ネットワークトラフィック監視ツール導入(NET-SNMP+MRTG) – CentOSで自宅サーバー構築 を参考ににしてグラフを作ってみました。最初は、スクリプトを作って
./mrtg.sh
すると、
ERROR: Line 9 (/var/www/mrtg) in CFG file (/etc/mrtg/mrtg.cfg) does not make sense
エラーで参っていましたが、こちらの本( CentOS7で作るネットワークサーバ構築ガイド )
を参考に、cfgmaker コマンドを打つとmrtg できました。今のところ、5分おきにcron でグラフ更新されるのかが心配ですね。
(追記 2015年11月7日現在 グラフ更新されているようです。ServerView を入れていると4Gバイトのメモリをほとんど消費しているようなのでアンインストールしました。
サーバー添付のServerView Suite をインストールしてみました。
JVM(Java Virtual Machine) は、ServerView(DVD1)付属のOpenJDKからインストールします。パスは、
# cd /media/UDF Volume/SVSSoftware/Software/Other_Tools/Java/Linux_x64 rpm -ivh jre-7u65-linux-x64.rpm
何故か付属のOpenJDKでは「Error:No JAVA found」エラーでJAVAコンパイラが見つからなかったのでOracleからインストール
Java SE Development Kit 8 – Downloads Linux x64 jdk-8u65-linux-x64.rpm
http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html
環境変数設定
# export JAVA_HOME=/usr/java/default # export CLASSPATH=.:$JAVA_HOME/jre/lib:$JAVA_HOME/lib:$JAVA_HOME/lib/tools.jar
以下コマンドでバージョン確認ができる他、バージョンの切り替えもできますが今回は、OpenJDK を使うことにします。
# java -version # javac -version # alternatives --config java
yumで必要なパッケージをインストール
compat-libstdc++-33.i686
cyrus-sasl-lib.i686
glibc.i686
gzip.x86_64
keyutils-libs.i686
krb5-libs.i686
libcom_err.i686
libcurl.i686
libgcc.i686
libidn.i686
libselinux.i686
libssh2.i686
libstdc++.i686
libtool-ltdl.i686
libxml2.i686
ncurses-libs.i686
net-snmp.x86_64
nspr.i686
nss.i686
nss-softokn-freebl.i686
nss-util.i686
openldap.i686
openssl.i686
unixODBC.i686
zlib.i686
特定の機能に必要なパッケージ
DeskView インタフェース: curl.x86_64
RHEL 上の KVM クライアントの監視: libvirt-client.x86_64
postgpls ユーザーにスーパーユーザー権限を与える
e.1) ディストリビューションから必要なパッケージ
Mozilla/Firefox のインストール。
e.2) Java プラグインの設定
Java インストール後に JRE を Mozilla のブラウザに手動でリンクさせる必要があります
ServerView RAID Manager をインストールする (参考
ServerView Operation Manager (DVD1をドライブに挿入して)のインストール、パスは
# cd /media/UDF Volume/SVSSoftware/Software/ServerView/Linux/ServerView_S2/ # sh install.sh
コンソールで[Enter] キーを押しながらスクロールしてライセンス条項を読み終わると、以下の質問が出てきますので[Enter] キーで流さずにyes と入力します。(およそ、Chapter 10.1 以降です。
if you aguree please confirm with yes otherwise leave with no yes Please enter en (for English) or ja (for Japanese) ja Fully - qualified hostname : <ホストネーム> ok? (yes | no) : yes ip address? <サーバーのIPアドレス> You must specify password for opendj account 'svuser' Echo is off during password input password パスワード please repeat password パスワード(確認)
インストール成功が表示されます。つづいてsnmptrapd の設定に移ります。
# vi /etc/snmp/snmptrapd.conf disableAuthorization yes ←(追記 authCommunity log,execute,net public ←(チェックを外す # service snmptrapd start # chkconfig snmptrapd on
ファイアウォールの設定 iptables を編集
# vi /etc/sysconfig/iptables -A INPUT -m state --state NEW -m udp -p udp --dport 161 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --sport 161 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 162 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --sport 162 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 3169 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 3170 -j ACCEPT # service iptables restart
snmpd.conf の再設定。以下の項目を追記します。
# vi /etc/snmp/snmpd.conf com2sec svSec default public com2sec svSec localhost public com2sec svSec <IP アドレス>/<ネットマスク> public group svuser v1 svSec group svuser v2c svSec view svView included .1 access svuser "" any noauth exact svView svView none trapsink <IP アドレス> public ←SNMPトラップを送信したいアドレス記入
ブラウザから、https://ホストネームアドレス:3169/ と打ち込んで起動、ログオン。
基本設定ウィザードからポート解放、コミュニティの設定などして行きます。
シングルシステムビューは、CPU やメモリ、ハードディスクの温度など環境パラメーターの取得はできませんでした。何か設定が欠けているのかもしれません。(残念。
(追記 ServerView-RM の通信ポートとして3073,3172:3173(TCP・UDP)を解放しないと管理不可表示で本来の性能を発揮しないそうです)SVOM が使用するプロトコルとポート番号 (.pdf 21P)
ServerView のアンインストールと、削除できないcronジョブは以下コマンドで削除できます。
# /usr/bin/UninstallServerView.sh # rm -fr /etc/cron.d/pg_CrontabEntry
# yum install net-snmp*
# snmpwalk -v 2c -c public localhost Timeout : No Response from localhost
Timeout でハマりまくったのでメモ。/etc/snmp/snmpd.conf を編集
# vi /etc/snmp/snmpd.conf com2sec local localhost private com2sec local localhost public com2sec mynetwork 192.168.24.0/24 public group local v1 local group local v2c local group local usm local group mynetwork v1 mynetwork group mynetwork v2c mynetwork group mynetwork usm mynetwork view all included .1 80 access local "" any noauth exact all none none access mynetwork "" any noauth exact all all none rocommunity public ←(これであっけなく動いた syslocation securenet (edit /etc/snmp/snmpd.conf) syscontact Root <root@localhost> (configure /etc/snmp/snmp.local.conf) disk / 10000
# vi /etc/snmp/snmpd.conf
iptables でファイアウォールUDP 161, 162 番のポート解放、Windows 側も。
# vi /etc/sysconfig/iptables -A INPUT -p udp -m udp --dport 161 -j ACCEPT -A INPUT -p udp -m udp --dport 162 -j ACCEPT
TCPWrapperホスト設定。 /etc/hosts.allow にsnmpd をローカルネットワークで許可
# vi /etc/hosts.allow snmpd : 127.0.0.1, 192.168.0.
一応、SELinux でsnmp を指定しているポートを調べて解放。
# semanage port -l | grep -w 161 snmp_port_t tcp 161-162, 199, 1161 snmp_port_t udp 161-162
サーバー買ったときに付いていた、ServerView Suite というソフトをREADME.txt を参考にインストールしてみました。(Oracle のJAVA JDK を入れてyum で必要パッケージを追加してポート解放して後、・・・忘れました。)とにかく、ブラウザでサーバーが見えるようにはなったのですけど、[SNMP] タイムアウトと表示が出て前に進みません。README.txt をよく読むと「SELinux 無効にしてからインストールしてね。」って先に云ってよ。パッケージでSNMP をインストールしなきゃいけないらしくて、ずーっとTimeout で蹴られたけど、linux – CentOS, Timeout: No Response in remote SNMP access – Server Fault をググったら、コミュニティ名が違うってことですね。rocommunityして解決。コミュニティのディレクティブには設定が出来る、rwcommunity もあるようです。書式は、SNMP のアクセス制御を設定する – いますぐ実践! Linuxシステム管理 / Vol.234 に詳しい解説がありましたので引用します。
rocommunity community address [OID | -V view] rwcommunity community address [OID | -V view]
まともに動くようになるには、メールサーバーを立ててSSL証明書を作らないといけませんね。
WinSCP やSSH があるのでたぶん、使わないと思ったのでしばらく忘れていた vsftp が久しぶりにつながらなかったので設定をgoogle 検索しました。
SELinux コンテキスト設定
# setsebool -P ftp_home_dir 1
HOSTS ファイル設定
# vi /etc/hosts.allow vsftpd:192.168.0. ←(追記
やっぱり使わないですよね。
(以下加筆
ホームディレクトリから上位階層が見える問題を解消しました。
vftpdでユーザごとに上の階層に移動できないように制限する – [Swb:]渋谷に住むWEBデザイナの備忘録
# vi /etc/vsftpd/vsftpd.conf chroot_list_enable=YES ← チェックを外す chroot_list_file=/etc/vsftpd/chroot_list ← チェックを外す chroot_local_user=YES ← 追記 # vi /etc/vsftpd/chroot_list (ファイル生成 # service vsftpd restart (vsftpd 再起動
(加筆ここまで
Linux にsamba をインストールしてみました。(私の環境でうまくいったよ~という話でベストプラクティスではありません。)参考URL:Windowsファイルサーバー構築(Samba) – CentOSで自宅サーバー構築
# yum install samba
iptables のファイアウォールのポート解放。Windows 側のセキュリティソフトがあれば、ローカルサービスのTCP とUDP のポート135~139 445 をプライベートネットワークで受信許可して下さい。service iptables restart で設定反映。
# vi /sysconfig/iptables ・・・ -A INPUT -p tcp -m tcp --dport 135:139 -j ACCEPT -A INPUT -p udp -m udp --dport 135:139 -j ACCEPT -A INPUT -p tcp -m tcp --dport 445 -j ACCEPT ・・・ # service iptables restart
ここでSamba ユーザー登録。Linux のユーザー名で、Windowsのアカウント名と同名に限ります。が、一時的にWindows のアカウント名をLinux 側に合わせて変更し、一度資格情報を保存すればWindows側 のユーザー名は元に戻してもアクセスできました。
# pdbedit -a gusachan new password retype new password
設定ファイルを編集します
# vi /etc/samba/smb.conf ・・・ [global] ・・・ workgroup = WORKGROUP server string = SECURENET ・・・ passdb expand explicit = no
Samba ファイルサーバー起動
# service smb start # service nmb start # chkconfig smb on # chkconfig nmb on
エクスプローラ起動
Windows ネットワークにサーバーが見えました。クリックすると「・・アクセス許可がありません」と蹴られました。ディレクトリを作成してSELinux のコンテキスト設定します。
# mkdir /home/gusachan/samba/$ mkdir /home/samba/share (訂正 root権限で作成するとアクセス不可 # chcon -t samba_share_t /home/samba/share -R
フォルダが表示されました。
追記)表示されたフォルダにアクセスできるか検証したところ、ディレクトリの所有権がroot になっており、書き込み、フォルダ作成不可でした。追加で所有権変更コマンド
# chown -R samba:samba /home/samba/share/
としました。(本来は最初から、ユーザー権限でディレクトリ作成すれば良いです。上記訂正してお詫び申し上げます。)
近頃、Windows Update が頻繁にWindows10 を含む更新(KB3035583)を勧めてくるのでチェックを外して非表示設定をしていました。Windows10 にアップグレードしたくないときのダウンロードを抑止する方法が公開されていたのでご紹介します。
Windows10へのアップグレードを抑止するように、「KB3065987」でインストールされたプログラムの設定を変更する
KB3035583を[コントロールパネル] → [プログラムと機能] → [インストールされた更新プログラムの表示]からアンインストール済みであることはもちろんですが、KB3065987がインストール済みの場合は、レジストリとグループポリシーエディタを編集するのでちょっと難しいですね。
前回のエントリー、Windows10 アップグレード失敗 Windows10 ロールバック から原因が判明しないまま2か月が立ちましたが今回、アップグレード成功しましたのでご報告します。
Windows10 のロールバックからWindows Upgrade が進まなかったのはセキュリティソフトとの競合でした。Windows10 へアップグレードするときには、セキュリティソフトの再インストールまでを考えた方が良いと思います。でなければ、Windows10 でDifender が作動してCPU を占有してしまいました。
2つ目に、Windows10 インストール後のNumロック問題ですが、インストール前にMicrosort Microsoft IME EN(英語)を追加で入れる必要があったようです。
Oracle のホームページから、Linux Firefox 用のJava を以下のページ
全オペレーティング・システム用のJavaのダウンロード
http://www.java.com/ja/download/manual.jsp
から、 Linux x64 ファイルサイズ: 68.4 MB を選択しダウンロードし、(2015年10月15日現在 jre-8u60-linux-x64.tar.gz)下記コマンドでインストール、
# mkdir -p /usr/java/ # cd /usr/java/ # tar zxvf /tmp/jre-8u60-linux-x64.tar.gz # mkdir -p /usr/lib64/mozilla/plugins # cd /usr/lib64/mozilla/plugins # ln -s /usr/java/jre1.8.0_60/lib/amd64/libnpjp2.so
Firefox のアドオン( [Ctrl]+[Shift]+[A] ) からJava Plugins を有効にします。
Fujitsu のサイトPRIMERGY(プライマジー) > ダウンロード検索 : 富士通 から、ServerView RAID Manager をダウンロード、RHEL6 – PYT10PT3S – F1020222.exe ( 238050542 bytes ) 展開
# rpm -ivh (ファイルパス)/ServerView_RAID-6.1-4.el6.x86_64.rpm
してインストール完了、ブラウザから表示できました。
昨日の夜から、ieServer(Dynamic DnsService) のDiCE の設定中、システムの世界時計の同期に失敗してルーターのntpポート開放が必要になりました。ルーターを再起動してIPが変わったのでDNS への登録に手間取り、BIND、レジストラのDNSテーブルの更新、DiCE設定に時間が掛かりました。この時間、閲覧していた方にはご迷惑をおかけしました。お詫びします。
以前、 HOSTSファイルによるSSHのIP制限 をエントリーしましたが、TCP Wrapper を通るサービス自体が減っており、libwrap ライブラリを利用するサービスは現在、SSH, PostFix 位しかありません。 ldd /usr/sbin/sshd | grep libwrap コマンドでHOSTSファイルが利用できるかどうか、確認が出来ます。しかし今回は、pam(Pluggable Authentication Module)によるSSH のIP 制限の方法をご紹介します。
詳しい設定は、OpenSSH – IP制限かつユーザの制限を同時に行う – Qiita にありますが、とりあえずローカルネットのユーザーのみに制限する方法として、
/etc/pam.d/sshd
#%PAM-1.0 auth required pam_sepermit.so auth include password-auth account required pam_nologin.so account required pam_access.so (新規追加 account include password-auth password include password-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session required pam_loginuid.so # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open env_params session optional pam_keyinit.so force revoke session include password-auth
/etc/ssh/sshd_config
UsePAM yes
/etc/security/access.conf
- : gusachan : ALL EXCEPT 192.168.0.0/24
# service sshd restart
pam には他にもroot になれるスーパーユーザーをWheel グループのみに制限する、 /etc/pam.d./su もありますね。
auth required pam_wheel.so use_uid (コメントアウト
参考:http://fnya.cocolog-nifty.com/blog/2012/03/centos-6aa8.html