うまいぼうぶろぐ

linuxとhttpdとperlのメモ

big-ip source nat part2

hogem.hatenablog.com 追記で書いたけど↑は任意のsourceからとあるStandardなVirtualServerへアクセスしたときのsource nat とはいえ結局はnatなので半分ぐらいかぶってる。 今回は宛先がVirtualServerではなくて、 特定のserverからbig-ipをdefault gateway…

環境変数SSLEAY_CONFIGでopenssl.cnfのファイルを指定する

opensslでprivate CAを作るとRHELの場合は/etc/pki/CA/ (openssl.cnfは/etc/pki/tls/openssl.cnf)が自動的に指定されるので、rootじゃないと証明書を作成できない。一般ユーザで場所を指定したい場合はどうしたらいい?と思ってopenssl ca help をみると" -c…

sendmailで特定のホスト宛にSTARTTLSの接続に失敗して(平文ですら)送信できない現象

/var/log/maillog STARTTLS=client, error: connect failed=-1, SSL_error=1, errno=0, retry=-1 STARTTLS=client: 26136:error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small:s3_clnt.c:3342: ruleset=tls_server, arg1=SOFTWARE,…

クライアント証明書発行(作成・署名)時のパスワードをターミナルから入力する

/etc/pki/tls/misc/CA -newreq だとパスワードを聞かれるので 内部で実行されている openssl reqを直接実行して、標準入力から読み込むようにする。スクリプトにがっつりパスワードを書いていて無条件に署名するので 本番運用するCAの場合は取り扱い注意。や…

opensslとcurlでクライアント証明書を使ってHTTPS接続する

1年ぶりにやったらど忘れしてる。 クライアント証明書発行 事前にプライベートCA作っておくこと 詳細は省略 /etc/pki/tls/misc/CA -newca クライアント証明書用 秘密鍵、CSR作成 /etc/pki/tls/misc/CA -newreq上で作ったファイルがあるディレクトリでCAで署…

big-ip でSSLクライアント認証&外部のOCSPレスポンダを使って証明書の失効を管理する

AskF5 | Manual Chapter: Configuring Remote SSL OCSP Authentication 参考:hogem.hatenablog.com URLはpoolではなく、直接指定しかできないから、真面目に使うならサーバ間でHAとかしないとダメ? と思ったけどvirtualserverのIP宛でも指定できたので、事…

snmpでlinuxのdisk パーティション監視

cacti/cloudforecastってどやって取ってるん?とふと気になって調べた。 cloudforecastのlib/CloudForecast/Data/Disk.pm 見てたらhrStorage* という単語あったので snmpのoid見てたらこの辺だった。 各サーバのsnmpd.conf にdiskの設定追加しなくても良い方…

pfSense - ソフトウェアルータ

お手軽にsnort使える環境ないかなーと思って色々調べてて (サーバ自身にsnortを入れるという方法は除外して) vyatta/vyos で出来んじゃねーのと思ってたけど forum見ると、brocade買収後?しばらくしてsnortはsupportされなくなったとか。 で他のもの探して…

mailコマンドでlocalのmtaではなく外部のsmtpサーバを指定

これあんまりやらんからすぐ忘れちゃう。 mail -S "smtp=smtp://192.0.2.1:25"もしくは~/.mailrc set smtp=smtp://192.0.2.1 ちなみにsendmailコマンドの場合 /etc/mail/submit.mc FEATURE(`msp', `[192.0.2.1]')dnl postfix版のsendmailコマンドは不明

memo MySQL互換 のマルチマスタ - Percona XtraDB Cluster

あとでまじめに調べる http://qiita.com/mita2/items/70ca2dbe8f08e943c747 perconaはMySQL互換で独自機能を加えたRDBサーバ Slowログに拡張がされてたりするのは良い感じ。http://qiita.com/nownabe/items/7d4420f8a657aafe85f6 http://qiita.com/nownabe/i…

incrond / inotify cron - inotifyのeventを検知したらcrontab風の書式に従ってコマンドを実行するデーモン

便利ソフトウェアです。incronを知らなかったので、昔はこんなことしてた。 inotifywatchでイベントを監視してコマンド実行する 一時的なコマンドならこれでも良かったけど、ファイルが増えるとさすがに面倒。 incrondはincrontabコマンドでcrontab風に書か…

nginxでerror_pageにproxy_pass配下のURLを指定する

たぶん普通?は逆で、例えば 403 error時にproxy_passではなく localのerror_pageを見せたいというときは こう。 error_page 403 /403.html; proxy_intercept_errors on; 今回は、403 error時にbackendのapacheの特定のURLを見せたいという場合 named locatio…

A10 vThunder 仮想アプライアンス 評価版 memo

30日、5Mbps制限の評価版 https://www.a10networks.com/vthunder-embed 対応ハイパーバイザ Hyper-V ESXi KVM Software Downloadから選択したハイパーバイザに対応したソフトウェアをdownload Request Licenseにはhost id を入力してライセンスをコピーしと…

Big-IP APM memo

参考: hogem.hatenablog.com www.f5networks.co.jp SSL - Client Profile 証明書によるクライアント認証を行いたい場合、 普通はclientssl profile でClient Authenticationにrequireにする。 かつ、OCSP レスポンダを使う場合はvirtualserverでAuthenticati…

スクリプト内でパスワードを保存しないといけないときに平文は嫌なので暗号化して対処する

http://auewe.hatenablog.com/entry/2014/04/14/213319 シェルスクリプトの平文パスワードをセキュアにする方法 これ良いですね。たいていの場合、sshの認証で鍵を作ってるだろうから 余計なファイル作らなくてもできるので手っ取り早いし。 ### encrypt $ o…

ipmitool でInfo: SOL payload disabledと言われてログインできなかったのを直す

# ipmitool -v -I lanplus sol activate -H 192.168.0.1 -U user Running Get PICMG Properties my_addr 0x20, transit 0, target 0x20 Error Response 0xc1 from Get PICMG Properities No PICMG Extenstion discovered Info: SOL payload disabled # ipmit…

nfs4 server起動直後(もしくはHA切り替わり後)にclientから90秒間アクセスできない現象

dmesg, messages にこれが出てるから仕様だと思って諦めてた。 NFSD: Using /var/lib/nfs/v4recovery as the NFSv4 state recovery directory NFSD: starting 90-second grace period が、redhatに解決法書いてた。 https://access.redhat.com/solutions/428…

10Gbe環境でのdrbd設定tuning - 特にmax-buffersとmax-epoch-size

https://drbd.linbit.com/users-guide/s-throughput-tuning.html https://www.3ware.co.jp/archives/1655 version: drbd 8.4.6, drbd-utils 8.9.3 きっかけ 10Gbase-SR で接続してc-max-rate, rate で1000M, 300M (MByte/sec) などにしても実際の速度が80MBy…

RHEL6/CentOS6 nfsサーバ /etc/hosts.allow memo

https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Storage_Administration_Guide/ch-nfs.html http://nfs.sourceforge.net/nfs-howto/ar01s03.html http://www.turbolinux.co.jp/products/server/11s/user_guide/nfssetup.ht…

owncloud - 自前のオンラインストレージ環境

Dropboxような環境を文字通り自前のオンプレ環境やaws上などで構築できるオープンソース。規約などによりよそのASPが使えないけど、共有ストレージ環境が欲しい、というときに出番あるかも。クライアントもwebブラウザ以外に各OS以外にアプリケーションが用…

piwik でリアルタイムではなくログ取り込む

piwik - オープンソースのアクセス解析ソフト Google Analitics みたいなもの。 リアルタイム解析 基本的にはこっちの方法で使う? piwikで設定したサイトごとのjavascriptを各ページに埋め込んで使う。 アクセス解析対象のサーバが複数ある場合、 piwikもそ…

RHEL/CentOS Software Collections で(少し)新しいバージョンを使える

http://www.slideshare.net/moriwaka/red-hat-software-collections http://blog.co-mit.com/post/15/RedHat+Software+Collections%E3%81%AF%E7%B4%A0%E6%99%B4%E3%82%89%E3%81%97%E3%81%84 http://www.idcf.jp/blog/cloud/software-collections-for-centos-…

yumの変数定義

すぐ忘れる。ほんと忘れる。 https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/sec-Using_Yum_Variables.html /etc/yum/vars/ 以下にファイル作る。 ファイル名が変数名、中身が値 おまけ: rpmbuild のデフ…

jq コマンド 初めて知った(json)

http://qiita.com/takeshinoda@github/items/2dec7a72930ec1f658af http://stedolan.github.io/jq/download/ JSON 出力を食わせれば項目ごとに改行されて良い感じに表示したり、 grepのように特定の項目のみ表示したりできる。素敵。

aws 帯域(bps)と転送量(byte)と料金の目安メモ - ec2とs3とcloudfront

aws

概要 awsのトラフィックの料金が良くわからないので調べたメモ。 が、どうも計算結果が高すぎる気がするので何か間違っているかも。あとでもう1回調べる。 traffic snmpで監視しているとサーバがどれぐらい帯域使っているかわかる。 例えばcactiを利用すれ…

supervisor - 任意のコマンドをdaemonizeするブツ

http://supervisord.org/configuration.html daemontoolsみたいなもの?ざっと見たメモ supervisord が常駐 子プロセスとしてコマンドを実行/管理 コマンドはフォアグラウンドで実行 子プロセスが終了したら再度実行する 実行ユーザの指定、環境変数の設定等…

powershellで容量の多いディレクトリ調べる

https://code.msdn.microsoft.com/windowsdesktop/PowerShell-tips-238e0d0c > function dusage{ param([String]$tgtDir = (pwd).Path) filter dusage_filter{ $sum = (dir -literalpath $_.FullName -recurse -force -erroraction silentlycontinue | measu…

network モニタ用コマンド

Linuxでネットワークの監視を行えるモニタリングコマンド20選 http://orebibou.com/2014/09/linux%E3%81%A7%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%81%AE%E7%9B%A3%E8%A6%96%E3%82%92%E8%A1%8C%E3%81%88%E3%82%8B%E3%83%A2%E3%83%8B%E3%…

apache suexec + php cgi mode (mod_action) 復習

復習。 以前はsuPHPを試したこともあるけど d.hatena.ne.jp php 5.3から各コンテンツディレクトリで.user.ini 置くことで 設定上書きできるようにもなったので、apacheとphpだけのsimple構成を復習する。 概要 suexecしてcgiはユーザ権限で動かす phpはmodul…

openssh chrootかつsftpだけ利用できる環境を構築する

参考 https://en.wikibooks.org/wiki/OpenSSH/Cookbook/SFTP#Chrooted_SFTP-only_Accounts 設定があまり複雑でなくて、色々な落としどころ求めたらこうなった。利用するのはopenssh。 opensshのMatch User(Group)とChrootDirectoryを使えばいいけど、 openss…