを書けばいいんだと想い探したら、2ch Linux板のFAQにまんまあったのでこのまま使用(多少scriptは書き換えたが)。無事終了。

コメント (0) | Trackback (0)

11月 29 2004

php4導入、そして挫折…

Tag: FreeBSD, MovableType, php — TOSHI @ 19:16:45

php4をportsから。apache2をソースから入れてるからそのあたりのパラメーターを入れてあげることと、extensionsでgd,mbstringを有効にしてあげることだけ(gdは使うかどうかもわかんないけど

# portinstall -M 'WITH_APACHE2=yes APXS=/usr/local/apache2/bin/apxs
WITH_GD=yes WITH_MBSTRING=yes' lang/php4-extensions

で終了。apache再起動して、phpinfoだけなスクリプトで設定確認したり、簡単なmysql用のスクリプト書いて動作確認したり。

phpまで導入した大きな理由は簡単メタサーチだったわけですが…一応まんま書いて動作はしました。が、リンクの少なさとbotはじきの厳しさからか全然ぐぐる様に嫌われてるわけですよ。しょんぼりmt-search.cgiに戻しましたとさ(´・ω・｀)
次に気になってるのは、MT-3.1新機能のサブカテゴリと、phpを使った?カテゴリページの折り返し。さぁいつになるやら。

コメント (0) | Trackback (0)

11月 25 2004

cyrus-sasl,cyrus-imapd入れ替え

Tag: FreeBSD — TOSHI @ 11:50:47

いろいろCAがあがってるので、ばっさり最新版に入れ替えを試みる。今回はcyrus-iampd22を入れるので、マイナーバージョンが一個上がることに。いかにもはまりそうな展開ですね(・ω・)

コメント (0) | Trackback (0)

11月 23 2004

pfで快適なIPv6フィルタリング

Tag: FreeBSD — TOSHI @ 14:38:19

まんどくてやめてたIPv6フィルタ@pfを気合入れてやってみることに。基本はip6fwの設定を書き写し。

気をつけるのは、nativeな環境ではなくてtunnelなので、tunnel先host(IPv4)<=>自host(PPPoEで割り当てられるIPv4) 間のipv6プロトコルを通すこと。ここで一寸はまった。
主な設定は、tunnelインターフェースでのRIPng用設定(routingがstaticなら要らない)、icmp6を返す際の必要なtype設定、IPv6用外部サービスの許可。v4との住み分けのため、明示的に{inet, inet6}をつけた。

で、書きあがった /etc/pf.rules

# macros
int_if = "rl0"
ext_if = "ng0"
flets_if = "ng1"
gif_if = "gif0"

tcp_services = "{ ssh, http }"
tcp6_services = "{ ssh, http }"
icmp_types = "{ echoreq, unreach, timex }"
icmp6_types = "{ echoreq, unreach, timex, toobig, neighbrsol, neighbradv }"

priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"
v6_priv_nets = "{ fec0::/10, ::ffff:0.0.0.0/96, ::224.0.0.0/100, ::127.0.0.0/104,
::0.0.0.0/104, ::255.0.0.0/104, ::0.0.0.0/96 }"   (←一行
v6_malicious_6to4 = "{ 2002:e000::/20, 2002:7f00::/24, 2002:0000::/24,
2002:ff00::/24, 2002:0a00::/24, 2002:ac10::/28, 2002:c0a8::/32, ff05::/16 }"   (←一行
v6_mynet = "vvvv:vvvv:vvvv:vvvv::/64"

# DCC host and port
dcc_host = "xxx.xxx.xxx.xxx"
dcc_port = "yyyy"

# IPv6 tunnel host
gif_host = "zzz.zzz.zzz.zzz"

# options
set block-policy return
set loginterface $ext_if

# scrub
scrub in all
scrub out all random-id max-mss 1414

# nat
nat on $ext_if inet from $int_if:network to any -> ($ext_if)
nat on $flets_if inet from $int_if:network to any -> ($flets_if)
# rdr (for DCC)
rdr on $ext_if inet proto tcp from any to ($ext_if) port $dcc_port -> $dcc_host port $dcc_port

# filter rules
block log all

pass quick on lo0 all

block drop in  quick on $ext_if inet from $priv_nets to any
block drop out quick on $ext_if inet from any to $priv_nets
block drop in  quick on $gif_if inet6 from $v6_priv_nets to any
block drop out quick on $gif_if inet6 from any to $v6_priv_nets
block drop in  quick on $gif_if inet6 from $v6_malicious_6to4 to any
block drop out quick on $gif_if inet6 from any to $v6_malicious_6to4

# 6to4 tunnel
pass on $ext_if inet proto 41 from $gif_host to ($ext_if)
pass on $ext_if inet proto 41 from ($ext_if) to $gif_host

# TCP outer to inner
pass in quick on $ext_if inet proto tcp from any to ($ext_if) \
   port $tcp_services flags S/SA keep state

# IPv6 TCP outer to inner
pass in quick on $gif_if inet6 proto tcp from any to $v6_mynet \
   port $tcp6_services flags S/SA keep state

# TCP outer to inner (for DCC)
pass in quick on $ext_if inet proto tcp from any to $dcc_host \
   port $dcc_port keep state

# ICMP
pass in inet proto icmp all icmp-type $icmp_types keep state

# ICMP6
pass in inet6 proto icmp6 all icmp6-type $icmp6_types keep state

# IPv6 RIPng
pass in on $gif_if inet6 proto udp from fe80::/10 port 521 to ff02::9 port 521
pass in on $gif_if inet6 proto udp from fe80::/10 port 521 to fe80::/10 port 521

# keep state
pass in  on $int_if inet from $int_if:network to any keep state
pass out on $int_if inet from any to $int_if:network keep state
pass on $int_if inet6 all keep state

pass out on $ext_if inet proto tcp all modulate state flags S/SA
pass out on $ext_if inet proto { udp, icmp } all keep state
pass out on $gif_if inet6 proto tcp all modulate state flags S/SA
pass out on $gif_if inet6 proto { udp, icmp6 } all keep state

# keep state (Flet's)
pass out on $flets_if inet proto tcp all modulate state flags S/SA
pass out on $flets_if inet proto { udp, icmp } all keep state

« 戻す

コメント (0) | Trackback (0)

11月 22 2004

FreeBSD+mpd+pfで快適なFlet’s PPPoEマルチセッションルーター生活

Tag: FreeBSD — TOSHI @ 18:32:56

今更気づいたんだけどmpdって全然mssの問題解決してないのね…set iface enable tcpmssfixとかやっても全然効いてねーの。mss問題解決しなくて一番困るのがWindowsUpdateに繋げない事なのでまた厄介（;´Д｀）
なんでぐぐって見つかるmpd使いはipfilter+ipnatばかりなのだろうかと想ったら、ipfilterでmssclampとかいう設定があるからなのね。一瞬私もそうしようかと想ったんだけど、某BBS某スレではpfマンセーみたいな雰囲気が流れてて

pfはkernel内でうごいてNATもしてmssな値の調整もできてライセンスもOkだしaltqとの連携もありでシンタックスも素敵。
これからはpfだとおもったり。

素敵じゃないですか!折角5-STABLEマシンだし、最先端技術でカコイイマシンを目指してみようということで、ipfw+natdとさようならすべく設定にいそしむ。

やはりまだトライしてる人が少ないのかあんまりぐぐっても情報が無い中、portsの頃から使用してる方を発見。おおいに参考にさせていただきました、感謝。でも、基本は5.3-R以降のマシンと、man pfctl & man pf.conf

5.3-Rマシンはどうかしらないけど、手元の5-STABLEマシンでは /etc/rc.d/pf をみるとこの中でpf.koを読んでくれてるので、kernelに必要なconfigはALTQのみ(無くても動くけど毎回怒られるので五月蝿くて嫌になる)。ということで、

options ALTQ

だけ入れてkernel作り直し。私はついでにipfw周りのconfigをはずす。やっておかないと、無駄にipfwが効いてdeny anyとかになってはまることに(←やったのかよ

次はpfのrules作り。デフォルトの /etc/pf.conf には触らず、 /etc/pf.rules というファイルに書く。/usr/share/examples/pf/faq-example1 の内容を基本に、上美谷さんのものも参考にゴリゴリっと。

# macros
int_if = "rl0"
ext_if = "ng0"
flets_if = "ng1"

tcp_services = "{ ssh, http }"
icmp_types = "{echoreq, unreach, squench, timex}"

priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"

# options
set block-policy return
set loginterface $ext_if

# scrub
scrub in all
scrub out all random-id max-mss 1414

# nat/rdr
nat on $ext_if from $int_if:network to any -> ($ext_if)
nat on $flets_if from $int_if:network to any -> ($flets_if)

# filter rules
block log all

pass quick on lo0 all

block drop in  quick on $ext_if from $priv_nets to any
block drop out quick on $ext_if from any to $priv_nets

# TCP outer to inner
pass in quick on $ext_if proto tcp from any to ($ext_if) \
   port $tcp_services flags S/SA keep state

# ICMP
pass in inet proto icmp all icmp-type $icmp_types keep state

# keep state
pass in  on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state

pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state

# keep state (Flet's)
pass out on $flets_if proto tcp all modulate state flags S/SA
pass out on $flets_if proto { udp, icmp } all keep state

# IPv6
pass on gif0 all
pass proto { 41, 58 } all

exampleのやつにFlet’sスクウェア向けのnatをつけて、mssを調整して、外部インターネットからsshとhttpを通すようにしただけ(ほんとはもっと書いてるんだけど、わざわざ穴教えるようなことはしない(笑))。なんでIPv6スルーしてるかというと、pfのv6のサンプルとか無くてまんどくなって、ip6fwでやらせてるからorz

rulesが出来たら、rc.confに仕込んで有効にしますよっと。ついでにログ鳥にpflogdも起動。

# pf
pf_enable="YES"
pf_rules="/etc/pf.rules"
pflog_enable="YES"

/var/log/pflog にtcpdump形式のバイナリがでてくるので、そいつを見て必要に応じてrulesを書き加えるなりして完成。ちゃんと読むもの読めば、意外にできるもんです。

ipfwは既にkernelからはずしてて、natdも捨てられるようになったので、mpdのup-scriptも上美谷さんに習って書き換え。とはいっても、rc.dのスクリプトを動かすだけだけど。

#!/bin/sh

/etc/rc.d/pf stop > /dev/null 2>&1
/etc/rc.d/pf reload > /dev/null 2>&1
/etc/rc.d/pf start > /dev/null 2>&1

さらに追記。私としてはもはや生活の一部となっているIRCのお話。この手のフィルタには必ずといってもいいくらい付きまとうDCCは、やはり問題が。これだけはlibalias使うipfw+natdの優れている点といえるのかなぁ。仕方ないので、市販ルーターよろしく、DCC SENDするクライアントのhost/portを決め打ちしてrdrして後ろ向き解決

# DCC host and port
dcc_host = "xxx.xxx.xxx.xxx"
dcc_port = "yyyy"

# rdr (for DCC)
rdr on $ext_if proto tcp from any to ($ext_if) port $dcc_port -> $dcc_host port $dcc_port

# TCP outer to inner (for DCC)
pass in quick on $ext_if proto tcp from any to $dcc_host \
port $dcc_port keep state

« 戻す

コメント (0) | Trackback (0)

2012年5月
日	月	火	水	木	金	土
« 7月
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31