08/12/15 20:38:06 mmSqVqei.net
今日の戦果
[ 15.196640] BUG: unable to handle kernel NULL pointer dereference at 0000000000000000
[ 15.196779] IP: [<ffffffff803a9afa>] vsnprintf+0x4a/0x860
[ 15.196871] PGD 3798e067 PUD 7e1c0067 PMD 0
[ 15.197032] Oops: 0000 [1] SMP
[ 15.197154] CPU 0
==
[ 15.200006] RIP: 0010:[<ffffffff803a9afa>] [<ffffffff803a9afa>] vsnprintf+0x4a/0x860
[ 15.200006] RSP: 0018:ffff88007cd17978 EFLAGS: 00010286
[ 15.200006] RAX: 0000000000000014 RBX: 0000000000000000 RCX: ffff88007cd17b38
[ 15.200006] RDX: 0000000000000000 RSI: 0000000000000014 RDI: ffff88007c5c4930
[ 15.200006] RBP: ffff88007cd17ad8 R08: ffff88007cd17b38 R09: ffff88007c5c4800
[ 15.200006] R10: ffff88007cd17b38 R11: ffff88007c5c4944 R12: fffffffffffffff4
[ 15.200006] R13: ffff88007d885720 R14: 0000000000000000 R15: ffff88007f099080
[ 15.200006] FS: 00007f066dae36e0(0000) GS:ffffffff806e1a80(0000) knlGS:0000000000000000
[ 15.200006] CS: 0010 DS: 0000 ES: 0000 CR0: 000000008005003b
[ 15.200006] CR2: 0000000000000000 CR3: 000000007bc89000 CR4: 00000000000006e0
[ 15.200006] DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000
[ 15.200006] DR3: 0000000000000000 DR6: 00000000ffff0ff0 DR7: 0000000000000400
[ 15.200006] Process modprobe (pid: 2591, threadinfo ffff88007cd16000, task ffff88007f0c8000)
[ 15.200006] Stack: ffff880000001800 ffff880000001800 ffffffffa023f058 0000000000000010
[ 15.200006] ffff88007f0c8000 0000000000000014 ffff88007c5c4930 ffffffff806dde60
[ 15.200006] ffff88007cd17a58 ffffffff802b2923 0000000000000000 0000108000001000
317:カミナリ桃 ◆hzkudVaLnM
08/12/15 22:32:20 Cpp2kz+a.net
>>305
カーネルがヌルポ?
デュアルコアor複数CPUを使ってるのかーウラヤマシス
うちはAthlon64 3500+を使ってまだまだ大活躍中だけど、正直smpは羨ましい。
318:305
08/12/16 18:21:06 NkV3Ulye.net
雷さんこんちは
これはhpのml115っていうめちゃ安PCだよ
CPUは同じだね AMD Athlon(tm) 64 Processor 3500+ だって
シングルコアだけどカーネルはsmpみたいだね、うぶんつのaptで勝手にはいったやつ
Creativeのsb5.1vxっていうサウンドカード挿してあるんだけど
これがLinuxで音が出ないのね
で、不確実情報↓
URLリンク(mailman.alsa-project.org)
をもとにalsaのカーネルモジュールつくりなおしてみたのです
modprobeした瞬間に>>305 情報はガセでしたw
でもカーネルパニックまではいかないからすごいもんだ
319:[ 【豚】 ][ 【835円】 ]カミナリ桃 ◆hzkudVaLnM
09/01/01 13:58:19 t6UTeabT.net
あけおめことよろ~
320:カミナリ桃 ◆hzkudVaLnM
09/04/08 00:29:39 A70JvIU2.net
このスレ、もしかしてぬるぽしても三ヶ月くらいガッされないんじゃ…
321:login:Penguin
09/04/09 18:53:06 Ipcum0He.net
( ・∀・) | | ガッ
と ) | |
Y /ノ 人
/ ) < >__Λ∩
_/し' //. V`Д´)/ ←>>309
(_フ彡 /
322:login:Penguin
09/05/02 22:29:57 DOUchnQz.net
nullpo
323:login:Penguin
09/05/02 23:36:57 dWQDFkfT.net
ガッ
324:login:Penguin
09/05/16 01:14:57 a0hfePOt.net
このスレもう2年過ぎてるんだね。。。
325:login:Penguin
09/06/15 05:12:06 68jFyLAK.net
スチャラカ法学生はもうターボや大学を卒業できたのだろうか?
326:login:Penguin
09/08/20 09:25:44 Y4pD47Nk.net
暑いのでコーラでも買ってこようかと思う。
327:login:Penguin
09/09/09 20:17:35 Wi7mir8C.net
「古いマシンでも動く」と言う時の「古い」というのを明確にしないといけないよなぁ
「古いマシンでもサクサク動く動いて現役復帰!」と聞いてまず飛びつく層はWindows95の時代にパソコンを買い、ある程度パソコンの知識も持ち合わせている層で、
この時期のパソコンをネットクライアントとして有効活用したいと思っている人が多そうだからこの時期の機種でGUIがサクサク動いてWebもまぁまぁ見られることが条件だと思う。
なのにこの時期の機種でサクサク動くディストリの少ないこと少ないこと。
そんな虚偽広告・誇大広告してまでユーザーを増やしたいのかね。こすかー。
もはや「古いマシン」の「古い」はPentium II 300MHz以降(下手すればPentium III)を指してるよなぁ
でもよく考えたらその時期のマシンも10年くらいになる訳か...仕方ないのかもな
328:login:Penguin
09/09/10 15:21:51 kI6it0ez.net
>>316
「古いPC」は3~5年前のPC。
メーカーの長期保証も切れたものは「古いPC」ではなく、ただの「産業廃棄物」。
329:login:Penguin
09/09/10 23:26:49 Rmz7L8s5.net
>>317
その自分定義を通したいと思った意図は?
330:login:Penguin
09/09/11 06:07:46 3Uf4UvU6.net
>>317
もったいない
331:login:Penguin
09/09/11 22:41:34 FKsE3m1r.net
最近ネットオクを眺めてるとPentium4マシンが多くて、
Netburst嫌いだった自分にはなんか嫌な時代だ。
WinXPモデルという意味合いにもなるが、今時GUI使ったlinuxのほうが
よほどXPよりも重いしね。
つまりXPモデルといえども中古PCではlinux使うには向いてない。
332:login:Penguin
09/09/12 01:54:10 OUzbKLR5.net
>>320
お前Xなんて使ってんの?w
333:login:Penguin
09/09/12 02:13:33 YjS0xBaK.net
苦しいな
お前Linuxなんて使ってんの?w
と書くとこのスレに居る意味がなくなるし
334:login:Penguin
09/09/12 15:17:29 HyKKvb9l.net
2009年9月12日土曜日。今日は雨だった。
335:login:Penguin
09/09/13 00:48:46 TkNsV3qb.net
雨。肌寒い。
人々は半そでに腕を通し、まるで季節外れの格好をしているのだ。
彼らは寒さを我慢している。
一方で12月には、たとえ今日よりも暖かい
336:日だったとしても、 半そでを着ている人間があれば、季節外れだと馬鹿にするだろう。 彼らは実際の感覚に対しては無頓着なのである。 これは日本人の気質であろうか。 さて、 会社が休みなので、リナックス機の電源スイッチを切った。 シルバーウィークも忘れずにスイッチを切っておこう。 無駄に電気が消費されてしまわないように。 おやすみ
337:login:Penguin
09/09/13 02:51:03 +0N6VREF.net
2009年9月13日日曜日。
今週も結局大好きな>>324に告白できなかった。
切なくて、肛門がうずく。
338:login:Penguin
09/09/13 05:10:59 KsorlEve.net
>>325
しぬまで一人で生きろ
339:login:Penguin
09/09/17 04:18:55 dS6DQN6A.net
何年か前ネット上で「おまえファイルサーバーなんて233MHzもあれば十分」
などと言われた事があったが、本当だろうかと疑問に思ってる。
先日Windowsファイルサーバー内のファイル属性の変更をクライアント(Pen4 2.4BGHz)で
行ったら40%ぐらい延々とリソースを食われた。
100GB程度を100Base-TXでだったので時間食われた。
でもサーバー側はPentium Dual Core2.5GHzだからわかんないな。
どっちのリソースが食われるのが本来の姿なんだろ?
340:login:Penguin
09/09/17 07:14:07 rxsPjk78.net
純正のUNIXでNFS使ってファイルの属性変更するだけならそんなに負荷かかんない
単にWindowsがゴミってだけ
341:login:Penguin
09/09/17 07:26:57 qe5HrENo.net
>>327
属性の変更にクライアントのCPUを使うと思うか
342:login:Penguin
09/09/18 09:18:15 9mbiK+m9.net
>>329
思わない。だから不思議だった。
343:login:Penguin
09/09/19 21:40:10 q3oXjI2O.net
sexするとき、正常位で腰振り始めると何故かオナラがボワっと出る癖が
ついてしまって恥ずかしいんだけど俺だけ?
344:login:Penguin
09/09/20 19:46:13 5eMcfSmT.net
Lenovoのオンラインショッピングは送料無料とは知らなかった。。。
Amazonでうっかりトラックポイント買わなくて正解だったよ
345:login:Penguin
09/09/20 21:15:54 fXYAksjZ.net
トラックポイントって何?と思ってググってみた。
初めて知ったよ。
まぁノートPC買う金なんてないから関係ないんだけどさ。
346:login:Penguin
09/09/21 01:54:00 YXkTIVp6.net
>>332
s/トラックポイント/トラックポイントキャップ/
347:login:Penguin
09/09/21 08:13:10 9q2aeNv/.net
s/トラックポイントキャップ/乳首/
348:login:Penguin
09/09/21 12:32:11 UXu7YOkm.net
s/乳首/犬の鼻の頭/
349:332
09/10/01 17:52:51 +0kMEMOn.net
今日やっと届いたよ
キャップ交換するだけでだいぶ操作性が違うな
リムポイントのカーソル移動がなんか楽しい
350: ◆2bmoujqRHk
09/10/08 21:18:21 Ld7nvR3q.net
test
351:login:Penguin
09/10/13 19:03:24 U46Qid0P.net
トラックポイントキャップ ってIBMサービスだと数百円だったのか。
352:login:Penguin
09/10/13 19:08:14 U46Qid0P.net
$xev
$xmodmap -pke
で
$xmodmap -e "keycode 51 = bracketright braceright"
[]{}。うーし。
353:login:Penguin
09/10/14 05:17:20 YU8dBjJr.net
Fdisk /MBR
C:Format
354:login:Penguin
09/10/14 23:31:10 I6YosxOG.net
$dmidecode && ethtool -i <dev>
355:login:Penguin
09/11/02 13:49:37 evyAuQmR.net
URLリンク(www.lc-net.net)
356: ◆H2WY2fPeF.
09/11/08 20:54:33 BKt/7Ez3.net
test
357:login:Penguin
09/11/27 21:38:18 +u2tE1BU.net
・自分に何かしら不幸な出来事が起きたとき、落ち込んでしまうのは仕方のない話。ショックが大きいほど、
人前に姿をさらすのも苦痛になるものだが、そういうときの行動こそ、人間の大きさが見えるものかもしれない。
米シカゴに住む34歳のティアン・ハリスさんは、 10月31日に幸せな花嫁となる予定が、6日前になって相手の
男性から突然結婚の中止を告げられてしまった。式直前でのまさかの事態だが、さらなる追い打ちを
かけられてしまう。慌てて母親と一緒にパーティー会場にキャンセルを申し出ると、もう返金は不可能と
言われたそう。駐車場に座り込み落ち込むハリスさんと、なす術もなく見守る母親。そのとき、向かいに
あった老人ホームを目にして良いことを思いついた。
どうせ無駄にするならと、2人は向かいの老人ホームの人たちとパーティーを開こうと決断する。
「寄付をしたい」とハリスさんが飛び込んだ老人ホームの施設長は、「彼女はここにいる誰も知らないだろうし、
そんなオファーも受けたことない」(米紙ニューヨーク・デイリーニュースより)と驚いた。かくして、ハリスさんの結婚パーティーは、
老人ホームのハロウィンパーティーへと変更。お年寄りたちも、思いもよらぬイベントを大いに喜んだという。
300人近いお年寄りは思い思いに仮装して、ダンスに興じた。あるお年寄りは「とても楽しい時間だった」
(米放送局CBSより)と語り、老人ホームに素敵なひとときをもたらしたハリスさんに感謝している。施設長も
「彼女はどこからともなくやってきて、私たちに美しいパーティーを与えてくれた天使」とハリスさんを讃えた。
会場の傍らでお年寄りの笑顔を見て満足したというハリスさんだが、本当なら自分が主役になるはず
だったパーティーにやはり心境は複雑だったよう。母親も「会場で、皆さんの前にいるのが娘だったら
よかった」と無念さを語り、施設長も「彼女は落ち込んでいたと思う」とハリスさんの心中を慮った。
しかし、そうした中でもお年寄りたちに幸せな時間を与えたハリスさんの人柄に、施設長は「神は彼女を祝福し、
きっとほかに良い人を見つけられる」と太鼓判を押す。
ハリスさんは11月2日に、新婚旅行となるはずだったハワイへ1人で旅立ったそう。花嫁になり損ねてしまった
ハリスさんだが、彼女が取った決断が多くの人に幸せを与えただけでなく、少なからず自分への励みに
なったことを願いたい。(抜粋)
URLリンク(www.narinari.com)
358:login:Penguin
10/01/03 14:16:03 eya3xnd4.net
うにゅー。。。
仕事行きたくないクマー。
359:login:Penguin
10/01/17 23:05:14 Y4ru2eYG.net
JWMでフォルダ移動したときにウィンドウサイズをリサイズさせないようにしたいんだがどこを設定すればいいのかわからん、ちくしょう
360:login:Penguin
10/01/18 00:02:58 tof3HZmP.net
JWMでなくてROXファイラのオプションでか!
361:カミナリ桃 ◆hzkudVaLnM
10/01/18 14:45:33 n2CSo1zI.net
ただいまー。
やっぱりvim便利だわ。
何よりWindows版の環境を�
362:ョえるのがEmacsより楽っす。>< スニペット素敵だよスニペット。
363:login:Penguin
10/01/24 07:56:17 0dJ72FJB.net
udpのステートフル性について。ググってみると、
「udpもステートフル性は確認できるよ」と「udpは確認できないからその都度ルールを書け」の両方がある^^;
サーバ管理者養成講座のようなサイトも同様、両方ある。どっちよ?
で、実験。全てのルールをクリア。デフォルトルールを全てDROPへ。ループパックだけを許可した状態から
iptables -A OUTPUT -o eth0 -p udp -d (NTPサーバアドレス) --dport 123 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
の2つを実行しただけで、ntpdate (NTPサーバアドレス) で時計合わせが出来た。
iptables -A INPUT -i eth0 -p udp -s (NTPサーバアドレス) --sport 123 -j ACCEPT
を実行する必要はなかった。
もちろん
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
を実行しなかったり
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
と -p tcp を加えるとNTPサーバからの返答は許可されない。
念のため
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
と -p udp を加えた場合はNTPサーバからの返答が許可された。
OUTPUTは
iptables -A OUTPUT -o eth0 -p udp -m state --state NEW -d (NTPサーバアドレス) --dport 123 -j ACCEPT
と -m state --state NEW を加えてもok
てことは、「"-m state --state NEW,ESTABLISHED,RELATED"はudpでも使える」でいいのかな(´・ω・`)
それともntpはいいけど○○はダメとかあるのかな。
まぁ、ダメなら直せばいいや。とりあえずステートフルでいこう。
364:login:Penguin
10/01/25 07:23:30 XK/IoVvO.net
Debianではiptablesの設定スクリプト(iptables-upとする)は/etc/network/if-pre-up.d/に置けばいいのか。
すると、必ずネットワークが起動する前に実行されると。それはいい!
でも、ホスト名を書くと、ネットワーク起動前で名前解決が出来ずにエラーが出る。別にいいか。
で、スクリプトを書き換えて、反映させようと/etc/init.d/networking restart を実行。
だけど、/etc/network/if-pre-up.d/iptables-up は反映されない。
それどころか、ifconfig をすると、複数あった eth が全部ない。lo 以外消えている。
ああっそうか!。 /etc/network/interfaces での
"auto <interface_name>" と "allow-hotplug <interface_name>" の違いが出るんだ。
で、実験。消えてしまった後、
ifup eth0 なら /etc/network/if-pre-up.d/iptables-up は反映されるが、
ifconfig eth0 up では反映されない。
さらに、/etc/init.d/networking restart で lo 以外 ifconfig から消えた後、
ifconfig eth0 up と ifup eth0 では違いが出る。
もう一度 /etc/init.d/networking restart をすると、後者だけ ifconfig から消える。
つまり、 ifconfig で up すると、/etc/network/interfaces 中で "allow-hotplug <interface_name>"であっても、
その後は /etc/init.d/networking restart で消えなくなる。
なんとなくLinuxに興味をもって、Debian lennyを弄り始めたんだけど、いろいろ複雑。
でも、面白い。
普段から使っている人には、こんなの常識なんだろうな。
精進しよう。つーことで日記はここまで。
365:login:Penguin
10/01/28 01:57:39 tj3jgFYi.net
22時に就寝して、先ほど小便に起きて、今ここをチェックしたところ。
また寝る。
366:login:Penguin
10/01/29 19:43:52 NX+WGxBU.net
( ゚д゚)
_(__つ/ ̄ ̄ ̄/_
\/ /
 ̄ ̄ ̄
( ゚д゚ )
_(__つ/ ̄ ̄ ̄/_
\/ /
 ̄ ̄ ̄
367:login:Penguin
10/02/05 03:39:02 a+l1qKDo.net
すごい!「窓の手」の作者が再び新しい判の開発に着手!
368:login:Penguin
10/02/05 07:10:29 5Ey84pav.net
こん○○は。「窓の手」の作者の猪川です。
まず皆さんにお詫びしなければなりません。
2004年春に公開した窓の手2004以降、本業が急に多忙になり�
369:i所謂IT業界の3Kを 5年ぐらい体感してました)開発が事実上停止してしまい、窓の手ファンの皆様には 本当に申し訳なく思っております。実はWindows Vistaが発売された頃、新バージョンの 開発を再開したのですが、Vistaのあまりにもひどい完成度に落胆し、開発再開の モチベーションが喪失ことを思い出します。すいません、ちょっと言い訳ですね。 ここにきて、リーマンクライシスで世界中が不景気になり、民主党政権に変わったことで この不景気はまだ数年は続きそうです。そのおかげでプライベートの時間を以前より 確保出来そうな気がしていますので、Windows7対応版の開発を着手しました。 開発スピードは遅いと思いますが、今年中の正式対応版公開を目指していきたいと 考えております。
370:login:Penguin
10/02/17 08:03:03 dfkfP/wW.net
Linuxとは、しばしのお別れ。
先日のこと。syslogをsyslog-ngへ切換えて、iptablesのログを分離したまでは良かった。
だが、「syslog-ngにしたのだから、実行ユーザもroot以外にしたい」と、欲を出したら…。
I/O error occurred while reading; fd='4',error='Operation not permited (1)'
エラーの原因はすぐ分かったが、一般ユーザが/proc/kmsgを読む方法なんて知らんがな(´・ω・`)
chmodが使えないファイルにどう対処するか。Linux歴1.5ヶ月の私には見当もつかない。
めげずにググると、英語のページは結構ヒットする。
英語も苦手なんで、珍妙な機械翻訳と原文とを見比べつつ、何とか以下の解決策にたどり着いた。
「名前付パイプにddコマンドを使ってコピーしろ」
名前付?なにそれ?ではあったが、ネットで調べつつやってみた。
おおっ、カーネルメッセージが取り出せる。所有者の変更も出来る。これならいけるかも。
目処が付いたので、一旦休憩。
しかし、休憩から戻ると、HDDから異音が('A`)
371:login:Penguin
10/02/25 16:52:53 z3ks9xgP.net
こうして一切のエロデータを失い、再起不能に陥った>>356であった。
372:login:Penguin
10/02/28 18:32:38 3JqL49p1.net
様式美どうも^^
それはさておき、復活。
syslog-ngもユーザ権限で動作し、書けないログもなくなった。
ん~、でもこれからはrsyslogの時代?
syslog-ngを導入した理由は単純で、分別方法をググった時に、単にsyslog-ngを先に知ったというだけの話。
一番の目的はiptablesのログを分離することだった。
debugレベルにするやり方では満足できなかったから。
んで、syslog-ng導入後にrsyslogを知り、lennyは最初からrsyslogだったことにも後で気付いたと。てへ。
ちょっと調べた限りだと、分離に関しては出来そう。
私の場合だと、:msg, startswith, "IPTABLES "~みたいな感じになるのかなぁ?
まだ全然試してないけど、もし出来るんだったらrsyslogに戻せばいいや。
373:login:Penguin
10/03/03 01:03:54 BcThHqL1.net
"startswith"よりも"contains"かな。
バージョンにも気をつける必要があるみたい。
と、書き込みテスト。
374:login:Penguin
10/03/07 02:41:13 9O95aF7i.net
Ubuntuで時計がずれまくる問題が解決できないので
9.10特有の問題なのかあるいはUbuntuまたはLinux全般の問題なのか検証するために
8.04と9.04を入れてみた。
#9.10から電源管理がdevicekit-powerに変更されたのが原因かも?
375:358
10/03/09 22:31:48 oscqMtm8.net
iptablesのログの分離だけど、rsyslogの場合、
/etc/rsyslog.d/iptables.conf を作って、その中に
:msg, contains, "IPTABLES " -/var/log/iptables.log
& ~
と、書くだけだった(--log-prefix "[IPTABLES ~と、してあるので)。
とりあえずは、これで上手くいっているみたい。暫く様子を見よう。
syslog-ngの存在を知ったときに、「これだ!」と飛びつかずに、もっとよく調べるべきだった。
勉強になったから良しとしておこう。
376:login:Penguin
10/03/19 09:07:36 ox6REuqO.net
横から参考にさせてもらった。ありがと。>>358
377:login:Penguin
10/03/27 00:56:18 lkSbjWX4.net
Matrox M9188をLinuxで動かしてみた
鳥はCentOS5.4とFedora12。どちらもx86_64。
Xが上がるタイミングでカーネルがゲロ吐いて死亡。
xorg.confにカーネルモジュールを読み込まない設定を追加したら
とりあえずXは上がった。
M9188は8面出力だけど、内部では4面+4面で管理してるようで、
Linuxでは最初の4面分しか認識できない。また2枚挿ししても
2枚目のカードの情報はまったく認識しない。
ちなみにWindows7(64bit)では2枚挿しもOKだった。
3枚目を挿したら、1枚しか認識しなかった。
378:login:Penguin
10/03/27 13:50:07 plfpG2vK.net
>>363
自作板の的スレにでも書き込んだ方が良いかも
379:Σ凸(・д・)てふてふ ◆1xsES22i66
10/03/28 09:57:50 8PVy3mWv.net
あそこの人たちはWin使いの普通のひとでつ
380:login:Penguin
10/03/29 00:12:21 Id7OMS+X.net
これまではブロードバンドルータの内側で設定を行ってきたが、iptablesのルールをつめるために、
連休から一週間、日中だけだが外に出した(ブロードバンドルータと置き換え)。
次々と特権ポートを突っつかれるかとも思っていたが、期間が短いこともあってか、それほどではなかった。
とはいえ、22番ポート等に繋ごうとする輩はいて、そのIPはアジアばっかり(特に支那)。
なので、krfilterを参考に、日本のIP以外を弾くルールを追加した。
apnicとarinに無い日本のIPは、どこで調べたらいいのか分かってないので、とりあえず無視^^;
RSTフラグだけが立ったパケットを使っての、DPTが上がっていく、いかにもなポートスキャンもちらほら。
なかにはプライベートアドレスが発信元のものもあった。まぁ、スキャンされても「別に」だけど。
それに、繋ごうとする輩はスキャンなどせず、いきなり繋いでくるだろうし。
プライベートアドレスを発信元にしたものは、何故か 192.168.1.2X が多かった。
たまたまなのか、慣習なのか?
クラスAはごく僅か。クラスBは見かけなかった。
state NEW なのに syn ではないものに関しては、ほとんどが自分がらみだった。
Lan側のWindowsマシンが、特にウェブを巡回しているときに、時々だが出している。
381:同様に相手のウェブサーバからも時々来ている。 iptablesチュートリアルに書いてある通りだった。やれやれ('A`) ともかく、得られた結果を参考にして、ルールの見直しをしていこう。 これを何度か繰り返したら、いつかは建てたい自宅鯖に必要なポートを開けてみようと思う。 P.S. rsyslogでのlogの分離は361のやり方で問題ないようだ。 内容別に、もう少し細かく分離しても良さそう。 ログを見るのに併用しているlogwatchの設定を変えないといけなくなるだろうけど。
382:login:Penguin
10/03/29 00:39:31 zHM34n+x.net
>>366
そのオナニーの時間を使って何か有意義なことが出来なかったのか。
383:\______________/
10/03/29 08:18:37 w6xulEv3.net
)ノ
._____彡 サッ
∧_∧ |//∧,,_∧ ||_∧
< > |/ <`Д´#>||ω-` )
( つ | ( ⊂ ) ||⊂ )
u―u'  ̄ ̄ ̄ ̄ ( ̄(_⊃
384:login:Penguin
10/03/29 12:07:27 5AbRa0yr.net
わたしは楽しく読ませてもらってる.不満は無いな.
385:login:Penguin
10/03/29 12:12:53 zLGAUKSt.net
同意。だいたいここはオナニースレなんだから
386:login:Penguin
10/05/08 06:57:22 RtN8shoT.net
あなたは もう 知ってるかしら
荒井注が 神田川
387:login:Penguin
10/05/08 20:34:20 pUW4TBVS.net
おかしなくすりをつーかうー
さかいーのりーぴぃーーー
388:デムパゆんゆん@私はCIAの工作員
10/05/08 21:00:39 d9LpXhVn.net
のりぴは本当に世紀の悪女だったな
中国台湾のファンもそんなはずない! 捏造だ!とか言っててわろた
389:login:Penguin
10/05/18 20:18:44 8++RsBPp.net
>>371,372,373
○ナニー以下だな, もっとふさわしい場所に行きなさい.
390:login:Penguin
10/05/20 21:48:12 5LLvfIgx.net
今日gpartedのstable版LiveCDをDLしてNTFSリサイズしたらマウントできなくなった。
誤ったセクタ数を書いてしまうバグだったみたいでパーティションの先頭セクタを
無理やり書き換えないと復旧出来なかった。超ビックリ。
391:login:Penguin
10/06/06 23:57:31 v1FRto2C.net
外部に対して開いたポートのない自作ルータを約2ヶ月間試験稼働した際の
iptablesのDROPログ日記(ログを見る練習をしたついでの産物)。
ポート番号別に外部からのアクセス数を調べると、DPT=22が圧倒的に多い[注]。
国別だと、中国(43%)・南朝鮮(11%)・アメリカ(10%)の順。
ホスト名が分かったのは、中国が7%で、南朝鮮はたったの1件。分かる方が珍しい。
これがアメリカなら、70%以上分かる。
もっとも、IPアドレスが偽装されていない保証はなく、偽装を見抜く技量も無い。
開いたポートがあれば、結果も違ってくるだろうとも思う。
[注]・短時間に連続してログに残っても、それは1件と数えている。
連続してログに残るものと1回だけのものを同じように数えるのは変かもしれないけど。
・DPT=22は約300件。
・国の分類はapnicと同じ(香港や台湾は中国とは別に集計)。
・同じIPアドレスが日を変えて繰り返し来ることは、ほとんど無かった。3回以上が6つで、最大6回。
はっきりとした規則性が見られたのは1つ。3
392:日に1回。ただし、2週間ほどで見かけなくなった。 ・DPT=22の次に多いDPT=25は、DPT=22の1/15程度(南朝鮮が多い)。 ・SPT=80で様々なポートにアクセスしてくるのは、アメリカと中国(何故か他の国を見かけない)。
393:login:Penguin
10/07/20 23:23:51 C70qBcSK.net
LMMSはすごい
気に入った
394:ヽ(´▽`)ノ
10/08/04 23:19:46 3uJNGd4T.net
いらないノートパソコンあげるってスレで、古いノートPC見てたら、
Linux入れて再生したいという浪漫が沸々と湧いてきて、でも〆切過ぎちゃったってなって、
でも諦めきれずにLinux板覗いてたら、現行のG550でubuntuがプリインストールのように動くとの情報があり、
おもわずiYHしてしまった。
ubuntu 10.04 LTS、インストール完了。
無線LANの設定は最初有線で対応ドライバ落とす事から始まる。無線LAN、OK!
輝度の調整がキーボードで出来なくなったが、>>194で、完了!
ubuntu入れて10年使うというのが今回の目標。
Win7も生かしてあるんで、Winの勉強もする。Win7は2015年1月13日まで使える。
パーティションも55GBづつubuntuと半分こ。
古いMacに入れるのとは雲泥の差。今回は使い物になる予感がする。
395:ヽ(´▽`)ノ
10/09/16 23:31:40 wJhlH3Ch.net
~師範、Ubuntu10.10の特徴を教えてください!~
URLリンク(ascii.jp)
Ubuntuマガジンは3ヶ月に1度出すらしい。
前号は買ってあるがまだ見る暇がない。
WineでIDマネージャー(Win用ソフト)を動かしたい最近の希望。
396:login:Penguin
10/09/26 00:05:47 rMQd4TkY.net
Salixにi3関連プログラムのi3lock 2.0をインストール中。
あえて一言で言おう。Salixにi3lockは危険だ。依存関係地獄だぜヒャーハー!
cairo-xcbねえ、pamもねえ。レポジトリにもねえ。野良ビルド。どうしろと。
それより俺はなんでpng画像表示できるだけのスクリーンロッカーごときに
本気になって依存関係解決しているんだ
...dwmのサイトから落とせるslockでいいじゃないか。orz
397:カミナリ桃 ◆hzkudVaLnM
10/11/23 01:04:02 BTRqYlfH.net
さくらのVPSでubuntuインスコ。Web鯖として動かす。
セキュリティが気になって仕方がない。
公開鯖でiptableだけはさすがに怖い。
何かしら入れてみたいが最近のLinuxセキュリティ事情がよくわからない。
tripwireとかsnortとか現役なのだろうか?
398:login:Penguin
10/11/23 01:24:45 LH/DQNd7.net
iptable 以外にも最低 host 制御と不要なサービスを止めることはすべきだよ
tripwire は現役だと思うけど頻繁にアップデートするなら結構面倒だと思う
近年頻繁にアップデートが主流だからあまり流行らんのかな
サーバで最低限しかアップデートしないなら悪くないと思う
一方面倒だから必要なアップデートしなくなるならかえってまずい
399:カミナリ桃@携帯
10/11/26 00:12:56 PnqJ5ZLh.net
382さんありがとーo(><)o
色々書きたいが規制中でパソコンから書き込めない件orz
メモ用に増田にでも書くか…
400:login:Penguin
10/11/28 18:09:01 YUjRBeae.net
おお、このスレ未だ機能してたんだ!
どのコテハンも応援
401:してるよ!
402:カミナリ桃 ◆hzkudVaLnM
10/11/30 22:12:47 BusF+RxR.net
規制解除ktkr!
やっと日記書き込めるよ~(つд`)
>>383
Linux板の平均スレ寿命が長いおかげでこのスレも長生きっす><
突発的にメモりたいネタが出来たら、是非フラッと書き込みに来て下さい~ノシ
403:カミナリ桃 ◆hzkudVaLnM
10/12/03 13:35:30 giMJF3zU.net
# tripwireメモ
sudo aptitude safe-upgradeしたら以下を実行する
$ sudo tripwire -m i
ルールの修正をした場合は以下を実行する
$ sudo twadmin -m P -S site.key twpol.txt
$ sudo tripwire -m i
# 実行前に怪しいログが無いか確認しておくこと
404:カミナリ桃 ◆hzkudVaLnM
10/12/04 15:02:23 7wxOLZZU.net
Apacheで公開してるディレクトリなどをtripwireでチェックするようにしてみた。
以下適当に作ってみたルール。
# apache log
(
rulename = "Apache log",
severity = $(SIG_HI)
)
{
/home/www/log -> $(SEC_LOG) ;
}
# public directory
(
rulename = "hoge site",
severity = $(SIG_HI)
)
{
/home/www/hoge_site -> $(SEC_BIN) ;
!/homo/www/hoge_site/sitemap.xml;
!/homo/www/hoge_site/sitemap.xml.gz;
!/homo/www/hoge_site/wp-content;
}
405:カミナリ桃 ◆hzkudVaLnM
10/12/04 15:18:07 7wxOLZZU.net
↑のhoge_siteにはwordpressをぶっ込んでます。
で、ここで色々と問題が。
1.うまいこと無視できない
wp-contentディレクトリは写真のアップロードなどで構成がしょっちゅう変化するため、
wp-content以下全部を無視したいが、上記の書き方で無視してくれなくて涙目…orz
2.ルールの指定が微妙…?
hoge_siteに指定している$(SEC_BIN)のルール、これって実は微妙な気がする。
$SEC_CRIT( $(IgnoreNone)-SHaのこと)を使った方が良いんじゃね?
そのほかtripwireで気になってることとして…
3./var/log以下のルールをどうしたものか…
/var/logがデフォルト設定だと$(SEC_CONFIG)で指定してるが、これでいいのかどうか…
logrotetoされてるおかげでしょっちゅう変化あるし、$(SEC_LOG)は無理。
そうするとやはり$(SEC_CONFIG)が妥当だろうか…
まぁこの件はゆっくり考えよう。
他のセキュリティ、特にapparmorをぶっ込みたい。
あれをapacheの各公開ディレクトリ毎にかけることが出来れば、
ゼロデイアタック防止に相当役に立つのだが。
しかし日本語文献が少ないorz
頑張って英語文献を当たらねば…
406:カミナリ桃 ◆hzkudVaLnM
10/12/06 01:41:23 B2JdjiML.net
Ubuntuで公開サーバやってる人のメモが役に立ちそうなので記録に残してみる。
荒巻サーバーの構築 - labs.scaltinof.net
URLリンク(labs.scaltinof.net)
内容
・セットアップ時における種々のセキュリティ設定に関する記録が多め
・AppArmor+WordPressな構成について参考になりそう
荒巻サーバって一体…
407:カミナリ桃 ◆hzkudVaLnM
10/12/07 01:27:43 nL6stT2T.net
apparmor+apacheがうまくいかねぇorz
英語で↓こんなことを言われるよ…
| ̄``''- 、
| `゙''ー- 、 ________
| ,. -‐ ''´ ̄ ̄`ヽ、_ /
|, - '´ ̄ `ヽ、 /
/ `ヽ、ヽ /
_/ ヽヽ/
/ / / / / / ヽハ
く / /! | 〃 _/__ l| | | | | | | ||ヽ
\l// / | /|'´ ∧ || | |ー、|| | | l | ヽ
/ハ/ | | ヽ/ ヽ | ヽ | || /|ヽ/! |/ | ヽ
/ | ||ヽ { ,r===、 \| _!V |// // .! |
| || |l |ヽ!'´ ̄`゙ , ==ミ、 /イ川 |─┘
| ハ|| || | """ ┌---┐ ` / // |
V !ヽ ト! ヽ、 | ! / //| /
ヽ! \ハ` 、 ヽ、__ノ ,.イ/ // | /
┌/)/)/)/)/)/)/)/)/)/)lー/ ` ー‐┬ '´ レ//l/ |/
|(/(/(/(/(/(/(/(/(/(/│|| |\ 〃
r'´ ̄ヽ. | | ト / \
/  ̄`ア 設定したことを | | | ⌒/ 入
〉  ̄二) 知ってるが | | | / // ヽ
〈! ,. -' | | ヽ∠-----', '´ ',
| \| | .お前のルールが | |<二Z二 ̄ / ',
| | | _r'---| [ ``ヽ、 ',
| | | 気に入らない >-、__ [ ヽ !
\.| l. ヽ、 [ ヽ |
ヽ| \ r' ヽ、 |
408:カミナリ桃 ◆hzkudVaLnM
10/12/07 01:31:16 nL6stT2T.net
上記の通りなので、設定は存在するが一切apacheに対してルールが適用されていない状態。
既に動いているWebアプリケーションもあるし、一旦ApacheにAppArmorをかけることを中断。
で、しぶしぶローカルにVMWareでテスト環境を構築中です…
409:カミナリ桃 ◆hzkudVaLnM
10/12/07 02:09:40 nL6stT2T.net
今気がついたんだが…
ufw(iptable) の デ フ ォ ル ト 拒 否 を 忘 れ て た
$ sudo ufw default deny incoming
前にresetした後、defaultのdenyするのし忘れてたよ…
我ながら氏ねじゃなくて死ねって感じだ…orz
410:カミナリ桃 ◆hzkudVaLnM
10/12/07 03:04:32 nL6stT2T.net
AppArmorを試しにphpsysinfoにかけてみたら上手くいったのでメモ
sudo aptitude install apache2 libapache2-mod-apparmor php5
sudo aptitude install apparmor-utils apparmor-profiles
sudo aptitude install phpsysinfo
sudo vi /etc/apache2/site-available/default
# 以下のディレクティブを適切な位置に追加する
<Directory /var/www/phpsysinfo/>
AAHatName phpsysinfo
</Directory>
sudo aa-enforce /etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2
sudo a2enmod apparmor
# この時点でsudo aa-statusをすると「設定は存在するけど保護してないよ★」なメッセージが出る
sudo service apparmor restart
sudo service apache2 restart
# この時点でsudo aa-statusをすると保護してるリストにapacheが入ってる
411:カミナリ桃 ◆hzkudVaLnM
10/12/07 03:06:32 nL6stT2T.net
・動作テスト方法
試しに以下の内容のphpファイルを/var/www/phpsysinfo以下にtest.phpとして置く
----
<?php
echo "Hello World";
if ( ! ($fp = fopen ("/home/(ユーザディレクトリ)/test.txt", "r"))) {
echo "can't open file...><";
die("ファイルが開けません。");
}
?>
----
自分のホームディレクトリに適当にtest.txtを作っておく
ブラウザでhttp://(IPアドレス)/phpsysinfo/test.phpにアクセス、すると「can't open file...><」と表示される。
逆にこのメッセージが表示されない場合、AppArmorが効いていないってこと。
AppArmorがブロックをすると/var/log/messageにその旨が残るのでその点も確認しておくこと
412:カミナリ桃 ◆hzkudVaLnM
10/12/07 03:15:11 nL6stT2T.net
phpsysinfoにapparmorを適用する手順については、以下のファイルの中に記載有り
/etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2
なお、AppArmor+Apacheの構成についての文献は非常に少ない。
開発元のSUSEが出してる以下の文書は日本語で書かれており、結構充実しているのでオススメ。
URLリンク(ftp.hosteurope.de)
※PDF注意
413:カミナリ桃 ◆hzkudVaLnM
10/12/08 16:49:38 JX0Mipy1.net
ヤター!公開サーバでもAppArmor+Apacheが出来た―!!><
原因:間違えて sudo service apache2 reload してた…
正しくはrestartです…orz
apparmorの方は設定書き換え後reloadでおkだけど、
Apacheの方はrestartしないと適用されません。ぐぬぬ…
さて、公開サーバの自分のWordPressに適用したところ、早速問題が。
トップや管理画面は問題なく開けるんですが、
個別の記事ページがpermissonがねえと403されてしまいます。
どうやらmod_rewrite関係の様子。
complainモードで動作させてみるか~
414:カミナリ桃 ◆hzkudVaLnM
10/12/08 17:24:55 JX0Mipy1.net
WordPress+AppArmorが上手くいった予感。
----
^mc_wordpress {
#include <abstractions/apache2-common>
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/php5>
owner /(WordPressのディレクトリ)/** rw,
owner /(WordPressのディレクトリ)/ r,
/(ログディレクトリ)/mc_access.log w,
/(ログディレクトリ)/mc_error.log w,
}
----
owner /(WordPressのディレクトリ)/** rw,
当初↑この行とログの分だけで全て上手くいくかと思ってたら、
↓の行もないとうまく行かない。
owner /(WordPressのディレクトリ)/ rw,
WordPressでmod_rewrite使わないのであれば、**の行だけでも上手くいくのかも。
参考までにAppArmorをかけたWordPressを晒してみます。
もし問題があったら教えて下され><
URLリンク(www.moving-castle-on-the-web.net)
415:カミナリ桃 ◆hzkudVaLnM
10/12/12 15:46:13 3KTWIWwv.net
httpdのログ見てると百度がウザイ件。
どうせ百度から人来ないし、/etc/hosts.denyに追加してみる。
URLリンク(www.baidu.jp)
↑のページに
IPアドレスの範囲: 119.63.195.0/24(119.63.195.1-119.63.195.254)
となっているので、このIPをはじく
sudo vi /etc/hosts.deny
ALL: 119.63.195.
以上で 糸冬
416:カミナリ桃 ◆hzkudVaLnM
10/12/12 16:48:39 3KTWIWwv.net
>>398でこう書いているけど…
ぶっちゃげhost制御とiptablesでのフィルタリングとどっちが良いかわからない件orz
URLリンク(wiki.nbj.co.jp)
現在の所自分のサーバはiptablesによるフィルタリングのみ。
しかし色々見て回ると
「/etc/hosts.denyでALL:ALLで拒否して、必要なのを/etc/hosts.allowで許可すべし!!><」
みたいな意見がちらほら。
denyhostsみたいなソフトの存在から考えると
「一概にhosts.denyでALL:ALLしなくてもいいんじゃね?」と悩んだが、
結局denyで全部はじいて必要なのをallowするように変更しました。
/etc/hosts.allowの内容
----
ALL: 自宅のIP 自分のVPSサーバのIP 127.0.0.1
sshd: 自宅のIP
httpd: ALL
----
※denysoftsについての参考URL
URLリンク(denyhosts.sourceforge.net)
417:カミナリ桃 ◆hzkudVaLnM
10/12/12 17:02:24 3KTWIWwv.net
そんなワケで百度のIPをufwで弾くようにしてみました
現在のufwの設定
----
sudo ufw default deny incoming
sudo ufw allow from 自宅IP to any port (SSHのポート)
sudo ufw allow Apache
sudo ufw deny from 119.63.195.0/24
----
$ sudo ufw status
Status: active
To Action From
-- ------ ----
3022 ALLOW 自宅
Apache ALLOW Anywhere
Anywhere DENY 119.63.195.0/24
418:カミナリ桃 ◆hzkudVaLnM
10/12/12 22:50:57 3KTWIWwv.net
・manを日本語で表示するには
現在稼働中のubuntu x86@さくらVPSはLANG=en_US.UTF-8になっている。
�
419:アの状態で日本語manページをインスコしてman manしても英語のmanページが出てくる。 LANGを変えるのも手だが、何となくイヤwなので、対処法をメモってみる。 まず以下のやり方でLANGに関わらず日本語のmanのマニュアルを閲覧可能 $ man -L ja man そこで~/.bash_aliasesにでもaliaseを書いておく alias man='man -L ja' 後は設定を反映させるだけ $ source ~/.bash_aliases 以上でおk
420:カミナリ桃 ◆hzkudVaLnM
10/12/12 22:52:36 3KTWIWwv.net
あ、あと事前に日本語manページのインスコ必須です。
$ sudo aptitude install manpages-ja manpages-ja-dev
421:カミナリ桃 ◆hzkudVaLnM
10/12/12 23:09:42 3KTWIWwv.net
ちょっち今後の目標など色々書いてみる。
※LinuxだけでなくWeb制作関連も有り
これから行う事
・WordPressの複数ブログ機能を使い、Linuxの情報に特化したサイトを立ち上げる
→ここ最近の自分の投稿を整理/まとめたページを作りたい
・WordPressカスタマイズその1
→親族のサイトのデザインカスタマイズ
→いくつか「これプラグイン自作してどうにかした方がよくね?」な部分を作る
・WordPressカスタマイズその2
→自分のWordPressのデザインカスタマイズ
→運用に必要と思われるプラグインの導入
継続して実施するモノ
・セキュリティの向上
・サーバ監視ツールの導入
・mailutilsをインスコしたが、使い方に関するページをググっても見あたらない…orz
是非とも行いたい事
・Webサービスの作成
・VPSサーバ再インストール
→現在32bit版を利用中のため、64bit版へ移行したい
→某所で「64bit版はメモリの利用量が増える」と聞いたが、ぶっちゃげ微々たるもののような…
夢のまた夢(または、きっとやらないだろうリスト)
・VPSサーバを追加契約
→syslogdなどでログサーバ動かすとか
→DBサーバにしてしまうとか
→リソースをケチるためにDNS動かしてないので動かしてみるとか
→メール鯖にするとか
422:カミナリ桃 ◆hzkudVaLnM
10/12/12 23:30:08 3KTWIWwv.net
* お知らせ *
★Linux関係で日記書いてくれる人募集中★
一時期のLinuxブームは終わり、良い感じで枯れてきた昨今のLinux界隈。
みなさん如何お過ごしでしょうか?
このスレッドではLinuxに関わる日記を書いてくれる方を常時募集しています。
「日記として残すほどではないけど、このソフトの設定手順をどこかに書き込んでおきたい」
そんな単発でのご利用もOKです><
Linuxに関することであれば、初心者でも玄人でもハードでもソフトでも
家庭用でもサーバ用でも動画用途でも開発用途でも何でもOK!
正直過疎過ぎるのでBSDに関する日記も有りかも…
(かくいう自分はWebプログラムな日記がチラホラあったり…)
是非是非、よろしくお願いいたしますm(_ _)m
423:login:Penguin
10/12/13 00:16:27 VSimQkEX.net
>>404
うるせーよ
今日DEB_BUILD_OPTIONS=nostrip,nooptでdpkg-buildpackageしたら共有ライブラリとか
ステップインできることを初めて知った。ありがとうありがとう。
424:カミナリ桃 ◆hzkudVaLnM
10/12/13 01:24:18 Bkejmetp.net
>>405
うるさくしてすいません><
linuxに関する書き込みありがたやありがたや
425:カミナリ桃 ◆hzkudVaLnM
10/12/13 01:28:01 Bkejmetp.net
WordPressのマルチサイト構築完了。
若干はまって時間食ったyo…orz
URLリンク(www.moving-castle-on-the-web.net)
URLリンク(linux.moving-castle-on-the-web.net)
設定変更などはまた後日。
426:カミナリ桃 ◆hzkudVaLnM
10/12/14 17:25:59 H8fmEKy4.net
ただいまWordPressのプラグインを作成中。
作りたいもの:
色んなサイトのトップページによくある「更新履歴」「最新情報」を表示する。
既存の投稿と連動するタイプではなく、自分で「○○を更新しました」とかURLとかを管理画面で入力してもらう
現状:
プラグインインスコ時のデータベースのテーブル作成部分とアンインスコ時のテーブル削除部分完成。
ぼやき:
テーブル削除がなかなか上手くいかなかった件。
間違っていた所をdiff風に抜粋すると…
-$wpdb->query("DROP TABLE IF EXISTS $table_name");
+$wpdb->query("DROP TABLE IF EXISTS {$table_name}");
こんなのでこけてたのかよ…
とほほ…orz
427:今年のまとめ
10/12/18 00:08:02 uNhNJH/0.net
PCルーターを作ろうと思ってそろそろ1年。おおむね良好だが、よく分かってない部分も多い。
整理をかねて、分かっていないものの中からいくつか書いてみようと思う。
FORWARDでのESTABLISHEDなパケットの許可(内側[eth1]→インターネット側[eth0])に
"! --syn"を念のためと加えてみたところ、
iptables -A FORWARD -i eth1 -o eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT
↓
iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
以下のようなDROPログ(途中でマッチせず、デフォルトポリシーで弾かれるもの)が出るようになった。
[FORWARD DROP] : IN=eth1 OUT=eth0 SRC=192.168.0.3 DST=207.29.226.25 LEN=48 TOS=0x00
PREC=0x00 TTL=127 ID=61849 DF PROTO=TCP SPT=21610 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 OPT …
192.168.0.3 : クライアントPC(WindowsXp SP3)
207.29.226.25 : tiger3556.maido3.com 2ちゃんねる yuzuru.2ch.net
上のは一例で、似たようなのは他にいくつかあるが、いずれも
iptables -A FORWARD -i eth1 -o eth0 -p tcp -m state --state ESTABLISHED -j LOG
にて、"! --syn"を足さなければESTABLISHEDとして許可されることを確認している。
「ESTABLISHEDかつSYN」なパケット。何故このようなものが生じるのだろう。
発生頻度は低く、再現性も無いが、たま~にポツリ…と発生する。
RFC793には、ESTABLISHEDステートでSYNビットが立っているのはエラーだと書かれているようだが?
英語能力も含め、いろいろスキルが足りないので原因が分かっていない。
428:カミナリ桃 ◆hzkudVaLnM
10/12/20 00:30:17 06Ck40yW.net
AppArmor+Apache+php覚え書き
phpを使うとき、以下をincludeして除外しないといけない
#include <abstractions/user-tmp>
phpがファイルアップロードなどで/tmpを使っているため、
これをしないとアップロード自体出来ない。
ついで自分がWordPressにかけてるAppArmorの設定。
----
^mc_wordpress {
#include <abstractions/apache2-common>
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/php5>
#include <abstractions/user-tmp>
owner (WordPressのディレクトリ)/** rw,
owner (WordPressのディレクトリ)/ r,
/var/log/apache2/mc_access.log w,
/var/log/apache2/mc_error.log w,
}
429:カミナリ桃 ◆hzkudVaLnM
10/12/20 00:33:53 06Ck40yW.net
この前Ubuntu10.04でapparmor関連のパッケージが更新されたんだけど、
どうやらその後からaa-logprofをするとエラーがでる。
$ sudo aa-logprof
Reading log entries from /var/log/messages.
Updating AppArmor profiles in /etc/apparmor.d.
Use of uninitialized value in pattern match (m//) at /usr/share/perl5/Immunix/SubDomain.pm line 2745, <$LOG> line 4.
Use of uninitialized value in split at /usr/share/perl5/Immunix/SubDomain.pm line 2748, <$LOG> line 4.
Use of uninitialized value in pattern match (m//) at /usr/share/perl5/Immunix/SubDomain.pm line 2745, <$LOG> line 5.
Use of uninitialized value in split at /usr/share/perl5/Immunix/SubDomain.pm line 2748, <$LOG> line 5.
Use of uninitialized value in pattern match (m//) at /usr/share/perl5/Immunix/SubDomain.pm line 2745, <$LOG> line 6.
Use of uninitialized value in split at /usr/share/perl5/Immunix/SubDomain.pm line 2748, <$LOG> line 6.
Use of uninitialized value in pattern match (m//) at /usr/share/perl5/Immunix/SubDomain.pm line 2745, <$LOG> line 7.
Use of uninitialized value in split at /usr/share/perl5/Immunix/SubDomain.pm line 2748, <$LOG> line 7.
※以下、上記のエラーがひたすら繰り返し…
ちょっとUbuntuスレで質問してみるか…
430:今年のまとめ、その2/3
10/12/20 00:46:36 j4rBj8iP.net
ループバックの許可は、"iptables -A OUTPUT -o lo -j ACCEPT"とすることが多いようだ(INPUTも)。
それを次のようにしてみた。
iptables -A OUTPUT -p all -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT (INPUTも同様に)
すると、icmpがマッチできなくなった。送信元や送信先アドレスが"127.0.0.1"ではないためだ。
許可には、あえて細かく書くと、例えば次のものが必要になる(発生頻度は非常に低い。)。
iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $WAN_IP -d $WAN_IP -m state --state RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $LAN_IP -d $LAN_IP -m state --state RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $WAN_IP -d $CLIENT_IP -m state --state RELATED -j ACCEPT
また、PCルーターのeth1(LAN側)にクライアントがsshで接続中に、次のようなパケットが発生することがある。
iptables風に書くと、OUTPUT -o $WAN_IF -s $LAN_IP -d $SSH_CLIENT_IP --sport 22
"OUT=eth0"だが、"SRC=eth1のアドレス"になっている。ESTABLISHEDで、ネットワークの再起動時に発生する。
Linuxをさわり始めた頃は、インターフェイスとアドレスは必ず一致するものと思い込んでいた。
"OUT=eth0"なら"SRC=eth0のアドレス"というふうに。だが、実際には違った。
かといって、IPスプーフィングの発信元になるような許可はできない。
なぜ、インターフェイスとアドレスが一致しないのだろう。
そう疑問に思う一方で、上のloのような挙動は当然ではないのか?とも思う。
何にせよ、基本が理解できていないんでしょうな。
431:今年のまとめ、その3/3
10/12/20 00:52:07 j4rBj8iP.net
その2/3にも出てきたicmpのtype3だが、そのステートフル性についても分かっていない。
icmpのtype3の受信で、INVALIDと判定されてしまうものがあるのだ。
(外部からのパケットのみ。その2/3に書いた、loがらみのものは全てRELATED。)
中継してくれたルーターからの返答が、ごく一部とはいえ、どうしてINVALIDとなるのだろう。
こちらにも原因があると思うのだが、分からない。
とりあえず今は、icmp(3・4・11・12番)はステートフル性を用いずに運用し、
他のもの、例えば、いきなりの0番はINVALIDで弾いている。
…と、発生頻度が低いので後回しにしたものの中から3つばかり。
おわりに
・週末たまにちょこっと弄る程度じゃ、1年かけてもこんな程度しか勉強できんかった。
Linux自体初めてだし、しゃーないか。弄るのは楽しいからいいけど。
・type8に対するtype0がRELATEDでなくESTABLISHEDなのに気づいたときは、「へー」と思った。
そりゃそうですよね。なんでRELATEDだと思ったんだろう。
432:カミナリ桃 ◆hzkudVaLnM
10/12/20 01:07:28 06Ck40yW.net
iptableかぁ…自分もよくわかってない(汗
>>400で百度のIPを弾いたんだけど、logwatch見てたらアイツらさらに別のIPから来てやがった。
ググる&whoisで以下のIPが百度のものと判明。
119.63.192.0/24
119.63.193.0/24
119.63.194.0/24
119.63.195.0/24
119.63.196.0/24
119.63.197.0/24
119.63.198.0/24
119.63.199.0/24
早速ufwでdeny
sudo ufw deny from 119.63.192.0/24
※行数が多いので以下略
その後logwatchを見たところ…
Attempts to use known hacks by 3 hosts were logged 6 time(s) from:
150.70.75.166: 4 Time(s)
119.63.198.123: 1 Time(s)
119.63.198.89: 1 Time(s)
A total of 3 sites probed the server
119.63.198.123
119.63.198.89
150.70.75.166
あれ?deny出来てなくね?
※なお、150.70.75.166は日本のトレンドマイクロのスパイダーです。
logwatchに自動的にhack扱いされる凄いスパイダーだよ。
433:カミナリ桃 ◆hzkudVaLnM
10/12/20 01:15:43 06Ck40yW.net
うちはiptableじゃなくてufw使ってる。
結局中身は一緒っつーかufwはiptableのラッパーらしい。
現在かけているufwは↓
----
sudo ufw default deny incoming
sudo ufw allow from ※自宅IP to any port ※ssh
sudo ufw allow
434:Apache # baidu sudo ufw deny from 119.63.192.0/24 sudo ufw deny from 119.63.193.0/24 sudo ufw deny from 119.63.194.0/24 sudo ufw deny from 119.63.195.0/24 sudo ufw deny from 119.63.196.0/24 sudo ufw deny from 119.63.197.0/24 sudo ufw deny from 119.63.198.0/24 sudo ufw deny from 119.63.199.0/24 ---- どっかのサイトで「ufwとiptableはかける順序が違う部分があるから注意」みたいなのを読んだんだが、どこだったか失念。 英語読めんとmanが読めないので涙目。 頑張ってufwの情報探すか、それとも.htaccessで逃げるか…はぁ
435:カミナリ桃 ◆hzkudVaLnM
10/12/20 01:33:26 06Ck40yW.net
ググり直したらufwの順序に関する情報見つかった><
URLリンク(gihyo.jp)
↑の情報を元にufwの設定を書き直し
----
sudo ufw default deny incoming
sudo ufw allow from ※自宅IP to any port ※ssh
## apache
# baidu deny
sudo ufw deny from 119.63.192.0/24
sudo ufw deny from 119.63.193.0/24
sudo ufw deny from 119.63.194.0/24
sudo ufw deny from 119.63.195.0/24
sudo ufw deny from 119.63.196.0/24
sudo ufw deny from 119.63.197.0/24
sudo ufw deny from 119.63.198.0/24
sudo ufw deny from 119.63.199.0/24
# apache allow
sudo ufw allow Apache
----
これで上手くいってくれ~><
436:デムパゆんゆん@冬眠前線炎上中
10/12/31 03:00:11 T8Q0RGRv.net
>>398
そういうのはiptableでやるもんじゃないのか?
baidu.jpではじく書式もあったような記憶あるけど
host.denyは基本全部拒否だろ多分
必要なものだけ開ける
侵入されたりトラブルが起きたときの障害切り分けの負担を減らす
>>409
URLリンク(www.atmarkit.co.jp)
>>411
答え返って来た?
437:デムパゆんゆん@冬眠前線炎上中
10/12/31 03:04:17 T8Q0RGRv.net
>>412
icmpは必要か?
普段はコメントアウトして
#iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $WAN_IP -d $WAN_IP -m state --state RELATED -j ACCEPT
#iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $LAN_IP -d $LAN_IP -m state --state RELATED -j ACCEPT
#iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $WAN_IP -d $CLIENT_IP -m state --state RELATED -j ACCEPT
必要な時だけsshから繋いで#消して
iptables reloadしてから icmp有効にするとかはダメなのか?
>なぜ、インターフェイスとアドレスが一致しないのだろう。
centosでもよく言われるが NetworkManagerでインターネットに繋いでるんじゃないのか?
NetworkManagerを無効化
URLリンク(netlog.jpn.org)
記事が古いからあとは自分で確認して
CentOS だと
service NetworkManager stop
service network start
vi /etc/sysconfig/network-scripts/ifcfg-eth0で
IPADDR=192.168.0.X
HWADDR=xx:xx:xx:xx:xx:xx # xx:xx:xx:xx:xx:xxにはNICのMACアドレスを設定
でIPアドレスとNICを固定させる たしかこれで固定できた
うぶんちゅも似たような設定で出来たと思う
URLリンク(wiki.ubuntulinux.jp)
438:login:Penguin
10/12/31 17:52:04 3dAmzO86.net
>>418 レスありがとうございます。
> icmpは必要か?
いえ、icmpが必要かどうかではなく、"iptables -A OUTPUT -o lo -j ACCEPT"の時と同じにするためには、
以下のようなものが必要になる、という事を述べただけです(汗。
> centosでもよく言われるが NetworkManagerでインターネットに繋いでるんじゃないのか?
いいえ、使っていません。
eth0とeth1が入れ替わるような事態も経験ありません。
>>412で言いたかったのは、「"-o lo"なのに"-s 127.0.0.1"ではない」、
「"OUT=eth0"なのに"SRC=eth0のアドレス"ではない」ことがあるが、何故だろう?ということです。
すいません、書きようが悪くて。
「Linuxをさわり始めた頃は、インターフェイスとアドレスは必ず一致するものと思い込んでいた。」
「なぜ、インターフェイスとアドレスが一致しないのだろう。」
これらの表現が間違ってますねorz。はしょりすぎです。
「『"SRC="に記されるアドレス』は、『"OUT="に記されるインターフェイスのアドレス』と必ず一致するものと思い込んでいた。」
「なぜ、"SRC="に記されるアドレスが、"OUT="に記されるインターフェイスのものと一致しないのだろう。」
と、それぞれ書くべきでした。
eth1のアドレスは変化せず、常に固定です。
eth0のアドレスはdhcpクライアントによって、ネットワーク再起動時に再取得されるので、固定ではありません。
(eth1のアドレスが振られるようなこともありません。)
ただ、発生頻度でも触れましたが、かなり特殊な状況なのだろう?と思っています。
とくに後者は「ESTABLISHEDで、ネットワークの再起動時に発生する。」と書きましたが、
言い換えると、ssh接続中にネットワークを再起動させない限り発生しません。
eth1とクライアントPCとのssh接続は、ネットワークの再起動後も継続されます。
(ネットワークを再起動させているので、実際には一旦切れているのでしょうが。)
439:419
10/12/31 18:16:40 3dAmzO86.net
> また、PCルーターのeth1(LAN側)にクライアントがsshで接続中に、次のようなパケットが発生することがある。
> iptables風に書くと、OUTPUT -o $WAN_IF -s $LAN_IP -d $SSH_CLIENT_IP --sport 22
> "OUT=eth0"だが、"SRC=eth1のアドレス"になっている。ESTABLISHEDで、ネットワークの再起動時に発生する。
これなんですが、
ssh接続中にネットワークを再起動させてますから、一旦接続は切れているでしょう。
そこで、sshサーバーが一度見失ったクライアントをあちこち捜している。
だから、"-s $LAN_IP -d $SSH_CLIENT_IP --sport 22"なパケットを、全てのethから飛ばしているのでは?
…などと妄想しています。もちろん、"OUT=eth0"はDROPしています。
「"SRC="に記されるアドレスが、"OUT="に記されるインターフェイスのものと一致しない」例をもう一つ。
最近見つけました。試しに実験したら、思い通りでした。
[IPTABLES BAD_IP] : IN= OUT=eth1 SRC=eth0のアドレス DST=クライアントPCのアドレス LEN=60 TOS=0x00 PREC=0x00
TTL=64 ID=3159 PROTO=ICMP TYPE=0 CODE=0 ID=512 SEQ=3840
見ての通り、pingの返答です。ESTABLISHEDなパケットですが、
一致しないOUTPUTはBAD_IPチェインで弾いているので、このログが残ります。
eth1側にぶら下がっているクライアントPCが、eth0に対してpingを打ったときのものです。
eth0がクライアントPCに返事をするためには、eth1を通るしかありませんから、
これはこれで当然なのだろうと考えてます。
長文失礼しました。
440:login:Penguin
10/12/31 19:04:56 3dAmzO86.net
すいません、もう一つありました。
>>417
そこのリンク先は私が参考にしたサイトの一つです。
あらためて「通すべきではないパケット」であることの再確認は出来ます。
ですが、読み直しても
PCルーターのLAN側にあるクライアントから、「ESTABLISHEDかつSYN」なパケットが生じる理由については、
分かりませんでしたorz
もちろん、不正アクセスなど考えていません。
441:ヽ(´▽`)ノ
10/12/31 19:21:54 4gYdm2tF.net
よいお年を
442:デムパゆんゆん@冬眠前線炎上中 !omikuji !dama
11/01/02 01:13:37 5537oach.net
>>421
>PCルーターのLAN側にあるクライアントから、「ESTABLISHEDかつSYN」なパケットが生じる理由については、
>分かりませんでしたorz
ぐぐってたらここがヒットした
URLリンク(www.asahi-net.or.jp)
原因は 認識しておかなくてはならないのは、~ から書いてる
はしょって書いているというより
数行の中に疑問がいくつもあるからまづは文の解読から笑
>>412は>>409とは別の所に原因があると思う
icmpがマッチしなくなったのは
URLリンク(www.shitomi.jp)
URLリンク(www.nina.jp)
URLリンク(www.atmarkit.co.jp)
URLリンク(arisonsvr.org)
ネットワークの再起動したとき前回の設定が残ってるんじゃないか
スクリプトなり走らせて
最初に iptables -F でポリシを初期化してみる
>>413
icmpが弾かれるのもまた別の原因なんかな
URLリンク(www.atmarkit.co.jp)
URLリンク(www.forwhom.jp)
URLリンク(linux.kororo.jp)
icmpあんまり弾くばかりもだめなんだな 知らなかった
443:デムパゆんゆん@冬眠前線炎上中
11/01/02 01:31:01 5537oach.net
>ネットワークの再起動したとき前回の設定が残ってるんじゃないか
もう少し書けば
前回LAN側eth1がネットワーク再起動したとき
設定が残っててeth1を使用済と判断してeth0をLANに割り当てたり
ネットワークのスクリプトがeth1をLANかWANかまで判別してないんだろ 多分
>>413は神経質にならなくてもいいんじゃないか?
URLリンク(www.atmarkit.co.jp)
icmp type 3はビーコン見たいなもので
ルータAからパケット受けたルータBが送信元にエラーを送るみたいだ
送信元パケットがルータAからルータBなのか 発信元のPCなのかいまいちよくわからんけど
気になるならtype 3で捨てられたパケットの中身を調べるんだ笑
iptableの挙動が変わるのはTOMOYO Linux 学習モードで使えばどこで変わってるかわかりそうだな
ふむ
新しい使い道を発見した。
444:デムパゆんゆん@冬眠前線炎上中
11/01/02 01:37:18 5537oach.net
>>421
>PCルーターのLAN側にあるクライアントから、「ESTABLISHEDかつSYN」なパケットが生じる理由については、
URLリンク(www.asahi-net.or.jp)
リンク先の この仕様が存在するのは、場合によっては、~ から読めばいいんでねか
一時的に必要な場合があるからそういう仕様になっているのでござる
ということらしい
445:デムパゆんゆん@冬眠前線炎上中
11/01/02 01:39:08 5537oach.net
おまけ うぶんちゅの簡単な設定
URLリンク(tobysoft.net)
446:login:Penguin
11/01/02 02:29:25 Ab3/z3Kq.net
>>423
> はしょって書いているというより
だから日記スレにいるわけでしてw
まるで何も分かってない人間が書くとどうなるか、少しは自覚があります。
くだ質などへの質問は、もっと分かってからと考えております。
最初にお詫びしておきますが、以下の文章には条件の後出しも出てきます。
このレスのきっかけになった文章は全て、質問スレに書くつもりで書いたものではありませんので、ご容赦を。
> 原因は 認識しておかなくてはならないのは、~ から書いてる
これは「NEWステートでありながらSYNビットの立っていないパケット」の説明ですよね。
私のは「ESTABLISHEDステートでありながらSYNビットの立っているパケット」なのですが。
また、この「NEWステートでありながらSYNビットの立っていないパケット」を弾く条件式は
iptables -A FORWARD -p tcp ! --syn -m state --stat NEW -j STEALTH_SCAN
の形で実装しており、問題となった以下の式より前にあります。
iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
よって、同じものとは思えませんが、等価なんでしょうか。
そうだすると、まだまだ理解が足りないようです。
447:login:Penguin
11/01/02 02:30:09 Ab3/z3Kq.net
> 最初に iptables -F でポリシを初期化してみる
初期化はしております。
現在、Debian lenny を使っていまして、初期化スクリプトを
/etc/network/if-pre-up.d/ に置いています。
該当部分はこんな感じです。
# すべてのルールをクリア。
iptables -F
iptables -X
iptables -Z
for table in filter nat mangle
do
iptables -t $table -F
iptables -t $table -X
iptables -t $table -Z
done
# デフォルトルールの設定。
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
448:login:Penguin
11/01/02 02:30:55 Ab3/z3Kq.net
icmpについては、ステートフル性を用いない方がいいのかなと、思うこともあります。
>>413に書いたように、実際今そうしています。
示してくださったurlも全てステートフル性を用いておりませんし。
別に神経質になってるつもりはないですよ。疑問に思っているのは確かですが。
それにぶっちゃけicmpのtype3ですし。実用上、どうということはないです。
いろいろありがとうございます。
実は、正月早々のセントスレ214の発言を見て、レスするの止めようかとも思いました。
ところで、なんでうぶんちゅ?
一言も書いていないはずですがw
449:login:Penguin
11/01/02 02:41:16 Ab3/z3Kq.net
返事を書いている間に追加が
>>425
それは、「SYNビットの立っていないパケット」の話なのでは?
450:デムパゆんゆん@冬眠前線炎上中
11/01/02 04:18:28 5537oach.net
>>430
netfilterのバグのような気もする
「NEWステートでありながらSYNビットの立っていないパケット」を弾く条件式
ソースコードの endifで切り分けしてなかったり
くだ質ではソース嫁とか言われそうだが一番の近道
他の環境で試してみるとか
カーネルが古いせんとすとかカーネルが新しいFedoraとか でぶあんsqueezeとか
くだ質は質問の内容が高度なのが多いけど実質あのスレしか機能してないから
あそこに質問が集中する
マ板もム板もほとんどスルーだし
icmpは常にセッション維持する必要はほとんどないんじゃねの?
パケットが相手の存在確認するくらいだけだし
>>427
>よって、同じものとは思えませんが、等価なんでしょうか。
NOだな
451:デムパゆんゆん@冬眠前線炎上中
11/01/02 04:26:59 5537oach.net
というか
>>409
何度も読み返して気になってたんだが
URLリンク(www.asahi-net.or.jp)
よく読んで
>>409でクライアントはウィンドウズ
ウィンドウズ以外でも同じ現象が出るかテストする
マイクロソフト製品は時としてコネクションが切れNEWステートになり
iptables -A FORWARD -p tcp ! --syn -m state --stat NEW -j STEALTH_SCAN
で弾かれてるんじゃないか とか
気になるならルールの最後に--log-tcp-options つけろとも言ってるでござる
>「ESTABLISHEDかつSYN」なパケット。何故このようなものが生じるのだろう。
>発生頻度は低く、再現性も無いが、たま~にポツリ…と発生する。
iptablesをすり抜けるため意図的に作られたパケット
パケットキャプチャで監視
どこから来てどこへ行くか
iptables入れた鯖外部に公開してるなら 狙われてるんかもな
ハカーは少しずつこういうイレギュラーなパケット流して進入経路作るし
あるいはNSAに送信されるバックドア!
>>409のDROPログは正常じゃないの?
iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
eth1からeth0のSYNビットがついていないコネクション継続中のTCPパケットを許可
DROPログはSYNビットがついているから弾かれた
SYNビットは開始要求パケットで継続中のパケットにはそんなものいらない
「ESTABLISHEDかつSYN」なパケット。はNSAがバックドアを仕掛けるために作られたのだ!
452:デムパゆんゆん@冬眠前線炎上中
11/01/02 04:29:29 5537oach.net
なんでうぶんちゅとか言われても環境全然書いてないんだもん わがんね
うぶんちゅ使いが多いからなんとなく
今日はiptablesの勉強をした
453:デムパゆんゆん@冬眠前線炎上中
11/01/02 04:35:19 5537oach.net
>>431
間違えた
netfilterのバグのような気もする
×「NEWステートでありながらSYNビットの立っていないパケット」を弾く条件式
○「ESTABLISHEDステートでありながらSYNビットの立っているパケット」を弾く条件式
ソースコードの endifで切り分けしてなかったり
くだ質ではソース嫁とか言われそうだが一番の近道
454:login:Penguin
11/01/02 06:38:29 Ab3/z3Kq.net
> ウィンドウズ以外でも同じ現象が出るかテストする
Windowsだからこんな現象が出るのでは?って疑念は持ってます(>>366も私です。)。
今使ってる本番用の他に、同じ設定のPCルーターとDebianのクライアントの組み合わせもありますが
そちらでは、今のところ出ていませんから。
ただ、実験用で、そんなに使用時間は長くないんです。
発生頻度が低いと書いたように、滅多に出ないので、Windowsだけに出ても今は不思議ではありません。
もう一台のWindowsマシンでも出ませんが、これも使用時間的に、今は何とも。
> >>409のDROPログは正常じゃないの?
> SYNビットは開始要求パケットで継続中のパケットにはそんなものいらない
仰るとおりです。
だからこそ何で「ESTABLISHEDかつSYN」なパケットが出てんの?と疑問に思ったわけです。
> 「ESTABLISHEDかつSYN」なパケット。はNSAがバックドアを仕掛けるために作られたのだ!
マ
ジ ハ ,,ハ
デ (;゚◇゚)z
!?
455:login:Penguin
11/01/02 06:40:24 Ab3/z3Kq.net
> icmpは常にセッション維持する必要はほとんどないんじゃねの?
> パケットが相手の存在確認するくらいだけだし
これも仰るとおり。
>>429でも書きましたが、実用上、ステートフル性なんか用いる必要はないかもしれません。
ですが、「中継してくれたルーターからの返答が、ごく一部とはいえ、どうしてINVALIDとなるのだろう。」
という疑問はあるのです。
どうしてそんな疑問を持つかというと、ログを見ながら一つずつ原因を探る。必要なものなら許可していく。
そんな勉強法をとっているからでしょう。
未解決事案に、icmpがINVALIDとして弾かれているログが、いつまでも残っているわけです。
実用上は問題なくとも。
勉強中なんで、それでいいだろうと思ってます。おまけに趣味でやってることなので。
いつかはソースが見られるようになれたらと思います。が、今は無理っす。
長々相手をしてくださり、ありがとうございました。
456:デムパゆんゆん@冬眠前線炎上中
11/01/02 13:43:14 5537oach.net
ESTABLISHEDかつSYNなパケットを監視するために
パケットキャプチャする
どこから来てどこへ行く みんなどこへ行った 見送られることもなく
クライアント ウィンドウズ2台 linux1台
パケット監視用PC1台 ルータ
12時間連続稼働なら大丈夫だろ
朝起きてPCに電源入れて帰ってきて飯食って風呂入ったら23時くらいだろ
icmp がINVALIDで弾かれる は別の所が原因なんかな
くだ質は iptablesで ESTABLISHEDかつSYNなパケットはどうやって弾いたらいいんですか
>>413
>icmpのtype3の受信で、INVALIDと判定されてしまうものがあるのだ。
弾いたログと前後を見ないと何とも言えない
ルータは基本中継するだけ丸投げがデフォ
何があってもボキュは知らない それっ ボキュに投げられても困る それっ
早めにくだ質で聞くんだな
pfではどうやって弾いてるのか気になったでござる
その昔自作ルータ運用してたら侵入されたしなwwwwwwwwwwwwwwwwwwwwww
セキュリティ気にし出すと頭ハゲるね いづれOpenBSDにたどり着く
457:login:Penguin
11/01/02 16:42:49 p7DyIEOy.net
>>437
> くだ質は iptablesで ESTABLISHEDかつSYNなパケットはどうやって弾いたらいいんですか
申し訳ありませんが、それはないです。
弾くのは簡単です。
知りたいのは「発生原因・理由」です。発生頻度は月に1度あるかどうかですが(だから後回しにしてきた(汗)。
キャプチャについては、やってみます。
24時間つけっぱなしにしても、それだけでは出ませんが(何度も実験済み)。
> icmp がINVALIDで弾かれる は別の所が原因なんかな
全く別の事象かと。
icmpに関しては、今回のことでもう一度見なおしましたが、「ひょっとして、これが原因?」というのはありました。
まだ全く自信はありませんが。
まぁ、ESTABLISHEDかつSYNなパケットにしても、icmpにしても、いずれ分かると気楽に考えてます。
くだ質もそのうち利用させてもらうでしょう。
458:438
11/01/02 16:58:11 p7DyIEOy.net
438は失礼な物言いになってますね。すいません。
なら、iptablesで ESTABLISHEDかつSYNなパケットが発生するのですが何故でしょう
と、したらってことですな。
もう少し好きにやらせてくださいな♪
459:デムパゆんゆん@冬眠前線炎上中
11/01/02 17:46:07 5537oach.net
月に一度あるかないかなのか
アクセスする日が10日から15日前後に限定され発信元はウィンドウズ
それはあっぷでと鯖に要求しているにちがいない
好きにやるといいよ もう戻れないし底なし沼に片足突っ込んでいる フフフ
侵入や追跡に特化したのがいくつかあるけど
BackTrack Part2
スレリンク(linux板)l50
fedora security
URLリンク(spins.fedoraproject.org)
TOMOYO Linuxも使うといい
URLリンク(tomoyo.sourceforge.jp)
底なし沼へいらっしゃい。
460:login:Penguin
11/01/02 18:09:34 p7DyIEOy.net
BackTrackは何度か使った事があります
wepキー簡単に解析できちゃいますね
TOMOYOは名前の由来でどん引きして以来、使うの止めました
由来と中身は無関係と分かっちゃいるんですがね~
461:login:Penguin
11/01/04 20:11:03 NgtfqTX0.net
>>412のloの件(3番目の"-o lo -s $WAN_IP -d $CLIENT_IP")について
後回しにしていたログをじっくり見てみた。どうやらtorrentが一因。
再現も出来た。そりゃあ、滅多に出んわ。普段使ってないから。
[IPTABLES LO_ICMP] : IN= OUT=lo SRC=現在のIPアドレス DST=クライアントPC LEN=76 TOS=0x00
PREC=0xC0 TTL=64 ID=30102 PROTO=ICMP TYPE=3 CODE=1
[SRC=クライアントPC DST=以前のIPアドレス LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=10727 DF
PROTO=TCP SPT=1176 DPT=61256 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402) ]
どういう場合に出るかというと、以下の通り。
トレントで何かを共有→いったん中断→トレントを再開(ただし、IPアドレスが変わっちゃってた)
トレントのクライアント(トラッカーも)には前のアドレス情報が残っている。
そのため、前に使っていたIPアドレスに繋ぎに行っちゃう。
[]内の"DST="の部分がどういうIPアドレスであるのか。それに早く気付けば良かった。
(以前(直前とは限らない)に自分が取得していたアドレスなんて、覚えてない。)
私が解放したアドレスを、トレント再開時までに誰かが取得し、たまたま同じファイルを共有していたら、
また違った結果になるんだろうな。
462:login:Penguin
11/01/04 20:12:08 NgtfqTX0.net
他には、プロバイダのDNSサーバーへの接続に失敗したときに出てる(これも普段まずない)。
まとめると、なんのことはない、この2種類しかなかった。
いずれも同一プロバイダ内という、近い相手に接続できなかった場合ですな。
なぜ「"OUT=lo"で"SRC=現在のIPアドレス"」なのかについては不明のままだが、
また何かのきっかけで分かることもあるでしょう。
icmpのtype3が一部INVALIDとなるのも、torrentが関係ありそうな感じ。
こちらは、まだまだはっきりしたことは言えないけど。
追記
合法なファイルの共有なので誤解しないでくださいね。
ここを見ているよう方々なら、そんな心配はないとは思いますが。
おまけ
Windowsでpingを打つと、デフォルトだと4回type8を飛ばすが、2回目以降も全てNEWステート。
tracertコマンドの場合、ESTABLISHEDステートでもtype8を飛ばす。
どうでもいいことだけど、せっかく気付いたので日記にメモ。
463:デムパゆんゆん@冬眠する
11/01/04 22:25:17 we42EjNx.net
一つは解決したんだな
パソコン数台ならDHCPでばらまかないで固定の方が楽だ
発信元あのPCからかと見当がつく
安心自己解決はソニー損保
不安な年金アリコでごじゅうはちじゅう喜んで
464:カミナリ桃 ◆hzkudVaLnM
11/01/06 22:01:10 E+i8GAI0.net
皆様あけましておめでとうございます><
今年もよろしこですm(_ _)m
>>417
やっぱhost.denyは全拒否で、個別の拒否にiptablesだよね…
ググると違う使い方してる人がチラホラ存在していたから、
自分の考えが特殊なのかと不安だったよ。ありがとう><
aa-logprofの件、答え帰ってこなかったですorz
てか日本でAppArmor利用者一体どれだけいるんだw
ググっても日本語情報なかなか出てこないw
TOMOYOの方が日本語情報ありまくるとかある意味泣けるなぁ
465:デムパゆんゆん@速+の聖戦士様
11/01/07 01:05:19 BK7f5D/I.net
>>445
あっちにもこっちにも設定書いてるとあとでわからなくなったり
障害が起きたとき面倒だし
とりあえずIPはiptablesで弾く host.denyとかで弾くときは紙にメモしておくとか
王道進むのが近道 変態道進むとハマったとき抜け出すのがしんどい
なんでtomoyoじゃなくてapparmer使おうと思ったんだ?
日本語ならtomoyoで使う方が楽だろ tomoyoもapparmerもやること一緒だし
apparmerはメンテナが全員ノベルから解雇されたからな
一時停滞してた
何人かはカノニカルに雇われてプロジェクト再開した
採用してたopensuse自体日本では人気ないし 資料もほとんどない
apparmerさわりたいなら日本語で充実してるのは
毎日コミュニケーションズの openSUSE 10.3 ビギナーズバイブル
ISBN-10: 4839926069
古すぎるけどこれくらいしかなかったと思う
他のopensuseの入門書でも多分apparmerはふれてると思う
本屋で確認して
466:カミナリ桃 ◆hzkudVaLnM
11/01/09 01:19:27 vPsFkiBT.net
>>446
AppArmorはUbuntuの場合、カーネル入れ替えなくてもデフォで利用可能だから利用しました(><;
あとAppArmorを入れた時点でTOMOYOの現状をよく知らなかったから(汗
さてさて、うちのサーバにRuby+ruby on railsを入れたい。
入れたいがそもそも動かしたいRuby製のプログラムがない。
作らなきゃな…
467:login:Penguin
11/01/14 22:54:17 7FiWvwm7.net
いえい
468:カミナリ桃 ◆hzkudVaLnM
11/01/15 01:04:14 wvcWLGHx.net
>>448
ひゃっはー><
ただいま業務の関係でRailsを勉強中。
お金貰いながら勉強出来るって最高ですYO!!><
今度「俺のわんこ画像が火を噴くぜ!」みたいなサイトを作ってみたいお。
しかしRuby
469:/Rails周りはバージョンによるトラブルが随分多いみたいだね。 十分気をつけないと涙目になっちゃうお^^;
470:login:Penguin
11/01/24 10:48:38 bjmxEWeE.net
凄い長寿スレだ。驚いた。
どさくさまぎれに宣伝を。
【心機】 rosetta@home 【一転】
スレリンク(volunteer板)
BOINCやFolding@homeのクライアントを実行(run)する人は多いですが、
意外と見落とされがちなのが、Rosetta@homeです。
Folding@homeはGPU版を使えば、グングンとスコアがあがりますが、
RosettaはCPU版のみでコツコツ計算することになります。
そこでせっかくBOINCをインストールしている人はロゼッタにも参加していただけませんでしょうか?
確かにSETIやMilkywayは夢があって面白いと思います。
しかし私は人々の日々の健康と病気治癒の医薬研究にCPU時間と電気を使いたいと思います。
健康は万人に関係するものです。どうか皆さんのお力を貸してください。
Rsetta@homeの実行法は実に簡単で、BOINCのクライアントをインストールしている人なら、
数クリックで参加できます。
そしてGPU版のFolding@homeと、CPUでのRosetta@homeの計算を同時に行うことができるのです。
これは大変都合の良いことだと思います。
なお実行するときにはTeam 2chへの参加も忘れないでくださいね!
471:カミナリ桃@代理レス
11/02/03 08:07:02 NWv1k8lC.net
rubyをローカルのテスト環境にインスコ中なんだが…
さすがにaptに全て投げるわけにはいかない様子。
現在の作業をレッツメモメモ
・Ubuntu 10.04にて作業、rvmでrubyを複数バージョンを入れちゃうYO!
・ひとまずruby自体をaptでインスコ
# sudo aptitude install ruby ri rdoc
・gemは手動でインスコ
# wget URLリンク(rubyforge.org)
# tar zxvf rubygems-1.5.0.tgz
# cd rubygems-1.5.0
# sudo ruby ./setup.rb
# sudo ln -s /usr/bin/gem1.8 /usr/bin/gem
・rvmをgitでゲットしてインスコ
# sudo aptitude install git-core curl libreadline-dev
# mkdir -p ~/.rvm/src
# cd ~/.rvm/src
# bash < <( curl URLリンク(rvm.beginrescueend.com) )
・パスを通す
# vim ~/.bashrc #末尾に追加
[[ -s "$HOME/.rvm/scripts/rvm" ]] && . "$HOME/.rvm/scripts/rvm"
・rvmで必要なソフトウェアを入れる
# rvm package install zlib
# rvm package install readline
# rvm package install openssl
472:カミナリ桃@代理レス
11/02/03 08:07:43 NWv1k8lC.net
・rvmで1.9.2の最新を入れる
# rvm install 1.9.2 -C --with-zlib-dir=$HOME/.rvm/usr,--with-readline-dir=$HOME/.rvm/usr, --with-openssl-dir=$HOME/.rvm/usr
・1.9.2を使ってみる
# rvm use 1.9.2
・システムのrubyに戻す
# rvm reset
473:login:Penguin
11/02/03 22:59:53 5BqFtC6U.net
rubyのパッケージ管理はカオス
474:カミナリ桃@代行
11/02/06 00:40:07 ZC7zQ+r5.net
>>453
何よりgem先生がドSというか鬼畜すぎる
Ubuntuでgemが古いからsudo gem update --system したら
gemのディレクトリが変わるとかどういう仕様だよwww
鳥の方で頑張って新しいgemを用意してくれYO!
sudo aptitude safe-upgradeさせてくれよ><
そんなわけで
475:鳥のgemは最初から入れずに公式のgem先生を入れてます。 でも公式のgem先生アンインストールしたいときとかどうするんだ… 前回の続き。 rvm入れたけどrvmに頼るとruby周りの管理が煩雑になりそうなので、 結局rvm resetしてaptitudeで普通にインスコ出来る1.8.7を使うことにしました。 てかrvm公式サイトに「これdevelopment用だから!」的なドキュメントを見たのが主な原因だけど…(--; さて、本来の目的であるrails環境を整えることを考える。 rvmやらgemやらいじってたら時間がかかって涙目。 ・構成:Apache + Passenger(mod_rails) ・Mongrelさんを入れたくないです… 昔JavaでTomcatの面倒を見てた経験があるんだけど、 アプリケーションサーバは色々と手間がかかるので正直鯖に入れたくない… ・てか普通にPassengerの方が軽くね? アレなバグが無いならこれでよくね?
476:カミナリ桃@代行
11/02/06 00:40:26 ZC7zQ+r5.net
・手元のUbuntu@VMWareで試してみた
# sudo aptitude install ruby1.8-dev
# sudo gem install passenger
# passenger-install-apache2-module
passenger-install-apache2-module を実行した際にインスコに必須のツールが無い場合、
必要なツールのapt-getでのパッケージ名まで出してくれる。
そいつらをsudo aptitude install してやる
※CentOSだとyumでのパッケージ名が出るらしい
インスコ後、「Apacheにこんな感じで設定してね★」ってメッセージが出るのでメモ。
自分は/etc/apache2の既存の設定を参考に以下のようにしてみた。
# sudo vim /etc/apache2/mods-available/passenger.load
LoadModule passenger_module /usr/lib/ruby/gems/1.8/gems/passenger-3.0.2/ext/apache2/mod_passenger.so
# sudo vim /etc/apache2/mods-available/passenger.conf
<IfModule mod_passenger.c>
PassengerRoot /usr/lib/ruby/gems/1.8/gems/passenger-3.0.2
PassengerRuby /usr/bin/ruby1.8
</IfModule>
# sudo a2enmod passenger
※この後、バーチャルホストの設定でrailsのpublicディレクトリを指定すればおk
477:カミナリ桃@代行
11/02/06 00:40:42 ZC7zQ+r5.net
通常はこれでApacheを再起動すればおk
自分はAppArmorをぶっ込んでて影響が出たので、一旦停止させた
# cd /etc/apparmor.d/
# sudo aa-complain usr.lib.apache2.mpm-prefork.apache2
# sudo service apparmor restart
# sudo service apache restart
なお、passengerは標準ではproductionモードになっている
なのでproduction用のDB作成&マイグレーションを忘れないこと
※後でやることリスト
・rails用のapparmorの設定作り
・.htaccessでBASIC認証かけられるかどうかの確認
一時的に身内向けアプリを作成して身内のみに公開する予定なので、
basic認証+apparmorが必須。
478:カミナリ桃● ◆hzkudVaLnM
11/02/06 15:46:05 occzWThI.net
うぐぐ、規制でここに直接書き込めないから●買ってしまったよ…
なんかうちのプロバイダが永久規制らしい。
モリタポとかニダーランとかマンドクセ…
悔しいけど頑張って日記書き込んじゃうYO!(;ω;`)
AppArmor+Passengerな暫定設定が出来たYO!
何気にはまりポイントがあったので大変だったよ…(--;
今回のポイント
現象:
通常新たなWebアプリケーションをApacheに配置する場合、
/etc/apparmor.d/apache2.d 以下に設定を記述する。
ところがそこに設定を書いてもpassengerが立ち上がらない。
詳細:
上記の通常設定はサイト訪問者が訪れたタイミングでAppArmorがアクセス制限を行う。
しかし今回はapache起動時にpassengerを立ち上げられず死んでいる。
原因:
passengerはApacheのモジュールである。
つまり、passengerを入れたことにより、Apache自体のAppArmor設定を修正する必要があった。
479:カミナリ桃● ◆hzkudVaLnM
11/02/06 15:51:31 occzWThI.net
対処 (暫定です。一部問題を残してるYO!):
# sudo vim /etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2
capability chown,
capability dac_override,
capability dac_read_search,
capability fowner,
capability fsetid,
capability sys_ptrace,
capability sys_resource,
※上記の内容を既存のcapability設定の下に追加しました
# sudo vim /etc/apparmor.d/apache2.d/rails_app
^rails {
#include <abstractions/apache2-common>
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/ruby>
#include <abstractions/user-tmp>
/home/www/test_rails/hello/ r,
/home/www/test_rails/hello/* r,
/home/www/test_rails/hello/** r,
/home/www/test_rails/hello/log/* w,
/home/www/test_rails/hello/tmp/* rw,
/home/www/test_rails/hello/tmp/** rw,
/var/log/apache2/rails_access.log w,
/var/log/apache2/rails_error.log w,
/var/log/apache2/* w,
# ↑最後の行、動作確認のために/var/log/apache2以下の全ファイルに書き込みを許可してます。
# 本当は必要なファイルにのみ書き込み権限を与えるべきです。
}
480:カミナリ桃● ◆hzkudVaLnM
11/02/06 15:58:50 occzWThI.net
# sudo vim /etc/apache2/sites-enabled/rails_test
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName 192.168.11.20
DocumentRoot /home/www/test_rails/hello/public
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /home/www/test_rails/hello>
AAHatName rails
</Directory>
<Directory /home/www/test_rails/hello/public>
Options -MultiViews
AllowOverride All
</Directory>
ErrorLog /var/log/apache2/rails_error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog /var/log/apache2/rails_access.log combined
</VirtualHost>
#RailsEnv development
※あくまでローカル環境にpassenger + AppArmorを有効にしただけの設定です。
※参考にする場合は適宜自分の環境にあうよう書き換えて下さい。
481:カミナリ桃● ◆hzkudVaLnM
11/02/06 16:19:08 occzWThI.net
>>458 >>459
※Janeで↑のレスをポップアップ表示したらインデントが表示されて分かりやすいはず
「そもそもcapabilityって何よ」って方は以下のページが参考になります。
URLリンク(www.atmarkit.co.jp)
疑問・課題:
・capabilityについて
Apacheのエラーログ、及びaa-complain と aa-logprofを使ってで必要なcapabilityを導きだしたワケですが、
上記記載のcapabilityが本当に全てapache自体のAppArmorの設定ファイルに必要かどうかは疑問。
もしかしたら一部のcapabilityはWebアプリ用のAppArmor設定に記載すれば良いのかもしれない。
・Railsアプリ用のAppArmor設定について
基本はプロジェクトディレクトリの読み込みを全部許可、
railsで書き込みが行われるtmpとlogディレクトリは書き込みも許可にしてみました。
ただ、自分はRailsの知識があんまり持ってないので、過不足があるかもしれません。
補足:
・/home/www/test_railsディレクトリ内に、テストとして「hello」という名称のRailsアプリを作成/設置しました。
・Passengerはデフォルトの挙動でProductionとして動きます。
DBはProduction用のモノを作成し、マイグレーションしておきましょう。
・>>459の最後に「#RailsEnv development」とコメントアウトしてますが、
このコメントを解除するとdevelopmentモードで動きます。
482:カミナリ桃● ◆hzkudVaLnM
11/02/08 00:30:28 D8ya1mNa.net
railsアプリのデプロイを考える
・Git + Capistrano で幸せになるらしい
URLリンク(rubyonrails.org)
・Gitのメリットは何ぞや?ってことで今更ながらにWikipediaで調べる俺Subversion派
・公開鯖ではGitをサーバとして動かしたくない。
オイラのローカルマシン(Windows7)をサーバにして、リモートの公開鯖で自宅を見るようにしたい。
※自宅が固定IPだから出来る荒技(?)です。
・Windows環境でGitサーバー環境を構築しようとすると死ねるらしいよ(--;
URLリンク(tobysoft.net)
・VMWare上のUbuntuにGit入れてGit鯖として動かせばよくね?
・今日は眠い寝る ← 今ココ
483:カミナリ桃● ◆hzkudVaLnM
11/02/10 00:12:58 f0jCGso1.net
gitについての認識がかなり間違えていた様子。
・SSH使えば変なプロトコルあけなくておk
・というか特に設定しなければSVNみたくサーバとして起動してるわけじゃない?
・gitって↓みたいな流れなのか?
・gitユーザ作る
・SSH公開鍵作ってログイン出来るようにする
・エンドユーザー側のgitコマンドがサーバ上のgitユーザのディレクトリにログイン
・普通にファイルとしておいてる(?)リポジトリへコミットしたりクローンしたり…
日本語周りとWindowsそのものが鬼門くさいがあたって砕けてみるべし
484:カミナリ桃● ◆hzkudVaLnM
11/02/11 22:36:40 8TVYQXiF.net
gemのバージョンアップについてメモ
gemは手動でインスコしたため、aptitudeに頼らず自分でアップデートしていく必要がある。
今回、gemが1.5.2にアップデートしていたため、gem update --systemしたが「そんなコマンドねぇよゴルァ!!」って言われたorz
gem help したら普通にupdateについて載ってるんですけど…
この状況について思い当たる節があったので、以下実行
# sudo gem install rubygems-update
# sudo update_rubygems
これでgem -vしたらちゃんと1.5.2って返してくれたYO!
この状況で再度 sudo gem update --systemしたら
「現在のバージョンが最新だよ★」的なことを言われた。
以下、自分用メモ
・gem update --systemで問題ない時はこれをやる
・それが上手くいかない時はrubygems-updateを入れて対処する
・なんかおかしいと思ったらgem本家を覗いてみる
URLリンク(rubygems.org)
485:カミナリ桃● ◆hzkudVaLnM
11/02/12 13:32:16 KNpu3Vez.net
gitをサーバ側にインストールする
・gitは分散リポジトリであるために便利でもあり、また不便でもある
特に運用面については規模や既存の環境を考慮する必要有り。
・自分の運用を説明する前に、まず「通常であればこうするだろう」という意味を含めて
Gitosisを紹介しておく
URLリンク(progit.org)
・中央のリポジトリを運用する場合、間違いなくGitosisは有用。
通常はこちらで構築した方が間違いなく楽
・さて、自分はGitosisを使わない。ssh+gitの構成のみでやっていく。
理由は以下の通り。
・コミットもプルもリポジトリの閲覧も自分しか行わない。
完全にクローズなリポジトリを作成したい。
・自分一人であればローカル環境のみにリポジトリを作れば良いが、
Railsアプリのデプロイのためにgitを利用したい
・自分だけで良いのであれば、余計なモノはサーバに入れず、セキュリティを優先させたい
※注意:Gitosisのセキュリティが甘いワケではありません。
サーバ管理者として「不要なものは入れない」の原則を貫いているだけです。
486:カミナリ桃● ◆hzkudVaLnM
11/02/12 13:36:36 KNpu3Vez.net
★以下、導入手順
sudo aptitude install git-core
# git用ユーザの作成
sudo adduser --system --shell /usr/bin/git-shell --gec
487:os 'git version control' --group --disabled-password --home /home/git git # リポジトリの作成 sudo -u git mkdir /home/git/project.git cd /home/git/project.git sudo -u git git --bare init # sshの設定 sudo -u git mkdir /home/git/.ssh sudo -u git chmod 700 /home/git/.ssh sudo -u git touch /home/git/.ssh/authorized_keys sudo -u git chmod 600 /home/git/.ssh/authorized_keys ### ssh-keygenなどで鍵を作成し、公開鍵をauthorized_keysに書き込んで下さい ★補足 ・当然ですがsshは鍵を使ってのログインのみ許容、パスワードのみのログインは拒否してます。 ・adduserは鳥/unixの種類によって大幅にコマンドラインオプションが違います。上記の内容はUbuntuのモノです。 ・git-shellはgitコマンドしか実行出来ない特別なシェルです。 このシェルを設定しているユーザーにteratermやsuとかでログインしようとすると「馬鹿なの?死ぬの?」って言われます。 クライアント側のgitコマンドでのログインのみ許容する素敵シェルです。 ※gitosisだと通常の/bin/shが必要。git-shellを使うためにgitosisを入れないようにしました。 ・上記の設定例では「git」ってユーザを作成してますが、自分は別のユーザーを作成してます。 Gitのサーバ構築については以下のサイトが滅茶苦茶参考になるので目を通すこと ※特に第4章がサーバ構築についての章なので、ここだけは必ず目を通すべし Pro Git http://progit.org/book/ja/
488:カミナリ桃● ◆hzkudVaLnM
11/02/12 14:14:01 KNpu3Vez.net
★gitクライアント側に関するエトセトラ
ここではWindows環境でのgitについてメモ
・ファイル名に日本語使うとあらゆる意味で死ねる
・コメントはUTF-8で投げること
・WindowsでGitを使う場合、以下の3つが候補になるはず
・msysGit
・TortoiseGit
・EGit(Eclipseプラグイン)
・msysGitの場合、ユーザディレクトリに.sshを作成し、以下のように配置していく
.ssh/id_rasa #←秘密鍵
.ssh/config #←サーバ毎の設定
・.ssh/configには以下のような感じで設定する
Host サーバ名
User Gitのユーザ名(上記の例だとgit)
Host サーバ名
Port sshのポート
・Userの行以下は空白2文字あり。
Jane等で→のポインタにマウスをあわせれば確認可能(>>466)
・秘密鍵を別名にしたい場合などはsshのconfigについてググるべし
489:カミナリ桃● ◆hzkudVaLnM
11/02/12 22:20:58 KNpu3Vez.net
今Pro Gitのブランチ関連の章を見てるんだが、Subversion脳には理解が難しいお…
Pro Git
URLリンク(progit.org)
490:カミナリ桃● ◆hzkudVaLnM
11/02/13 17:01:20 jwfpOdmn.net
うちのサーバからのメールが来るようになった―!!(><
とりあえず走り書き
・exim4でスマートホスト
・gmailで独自ドメイン(Google Apps)
・/etc/aliasesでローカルユーザー宛のメールを独自ドメインメールアドレスへ飛ばす
491:カミナリ桃● ◆hzkudVaLnM
11/02/14 22:23:47 CeEhppQu.net
うぐぐ…
システムからのroot宛のメールが「root@独自ドメイン」になってて
メールでりばりーエラーとなっていた件。
設定修正しなくては…
492:カミナリ桃● ◆hzkudVaLnM
11/02/14 23:27:38 CeEhppQu.net
そいや>>411で報告していたaa-logprofのエラーが今は出ない様子。
カーネルがアップデートするたびにAppArmor関連のモジュールも更新されてるし、
その中で解決したのかな?
493:カミナリ桃● ◆hzkudVaLnM
11/02/25 00:08:48.08 I6G8jR31.net
うちのサーバからのcronメールの問題、
/etc/mailname を独自ドメインからlocalhostに変えて解決。
やっと作業の時間が取れたよ…
494:カミナリ桃● ◆hzkudVaLnM
11/02/28 00:47:33.16 /JY34Mt2.net
Passengerを3.0.2から3.0.3へアップデートしたのでメモ
# sudo gem install passenger
# passenger-install-apache2-module
passenger-install-apache2-module を実行した際に、
「Apacheの設定を書き換えてね♪」って例示付きで指示がある。
指示に従い、Apacheの設定ファイルを書き換える。
495:>>455で記載している設定ファイルの「3.0.2」となっているところを 「3.0.3」に書き換えるだけでおk 後はApacheを再起動して終わり 参考:本家のアップデート通知 http://blog.phusion.nl/2011/02/24/phusion-passenger-3-0-3-released/ 本家みて思ったんだけど、最後の方にUbuntuのdebパッケージでのインスコ方法が 載っているような…orz
496:カミナリ桃● ◆hzkudVaLnM
11/03/06 16:01:29.94 jXEya1ZX.net
毎日メールでlogwatchの報告やらtripwireからの報告が届いてうれしい今日この頃。
でも後一個、アップデートが見つかったらメールで通知するようにしたい。
Ubuntuだとログイン時に「アップデートあったYO!」って通知してくれるんだが、
これをメールで受け取れるようにはならないかなぁ?
探してみたら「アップデートが見つかったら自動的にアップグレードする」ってパッケージは見つけたけど、
アップグレードは手動で行いたい。なんとかならんものか…
497:login:Penguin
11/03/07 16:19:31.29 PULTGviq.net
aptの結果をgrepで拾って結果をメールするかしないか判断するスクリプト書けばいいんじゃないすかね?
498:カミナリ桃● ◆hzkudVaLnM
11/03/11 00:18:22.79 6KGTaDju.net
>>474
あ、そっか。そんなスクリプトを組めばいい話だよね。
最近ぬるま湯に浸りすぎて作るという発想自体思い浮かばなかったよ(--;
今度の休みに自分で作ってみるお。
ありがと~><
499:カミナリ桃● ◆hzkudVaLnM
11/03/12 00:21:44.60 1GBrkqET.net
ぐう、日本がヤバイやばいヤバイ
とりあえず知り合いは全員無事を確認できたが、
ここの板のみんなは大丈夫か…?
500:login:Penguin
11/03/12 01:52:04.84 c/A6I+Tu.net
URLリンク(news.google.com)
501:login:Penguin
11/03/12 22:16:00.86 7gaOP7un.net
今現在も小さな余震が続く。
502:カミナリ桃● ◆hzkudVaLnM
11/03/13 01:44:22.11 vZR79RKZ.net
一日中テレビ見てる。
何かしたくても九州の安全な場所にいる自分には募金しか出来ねぇ…
ネットで何か出来ないか漁ってみるも、
ツイッターは誰も彼もが焦りすぎて正確性不明な情報のRTばかり。
精神的に結構くるね。
503:カミナリ桃● ◆hzkudVaLnM
11/03/23 23:43:15.22 niKyx287.net
個人的な日記。色々ぼかしてます。
全ての勝負は後半年の間、何をするか、どんな自分になるかにかかっている。
上手く立ち回って半年後に次の段階へ進めたら、今度は一年、三年といった戦いになる。
けれども最初の半年にうまくいかず、しかも悔いが残る立ち回りであれば…
細くて暗い、茨道を歩むことになる。
だとすれば、常に答えを出し続けなくてはいけない。
1日の答え、1週間の答え、1ヶ月の答え…
最終的に出し続けた答えがその後の道になる。
504:login:Penguin
11/03/28 21:42:35.36 uBOArrBs.net
debianをsqueezeにしたら、何だか
PM: Error -22 checking image file
がログに残るようになった。
で、えいやっと(私の場合、/dev/swap_partition は /dev/sda5)
swapoff /dev/swap_partition
mkswap /dev/swap_partition
swapon /dev/swap_partition
reboot
そしたら、エラーは出なくなったが、swapが0に。
/etc/fstab のswapのUUIDを書き換えるの忘れてたorz