月: 2015年10月

SNMP でハマった・・・orz

# yum install net-snmp*
# snmpwalk -v 2c -c public localhost
Timeout : No Response from localhost

Timeout でハマりまくったのでメモ。/etc/snmp/snmpd.conf を編集

# vi /etc/snmp/snmpd.conf

com2sec local localhost private
com2sec  local       localhost       public
com2sec  mynetwork   192.168.24.0/24  public

group  local       v1             local
group  local       v2c            local
group  local       usm            local
group  mynetwork   v1             mynetwork
group  mynetwork   v2c            mynetwork
group  mynetwork   usm            mynetwork

view  all      included   .1                 80

access local "" any noauth exact all none none
access mynetwork "" any noauth exact all all none

rocommunity public ←(これであっけなく動いた
syslocation securenet (edit /etc/snmp/snmpd.conf)
syscontact Root <root@localhost> (configure /etc/snmp/snmp.local.conf)
disk / 10000
# vi /etc/snmp/snmpd.conf

iptables でファイアウォールUDP 161, 162 番のポート解放、Windows 側も。

# vi /etc/sysconfig/iptables
-A INPUT -p udp -m udp --dport 161 -j ACCEPT
-A INPUT -p udp -m udp --dport 162 -j ACCEPT

TCPWrapperホスト設定。 /etc/hosts.allow にsnmpd をローカルネットワークで許可

# vi /etc/hosts.allow
snmpd : 127.0.0.1, 192.168.0.

一応、SELinux でsnmp を指定しているポートを調べて解放。

# semanage port -l | grep -w 161
snmp_port_t                    tcp      161-162, 199, 1161
snmp_port_t                    udp      161-162

サーバー買ったときに付いていた、ServerView Suite というソフトをREADME.txt を参考にインストールしてみました。(Oracle のJAVA JDK を入れてyum で必要パッケージを追加してポート解放して後、・・・忘れました。)とにかく、ブラウザでサーバーが見えるようにはなったのですけど、[SNMP] タイムアウトと表示が出て前に進みません。README.txt をよく読むと「SELinux 無効にしてからインストールしてね。」って先に云ってよ。パッケージでSNMP をインストールしなきゃいけないらしくて、ずーっとTimeout で蹴られたけど、linux – CentOS, Timeout: No Response in remote SNMP access – Server Fault をググったら、コミュニティ名が違うってことですね。rocommunityして解決。コミュニティのディレクティブには設定が出来る、rwcommunity もあるようです。書式は、SNMP のアクセス制御を設定する – いますぐ実践! Linuxシステム管理 / Vol.234 に詳しい解説がありましたので引用します。

rocommunity community address [OID | -V view]
rwcommunity community address [OID | -V view]

まともに動くようになるには、メールサーバーを立ててSSL証明書を作らないといけませんね。

FTP のSELinux 設定

WinSCP やSSH があるのでたぶん、使わないと思ったのでしばらく忘れていた vsftp が久しぶりにつながらなかったので設定をgoogle 検索しました。

SELinux コンテキスト設定

# setsebool -P ftp_home_dir 1

HOSTS ファイル設定

# vi /etc/hosts.allow
  vsftpd:192.168.0.  ←(追記

やっぱり使わないですよね。

(以下加筆

ホームディレクトリから上位階層が見える問題を解消しました。

vftpdでユーザごとに上の階層に移動できないように制限する – [Swb:]渋谷に住むWEBデザイナの備忘録

# vi /etc/vsftpd/vsftpd.conf
chroot_list_enable=YES  ← チェックを外す
chroot_list_file=/etc/vsftpd/chroot_list ← チェックを外す
chroot_local_user=YES ← 追記

# vi /etc/vsftpd/chroot_list (ファイル生成
# service vsftpd restart (vsftpd 再起動

(加筆ここまで

※過去ログ Linux をWindows のファイルサーバーにする

Linux にsamba をインストールしてみました。(私の環境でうまくいったよ~という話でベストプラクティスではありません。)参考URL:Windowsファイルサーバー構築(Samba) – CentOSで自宅サーバー構築

# yum install samba

iptables のファイアウォールのポート解放。Windows 側のセキュリティソフトがあれば、ローカルサービスのTCP とUDP のポート135~139 445 をプライベートネットワークで受信許可して下さい。service iptables restart で設定反映。

# vi /sysconfig/iptables
・・・
-A INPUT -p tcp -m tcp --dport 135:139 -j ACCEPT
-A INPUT -p udp -m udp --dport 135:139 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 445 -j ACCEPT
・・・
# service iptables restart

ここでSamba ユーザー登録。Linux のユーザー名で、Windowsのアカウント名と同名に限ります。が、一時的にWindows のアカウント名をLinux 側に合わせて変更し、一度資格情報を保存すればWindows側 のユーザー名は元に戻してもアクセスできました。

# pdbedit -a gusachan
new password
retype new password

設定ファイルを編集します

# vi /etc/samba/smb.conf
・・・
[global]
・・・
 workgroup = WORKGROUP
    server string = SECURENET
・・・
    passdb expand explicit = no

Samba ファイルサーバー起動

# service smb start
# service nmb start
# chkconfig smb on
# chkconfig nmb on

エクスプローラ起動
samba_securenet

Windows ネットワークにサーバーが見えました。クリックすると「・・アクセス許可がありません」と蹴られました。ディレクトリを作成してSELinux のコンテキスト設定します。

# mkdir /home/gusachan/samba/
$ mkdir /home/samba/share (訂正 root権限で作成するとアクセス不可
# chcon -t samba_share_t /home/samba/share -R

samba_gusachan

フォルダが表示されました。

追記)表示されたフォルダにアクセスできるか検証したところ、ディレクトリの所有権がroot になっており、書き込み、フォルダ作成不可でした。追加で所有権変更コマンド

# chown -R samba:samba /home/samba/share/

としました。(本来は最初から、ユーザー権限でディレクトリ作成すれば良いです。上記訂正してお詫び申し上げます。)

HDD クローン作製

1TバイトのHDD で運用を始めて早速、amazon.co.jp で同型のHDD を注文しました。
Seagate 内蔵HDD Desktop HDDシリーズ (1TB / 3.5″ / SATA3.0 / 7,200rpm) ST1000DM003

20151019041529

 

決して安い買い物ではありませんでしたが、致し方ありません。クローン開始。

 

20151019041421

クローンに掛かった時間は、東芝 DT01ACA050  と比べて倍の時間がかかるかと思いましたが2.5 2時間弱で完了。ただ、静音性に関しては東芝製の500Gバイトのものの方が、静かなように思いました。静音ジェルパッド 【防振ゴムを超える防音性能】 なども試してみましたが効果はあまりなかったです。

RAID1 を認識してクローンバックアップ成功です。

Windows10 へのアップグレードを抑止する方法

近頃、Windows Update が頻繁にWindows10 を含む更新(KB3035583)を勧めてくるのでチェックを外して非表示設定をしていました。Windows10 にアップグレードしたくないときのダウンロードを抑止する方法が公開されていたのでご紹介します。

 Windows10へのアップグレードを抑止するように、「KB3065987」でインストールされたプログラムの設定を変更する

KB3035583を[コントロールパネル] → [プログラムと機能] → [インストールされた更新プログラムの表示]からアンインストール済みであることはもちろんですが、KB3065987がインストール済みの場合は、レジストリとグループポリシーエディタを編集するのでちょっと難しいですね。

Windows10 アップグレード成功

前回のエントリー、Windows10 アップグレード失敗  Windows10 ロールバック から原因が判明しないまま2か月が立ちましたが今回、アップグレード成功しましたのでご報告します。

Windows10 のロールバックからWindows Upgrade が進まなかったのはセキュリティソフトとの競合でした。Windows10 へアップグレードするときには、セキュリティソフトの再インストールまでを考えた方が良いと思います。でなければ、Windows10 でDifender が作動してCPU を占有してしまいました。

2つ目に、Windows10 インストール後のNumロック問題ですが、インストール前にMicrosort Microsoft IME EN(英語)を追加で入れる必要があったようです。desktop

 

ServerView RAID Manager をインストールする

Oracle のホームページから、Linux Firefox 用のJava を以下のページ
全オペレーティング・システム用のJavaのダウンロード
http://www.java.com/ja/download/manual.jsp

から、 Linux x64 ファイルサイズ: 68.4 MB を選択しダウンロードし、(2015年10月15日現在 jre-8u60-linux-x64.tar.gz)下記コマンドでインストール、

# mkdir -p /usr/java/
# cd /usr/java/
# tar zxvf /tmp/jre-8u60-linux-x64.tar.gz
# mkdir -p /usr/lib64/mozilla/plugins
# cd /usr/lib64/mozilla/plugins
# ln -s /usr/java/jre1.8.0_60/lib/amd64/libnpjp2.so

Firefox のアドオン( [Ctrl]+[Shift]+[A] ) からJava Plugins を有効にします。

Fujitsu のサイトPRIMERGY(プライマジー) > ダウンロード検索 : 富士通 から、ServerView RAID Manager をダウンロード、RHEL6 – PYT10PT3S – F1020222.exe ( 238050542 bytes ) 展開

# rpm -ivh (ファイルパス)/ServerView_RAID-6.1-4.el6.x86_64.rpm

してインストール完了、ブラウザから表示できました。

ServerViewRAIDManager

 

 

raidmanager

ServerView RAID Manager ユーザーズガイド(Fujitsu PDF)

通信障害のお詫び

昨日の夜から、ieServer(Dynamic DnsService) のDiCE の設定中、システムの世界時計の同期に失敗してルーターのntpポート開放が必要になりました。ルーターを再起動してIPが変わったのでDNS への登録に手間取り、BIND、レジストラのDNSテーブルの更新、DiCE設定に時間が掛かりました。この時間、閲覧していた方にはご迷惑をおかけしました。お詫びします。

Linux コマンド、ショートカット集

 

vi_etc_hosts_deny

UNIX系OSのコマンドやファイル操作を行う端末、vi(ヴイアイ)エディタの良く使うコマンド、ショートカットを集めてみました。

ファイルを開く vi ファイル名
コマンドモード
[Insert] キー ↓ ↑ [esc] キー
挿入モード
insert_etc_hosts_deny

コマンドモード[esc] で

先頭行に移動する gg
最下行に移動する G
カーソルの1文字削除 x
カーソル行の1行切取り dd
カーソル行の1行コピー yy
カーソル行下に貼付け p
ファイルを閉じる :q
ファイルを保存する :w
エディタを閉じる exit

応用編
ファイルを上書き保存して閉じる:wq
ファイルを強制的に閉じる:q!
ファイルを強制的に保存:w!
カーソル行から3行切り取り 3dd
カーソル行から3行コピー 3yy
カーソル行にキャッシュを貼付け p
ファイルを名前を付けて保存 :w sample.conf

上級編
行番号を表示したいときには? :set nu
行番号を非表示にするには? :set nonu
直前の操作を取り消す(アンドゥ) u
直前の操作を再実行する(リドゥ) .
特定の文字列を検索するには? /文字列 (次の候補 n 前の候補 N )

Xウィンドウでの操作は、OS共通のショートカットがあり、例えば
エクスプローラの窓を閉じるには、[Ctrl]+[W] (すべて閉じるには、[Ctrl]+[Q] )

Ctrl+Q

Alt+Space
[Alt]+[Space] で、[左上隅のアイコン右クリック]の表示メニューから [C] (閉じる) が選べます。

Linux では仮想コンソールといって別プロセスで端末操作が出来るショートカットがあり、CentOS6 では
[Ctrl]+[Alt]+[F1]
[Ctrl]+[Alt]+[F2]
[Ctrl]+[Alt]+[F3]
[Ctrl]+[Alt]+[F4]
[Ctrl]+[Alt]+[F5]
[Ctrl]+[Alt]+[F6]  に割り当てられています。Xウィンドウに戻るには、[Alt]+[F1] です。

仮想コンソールを無効にするには、/etc/sysconfig/init のACTIVE_CONSOLES=/dev/tty[1-6] を、

ACTIVE_CONSOLES=/dev/tty1

に変更保存して再起動です。

pam によるSSHのIP制限

以前、 HOSTSファイルによるSSHのIP制限 をエントリーしましたが、TCP Wrapper を通るサービス自体が減っており、libwrap ライブラリを利用するサービスは現在、SSH, PostFix 位しかありません。 ldd /usr/sbin/sshd | grep libwrap コマンドでHOSTSファイルが利用できるかどうか、確認が出来ます。しかし今回は、pam(Pluggable Authentication Module)によるSSH のIP 制限の方法をご紹介します。

ユーザ、アクセス元IPアドレスでsshの接続制限をする

詳しい設定は、OpenSSH – IP制限かつユーザの制限を同時に行う – Qiita にありますが、とりあえずローカルネットのユーザーのみに制限する方法として、

/etc/pam.d/sshd

#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    required     pam_access.so (新規追加
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth

/etc/ssh/sshd_config

UsePAM yes

/etc/security/access.conf

- : gusachan : ALL EXCEPT 192.168.0.0/24
# service sshd restart

pam には他にもroot になれるスーパーユーザーをWheel グループのみに制限する、 /etc/pam.d./su もありますね。

auth  required pam_wheel.so use_uid (コメントアウト

参考:http://fnya.cocolog-nifty.com/blog/2012/03/centos-6aa8.html