SSL認証は特定のメンバー向けなサイトが多かったので基本オレオレ認証でやってきたのですがどうも無料でSSL証明書を取れるらしいので使ってみました。
サインアップする前にドメインのwhoisに指定されているメールアドレスが受信できる必要があります。またCSRも事前作成しておくとスムーズに進みます。作業は大まかに分けると下記の手順があります。
StartSSLのアカウント作成
まずはStartSSLのアカウント作成の手順から説明します。公式サイトにアクセスしたら「Start Now for Free SSL Certificate」をクリックします。
ある日メールボックスを開くととあるサーバーのfail2banからBanしたという通知メールが頻繁に届いていました。どこからか攻撃されているのだと思ったのですが、その本文を見ていくと、なぜか同じIPから立て続けに不正アクセスが来ていました。fail2banの設定では10分以内に5回以上ログインに失敗すると24時間iptablesによりブロックするよう定義していたはずでした。これはおかしいと思いサーバーへログインし、sylogをチェックすると、下記のようなログが残されていました。
ERROR iptables -w -N f2b-HTTP#012iptables -w -A f2b-HTTP -j RETURN#012iptables -w -I INPUT -p tcp -m multiport --dports 80,443 -j f2b-HTTP -- returned
どうやらiptablesにより正しくブロックされていないようでした。このログを見るとiptablesに-wというオプションを渡しています。私のしる限りこのオプションは見たことがなかったのでmanコマンドで調べて見ました。するとそこには-wオプションについて何も記載がありません。インターネットで検索して調べてみると、どうやら最近実装された新しいオプションのようです。CentOS6.7の最新のiptablesのバージョンはこの時点で1.4.7でした。
世間ではIPv4アドレスは枯渇したとかしないとか話題になっていますが、私個人としてはあまり普及している感じがしません。ただ今後徐々にIPv6が普及していくとなると、それが使えないでは困ってしまいそうです。最近ではプロバイダのIPv6対応も進み、家で使っているNTTぷららも追加料金なしでPPPoE方式によるIPv6が提供されていました。ただし、追加料金はないもののMA-100というよくわからない機器を別途購入する必要がありました。
MA-100(中央の紫の機器)
MA-100について調べてみると通常1万円前後で購入できるようです。ちょっと高い気がします。オークションなんかで転がってたりしないかなと思って検索してみるとなんと1,000円で無線カード付きで転がってました。残り時間はまだ4日なのでとりあえず入札して様子を見ていましたが、結局終了まで私以外誰も入札がなかったようで、1,000円で落札完了。送料を含めても2,000円を切る破格で入手できてしまいました。そんなに需要がないのか…。
自分のデスクトップPCはOSがUbuntuのみなせいなのか、起動時にgrubのメニューが表示されず、いきなりUbuntuが起動します。Ubuntu専用機なのでそれでもいいのですが、アップデート前のKernelを使いたい時などにgrubのメニューが表示されないと地味に困ります。今回その設定をしたので、メモ程度に手順を残しておきます。
/etc/sysctl.d/ipv6.confを新規作成して
net.ipv6.conf.all.disable = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1
とすればいいらしい。
AAAAフィルタを有効にするにはconfigureオプションに–enable-filter-aaaaを加える必要があります。しかしパッケージ版bindではこのオプションが有効になっていません。そこでソースパッケージをダウンロードし、その中のconfigureオプションを書き換えて生成されたパッケージをインストールする方法でAAAAフィルタを有効化します。
まずはbind9のビルドに必要なものをインストールし、ソースをダウンロードします。この時ソースはカレントディレクトリにダウンロードされますので/usr/local/src/bind9などのディレクトリを作成してそこに移動してから実行した方が良いです。
mkdir /usr/local/src/bind9
cd /usr/local/src/bind9
apt-get build-dep bind9
apt-get source bind9
ダウンロードが完了したら次のファイルを編集します。
下記のファイル内にconfigureオプションを指定している行があるので、そこに–enable-filter-aaaaを加えます
vi bind9-
編集したらビルドしてインストールします。
cd /usr/local/src/bind9
apt-get source -b bind9
dpkg -i *.deb
最後に/etc/bind/named.conf.optionsにfilter-aaaa-on-v4 yes;を追加し、bindを再起動すれば完了です。
当サイトはWordpressを利用しているわけですが、サイトの表示速度がちょっと遅いと感じています。そこでDBを最適化して高速化にチャレンジしてみました。
USBで接続したAndroid端末(今回はGalaxy S3a)をテザリング端末として利用した時のメモ。USBで接続し、端末側でUSBテザリングを有効にすると、Linuxの端末からは既にEthernetデバイスとして認識しています。なので下記のコマンドを実行してDHCPからIPを取得すれば何の問題もなく使えます。
chclient usb0
ちなみにこのUSBテザリングはWifi接続とテザリングすることも可能です。この場合NAT接続になりますのでLAN内にあるSambaサーバーにアクセスする事は可能ですが、逆にノートPCの共有フォルダへアクセスする事はできません。
xinitrcに下記のように追加したら普通に動いた。
export XMODIFIERS=@im=uim
export GTK_IM_MODULE=uim
uim-toolbar-gtk3 &
wmaker
Emacsでは.emacs.d/init.elに下記を追加で無事日本語入力できました。
(require 'mozc)
(set-language-environment "Japanese")
(setq default-input-method "japanese-mozc")
監視対象のサーバーにpingを投げてその応答時間(ミリ秒)をMRTGで測定する時のメモ。このデータは瞬間値でルーターの負荷などローカル環境の状態にも依存してしまう事からあまり信頼性の高いデータとは言えませんので参考程度の記録しかできません。
# ping_ftp_server #
Target[ping_ftp_server]: `ping -c 2 XXX.XXX.XXX.XXX | grep time= | sed -e "s/^.*time\=\([0-9]\+\).*$/\1/"`
MaxBytes1[ping_ftp_server]: 500
MaxBytes2[ping_ftp_server]: 500
Unscaled[ping_ftp_server]: dwmy
Options[ping_ftp_server]: gauge,absolute,noinfo,nopercent,unknaszero
YLegend[ping_ftp_server]: ms
ShortLegend[ping_ftp_server]: ms
LegendI[ping_ftp_server]: ms
LegendO[ping_ftp_server]: ms
Legend1[ping_ftp_server]: ms
Legend2[ping_ftp_server]: ms
Title[ping_ftp_server]: ping to ftp server
PageTop[ping_ftp_server]: <h1>ping to ftp server</h1>
XXX.XXX.XXX.XXXの所に監視対象のサーバーのIPアドレスを入れます。ホスト名でも大丈夫です。MaxBytesは応答時間(ミリ秒)の上限値です。ここではだいたい100msで帰ってくるサーバーを想定してますので上限を500に設定しています。1000ぐらいに設定して自動スケールを入れてもいいかもしれません。
ちなみにこれ(Targetの所に指定したコマンド)がやっている事は次のような感じです。改造する場合の参考になればと思います。