読者です 読者をやめる 読者になる 読者になる

うまいぼうぶろぐ

linuxとhttpdとperlのメモ

jq コマンド 初めて知った(json)

http://qiita.com/takeshinoda@github/items/2dec7a72930ec1f658af http://stedolan.github.io/jq/download/ JSON 出力を食わせれば項目ごとに改行されて良い感じに表示したり、 grepのように特定の項目のみ表示したりできる。素敵。

aws 帯域(bps)と転送量(byte)と料金の目安メモ - ec2とs3とcloudfront

aws

概要 awsのトラフィックの料金が良くわからないので調べたメモ。 が、どうも計算結果が高すぎる気がするので何か間違っているかも。あとでもう1回調べる。 traffic snmpで監視しているとサーバがどれぐらい帯域使っているかわかる。 例えばcactiを利用すれ…

supervisor - 任意のコマンドをdaemonizeするブツ

http://supervisord.org/configuration.html daemontoolsみたいなもの?ざっと見たメモ supervisord が常駐 子プロセスとしてコマンドを実行/管理 コマンドはフォアグラウンドで実行 子プロセスが終了したら再度実行する 実行ユーザの指定、環境変数の設定等…

powershellで容量の多いディレクトリ調べる

https://code.msdn.microsoft.com/windowsdesktop/PowerShell-tips-238e0d0c > function dusage{ param([String]$tgtDir = (pwd).Path) filter dusage_filter{ $sum = (dir -literalpath $_.FullName -recurse -force -erroraction silentlycontinue | measu…

network モニタ用コマンド

Linuxでネットワークの監視を行えるモニタリングコマンド20選 http://orebibou.com/2014/09/linux%E3%81%A7%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%81%AE%E7%9B%A3%E8%A6%96%E3%82%92%E8%A1%8C%E3%81%88%E3%82%8B%E3%83%A2%E3%83%8B%E3%…

apache suexec + php cgi mode (mod_action) 復習

復習。 以前はsuPHPを試したこともあるけど d.hatena.ne.jp php 5.3から各コンテンツディレクトリで.user.ini 置くことで 設定上書きできるようにもなったので、apacheとphpだけのsimple構成を復習する。 概要 suexecしてcgiはユーザ権限で動かす phpはmodul…

openssh chrootかつsftpだけ利用できる環境を構築する

参考 https://en.wikibooks.org/wiki/OpenSSH/Cookbook/SFTP#Chrooted_SFTP-only_Accounts 設定があまり複雑でなくて、色々な落としどころ求めたらこうなった。利用するのはopenssh。 opensshのMatch User(Group)とChrootDirectoryを使えばいいけど、 openss…

xfs_quota memo

https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Storage_Administration_Guide/xfsquota.html uquota / ユーザquota gquota / グループquota pquota / プロジェクトquotalinuxの通常のquotaではディレクトリ単位の制限がで…

linuxでディレクトリ単位の容量制限

linuxのquotaってuid/gid 単位だからディレクトリ単位は無理じゃね?と思って調べた。 ddで空ファイルを作って、loopでmountする quotaを使用しないディレクトリ単位の容量制限 - とあるネットワーク管理者の苦悩d.hatena.ne.jpこれ簡単で楽チンですね。ddで…

roundcube - オープンソース webmail

Roundcube - Free and Open Source Webmail Software phpで動く mysql / pgsql / sqlite imap 対応 web上で動くimap対応clientなので、サーバ側は別途設定しとく必要あり(postfix/dovecotなど) メニューも日本語対応しててオープンソースの割になかなかよさ…

big-ip irule でlog (syslog) 設定

https://devcentral.f5.com/wiki/iRules.log.ashx local (big-ip) log local0. "foobar"などとすると/var/log/ltm に出力される remote log 192.168.0.10 "foobar" log 192.168.0.11 local0.info "hogehoge"とするとremote にsyslog送信できるので、 特定の…

big-ip tmsh cli で設定

memo v11.5.1 ve版 v11からshow running-config one-line が使えるようになったのでその出力を見れば、だいたいわかる。 ただし、例えばjuniper srx, screenos の場合はset address ... のように"set"も出力されるけど bigipはcreate ltm node ... のように"…

RHEL6 linux quota usrquota grpquota

久々にやったら昔とコマンドのオプション変わったのができなかったのでfstab /dev/mapper/vg1_lv_home /home ext4 defaults,usrquota,grpquota 0 0aquota.user, aquota.group はtouchなどをしなくてもquotacheck -c (create) で作ってくれた。 mount /home -…

apache でload average の値によってページを差し替えるサーバ負荷に優しい方法

# aws でauto scaling しろよ、というのはさておき http://httpd.apache.org/docs/2.2/rewrite/rewritemap.html http://httpd.apache.org/docs/2.2/programs/httxt2dbm.html RewriteMap で外部のファイル/コマンドを実行した値を変数に入れて、RewriteCond …

vSphere APIでVMware をlinuxから操作する

account作って、my vmwareからdownloadVMware vSphere CLI https://developercenter.vmware.com/web/dp/tool/vsphere_cli/ vSphere Perl SDK for vSphere https://developercenter.vmware.com/web/dp/sdk/55/vsphere-perl というのからも別ファイルがdownloa…

VMware esxtop の出力モニタリング

各ゲスト のiops (esxtop v モード) をグラフ化しようとして手取り早くsnmpで取れないかなーと思って調べてたけどsnmpの出力にはなさそう。無念 https://communities.vmware.com/message/1337886 https://communities.vmware.com/message/81354

色つきのdiff

colordiff (yum install --enablerepo=epel colordiff) git diff --color git diffはリポジトリ管理してないファイル同士のdiffにも使えるのが素敵。最近だとだいたいOSに入ってそうだし。

最新のscreenosに上げるときの注意事項

> exec pki test skeyKEYで表示される文字列の8文字目がcだと古い認証KEY 8文字目がdだと新しい認証KEY 認証keyを更新しないとsave softwareで新しいscreenosを保存できない その後、機種によっては再起動時にコンソールから boot loaderも更新しないといけ…

big-ip でSNI (Server Name Indication)

SNI SSL/TLSの拡張仕様 HTTPS でのname baseのvirtualhostを利用するためのもの http://ja.wikipedia.org/wiki/Server_Name_Indication (ワイルドカード証明書/マルチドメイン証明書はまた別の話なのでここでは置いておく) # 従来 HTTPの場合はhostヘッダでv…

RHEL yum でinstallしたapache はLoadModuleからsuexec_module を決しても/usr/sbin/suexecがあるとsuexecが有効になるみたい

# source installした場合は試してない。httpd.conf (or includeされているその他のfile)でloadmoduleしている場合 $ grep suexec httpd.conf LoadModule suexec_module modules/mod_suexec.so $ httpd -M 2>&1 | grep suexec suexec_module (shared)起動時…

big-ip tmsh show running-config をterminal length 0 風(あるいはno-more)に表示する

big-ip tmsh show running-config と打つと(もしくはtmsh に入ってからrunning-config) # tmsh show running-config Display all 170 items? (y/n)と確認されるけど、ログ取得時などに毎回確認されるのがうっとうしい。cisco iosだと # terminal length 0 # …

juniper screenos NAT メモ

久々すぎて一部忘れてた VIP MIP DIP ポリシーベース Nat-Dst, Nat-Src 設定内容によっては複数の方法で実現できるものもあるけど、基本的にはこんな感じ? VIP Virtaul IP dest NATで使う。 untrust interfaceでのみ設定可能。 untrustに設定した(通常は)グ…

scriptで取ったログをcolで変換すると怒られてテキストに変換できないときの対処

scriptで取ったログは入力したバックスペースや表示される(目に見えない)制御記号なども記録されるので $ col -bx < typescript > log.txtなどとすれば良いんけど、端末の文字コードとテキストの文字コードが一致していないと(?)文字化けして怒られて、変換…

big-ip source nat

https://support.f5.com/kb/en-us/solutions/public/6000/000/sol6017.html 追記 これは任意のsourceからとあるStandardなVirtualServerへアクセスしたときのsource natのお話です 追記おわり VirtualServer Source Address TranslationでAutoMap (floating …

netapp ip 設定?

https://library.netapp.com/ecmdocs/ECMP1368834/html/GUID-3C690A8F-691A-45F2-BA1D-05F945E14515.html /etc/hosts /etc/rc /etc/hostsにhostname、"hostname"-e0a などを書いとく? 192.168.0.1 netapp netapp-e0a 10.0.0.1 netapp-e0b /etc/rc netmaskを…

glusterfs 復旧に関するメモ

replica volume 復旧メモ 2 node でreplica 2 (つまりただの冗長目的) sv01, sv02 gluster peer probe sv02 gluster vol create vol1 sv01:/export/vol1 sv02:/export/vol1 gluster vol start vol1 この状態でsv02が完全に壊れて、再度replica 2の状態に戻す…

apache 400 エラーページについて

http://httpd.apache.org/docs/2.4/en/custom-error.html http://httpd.apache.org/docs/2.4/ja/custom-error.html documentに明示されていないけど、400 エラーについては ErrorDocument 400 /error/400.htmlのようなファイルパスは使えない。こっち ErrorD…

RHEL bondingの設定教えてくれるURL

https://access.redhat.com/labs/networkbondinghelper/ 要redhat network account ガイドにしたがってポチポチ入れてたらコンフィグ(ifcfg-*)用意してくれる。 ど忘れしたときに良いかも。

MySQLの公式yum リポジトリ

RHELのyumのmysqlはバージョン低いから今までdev.mysql.domからbinary取ってきてたんだけど、これだと構成管理上めんどくせーなーと思っていた。 が、いつのまにかyum/rpmが用意されてた。ありがたや http://dev.mysql.com/downloads/repo/yum/ # wget http:…

memo: ddでバッファを含まずにdiskのwrite(sequential)の性能を見るときは conv=fdatasync をつける

ちょいちょいオプション忘れる $ dd if=/dev/zero of=./hoge.dat bs=1M count=10000 conv=fdatasync

github 風のcss (markdownからhtmlへエクスポートするときに使う)

https://gist.github.com/andyferra/2554919 例えばこれをgithub.cssで保存しておいて、pandoc で変換する場合は pandoc -c github.css input.md -o output.htmlなどとやれば素敵htmlが出来上がる。。

ansible でRHEL(CentOS)の5と6の判別の仕方

ansible -m setup host を叩いてrhel5/6で区別できる値を見つけたら良い。 なのでこれでいけるぽい。 when: ansible_os_family == "RedHat" and ansible_distribution_version|int == 6ちなみに RHEL5にだけ ansible_lsb (.major_release .release など) と…

cipherscan でサーバが対応してるSSL cipher suite 確認

ssl

https://github.com/jvehent/cipherscan 実体はシェルスクリプトだったので中身ちら見したところ、openssl s_client で色んなcipher suiteで接続を試して、OKだったやつをまとめて表示してくれてるぽい

varnish でuser-agent(のグループ) ごとにキャッシュする

これメモってた気がするんだけど、検索してもひっかからなかったし だいぶ更新放置しているので久々に書く。 https://www.varnish-cache.org/docs/3.0/tutorial/devicedetection.html 同一URLでもアプリケーションによってPC/スマートフォン/ガラケー などで…

RHEL系で古いカーネルをさくっと削除する

yum update しても古いカーネルは残っているので、場合によっては適当なタイミングで削除しないといけない。で、今まではrpm -qaやuname -rなどでkernelのバージョンを確認したあと、不要なものを都度yumで指定して消してたんだけど、素敵コマンドで一発で出…

bigip ssl ciphersuite 確認

# tmm --clientciphers DEFAULTSSLv3を除外した場合を見る場合はこんな感じ。 "!"をシェルが展開しないようにクォートしておく。 # tmm --clientciphers 'DEFAULT:!SSLv3'

big-ip ssl profile

https://support.f5.com/kb/en-us/solutions/public/13000/100/sol13163.html http://www.f5networks.co.jp/shared/pdf/Heartbleed-JP.pdf ssl profile Cipherによって2種類の処理モードがある 1. NATIVE - default - F5のtmos上に実装された処理モード - SS…

bashでリダイレクトを使ったソケット通信

vpsのhttpdのログにbash脆弱性を狙ったアクセスが来ていて、たいていはどこかへpingを実行したり、HTTPヘッダにX-Bash-Test というのを含めて脆弱性を確認してるだけ、みたいなのだけど、その中で見慣れないログを見つけた。 User-Agent: () { :; }; /bin/ba…

古いRHEL (RHEL5) を放置してたらSSLの証明書期限切れでrhn_registerが使えなくなってた時の対応

https://www.jpcert.or.jp/at/2014/at140037.html bash 脆弱性対応のためにyum update bash しようとしたら、一部のRHEL5のサーバでyum が使えなくなっていた(もちろんサブスクリプション登録はしている)expiredという文字だけ見て、はじめはRHELの更新忘れ…

big-ip のMySQL root password をぶっこ抜く

いらんことするとサポート対象外になりそうだけど。検証用VE版なのでやりたい放題で。mysqlのroot passwordはおそらくbigip毎にrandomに設定される。 が、謎のmysqlのsh(mysqlはログ、APMのユーザ情報などが入っていて、クラスタ間で同期するシェル?) /usr/…

big-ip AFM さわりメモ

tmshのmodule名前はsecurity? show security ... list security ...defaultではcliではログみれない? https://devcentral.f5.com/questions/security-event-logs-local-locations ログの設定をカスタマイズしてsyslogに出すようにすれば良いとか? http://s…

ncで簡易webサーバを起動する

外からNW、FWの疎通確認をしたいけどまだwebサーバでhttpd起動してなかった、というときなどに。 # echo "HTTP/1.0 200 OK" > hoge.txt # echo "" >> hoge.txt # echo "hogehoge" >> hoge.txt # while :; do nc -l 80 < hoge.txt ; done ファイル作るの面倒…

big-ip v11.5以降でpool memberをdownと誤判定してしまうbug

https://devcentral.f5.com/questions/health-check-failing-tcp-54321-is-this-more-than-a-coincidence これにぶち当たりました。サーバ(pool member)は問題ないのに、たまにbig-ipから死んでると判断されて、ちょいちょいsnmptrap飛んできていた。だいぶ…

tomcat エラーページに表示されるバージョンを消す

http://qiita.com/yteraoka/items/17a2d591b6b413a2360f https://www.owasp.org/index.php/Securing_tomcat 素敵情報みつけた。 404などのエラーページ(HTTPレスポンスヘッダではなく)、に表示されるバージョンを消したい。 上のリンク通り、jar ファイルを…

ngrepで保存したファイルはフラグが全部"P"になってしまう

ngrep -W byline をつけるとだいぶ便利なので、ついそのままの勢いで-O /tmp/hoge.cap などとしていた。 で後からそのパケット見ようとしたらRST以外のフラグが全部Pになってしまってた?? 保存するときはやはりtcpdump -w file 使った方が良いかな。 保存…

juniper firefly memo

http://www.juniper.net/support/downloads/?p=firefly#sw http://www.juniper.net/techpubs/en_US/firefly12.1x46-d10/topics/task/installation/security-virtual-perimeter-with-kvm-installing.html junosベースの仮想ファイアウォール。 ova(vmware)とk…

junos でJSRPの相方の機器にログインする

管理ポートにIP設定しとけば、直接そのIP宛で入れるけど、それをしてなかった場合の対応。 http://kb.juniper.net/InfoCenter/index?page=content&id=KB17410 JSRPの2台はnode0とnode1? $ ssh -l root 192.168.0.1 hoge% rlogin -Tnode1 fuga% cliファイル(…

Big-IPでCRLの更新

たぶん推奨されない方法。CRLの自動更新 あらかじめCA側で作成したcrlをimportして作成しておくこと。 openssl ca -gencrl -out /etc/pki/CA/crl/crl.pemこれをbig-ipが参照できるところに置く# cliで設定できるけどguiではできない tmsh modify sys file ss…

Big-IP バージョンアップ

http://www.f5networks.co.jp/shared/pdf/BIG-IP_TB_VerUP_1022-1100_TMSH.pdf http://www.f5networks.co.jp/shared/pdf/BIG-IP_TB_VerUP_1021-1022_GUI.pdf http://support.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/bigip-upgrade-active-stan…

drbd 8.4.5から管理系のコマンド(drbdadm等)がdrbd-utils に分離してた

http://lists.linbit.com/pipermail/drbd-user/2014-June/021381.html http://oss.linbit.com/drbd/8.4/drbd-8.4.5.tar.gz http://oss.linbit.com/drbd/drbd-utils-8.9.0.tar.gz なので、それぞれinstallする。 drbd kernel module (drbd.ko) tar zxvf drbd-…