2014-01-01から1年間の記事一覧

glusterfs 復旧に関するメモ

replica volume 復旧メモ 2 node でreplica 2 (つまりただの冗長目的) sv01, sv02 gluster peer probe sv02 gluster vol create vol1 sv01:/export/vol1 sv02:/export/vol1 gluster vol start vol1 この状態でsv02が完全に壊れて、再度replica 2の状態に戻す…

apache 400 エラーページについて

http://httpd.apache.org/docs/2.4/en/custom-error.html http://httpd.apache.org/docs/2.4/ja/custom-error.html documentに明示されていないけど、400 エラーについては ErrorDocument 400 /error/400.htmlのようなファイルパスは使えない。こっち ErrorD…

RHEL bondingの設定教えてくれるURL

https://access.redhat.com/labs/networkbondinghelper/ 要redhat network account ガイドにしたがってポチポチ入れてたらコンフィグ(ifcfg-*)用意してくれる。 ど忘れしたときに良いかも。

MySQLの公式yum リポジトリ

RHELのyumのmysqlはバージョン低いから今までdev.mysql.domからbinary取ってきてたんだけど、これだと構成管理上めんどくせーなーと思っていた。 が、いつのまにかyum/rpmが用意されてた。ありがたや http://dev.mysql.com/downloads/repo/yum/ # wget http:…

memo: ddでバッファを含まずにdiskのwrite(sequential)の性能を見るときは conv=fdatasync をつける

ちょいちょいオプション忘れる $ dd if=/dev/zero of=./hoge.dat bs=1M count=10000 conv=fdatasync

github 風のcss (markdownからhtmlへエクスポートするときに使う)

https://gist.github.com/andyferra/2554919 例えばこれをgithub.cssで保存しておいて、pandoc で変換する場合は pandoc -c github.css input.md -o output.htmlなどとやれば素敵htmlが出来上がる。。

ansible でRHEL(CentOS)の5と6の判別の仕方

ansible -m setup host を叩いてrhel5/6で区別できる値を見つけたら良い。 なのでこれでいけるぽい。 when: ansible_os_family == "RedHat" and ansible_distribution_version|int == 6ちなみに RHEL5にだけ ansible_lsb (.major_release .release など) と…

cipherscan でサーバが対応してるSSL cipher suite 確認

ssl

https://github.com/jvehent/cipherscan 実体はシェルスクリプトだったので中身ちら見したところ、openssl s_client で色んなcipher suiteで接続を試して、OKだったやつをまとめて表示してくれてるぽい

varnish でuser-agent(のグループ) ごとにキャッシュする

これメモってた気がするんだけど、検索してもひっかからなかったし だいぶ更新放置しているので久々に書く。 https://www.varnish-cache.org/docs/3.0/tutorial/devicedetection.html 同一URLでもアプリケーションによってPC/スマートフォン/ガラケー などで…

RHEL系で古いカーネルをさくっと削除する

yum update しても古いカーネルは残っているので、場合によっては適当なタイミングで削除しないといけない。で、今まではrpm -qaやuname -rなどでkernelのバージョンを確認したあと、不要なものを都度yumで指定して消してたんだけど、素敵コマンドで一発で出…

bigip ssl ciphersuite 確認

# tmm --clientciphers DEFAULTSSLv3を除外した場合を見る場合はこんな感じ。 "!"をシェルが展開しないようにクォートしておく。 # tmm --clientciphers 'DEFAULT:!SSLv3'

big-ip ssl profile

https://support.f5.com/kb/en-us/solutions/public/13000/100/sol13163.html http://www.f5networks.co.jp/shared/pdf/Heartbleed-JP.pdf ssl profile Cipherによって2種類の処理モードがある 1. NATIVE - default - F5のtmos上に実装された処理モード - SS…

bashでリダイレクトを使ったソケット通信

vpsのhttpdのログにbash脆弱性を狙ったアクセスが来ていて、たいていはどこかへpingを実行したり、HTTPヘッダにX-Bash-Test というのを含めて脆弱性を確認してるだけ、みたいなのだけど、その中で見慣れないログを見つけた。 User-Agent: () { :; }; /bin/ba…

古いRHEL (RHEL5) を放置してたらSSLの証明書期限切れでrhn_registerが使えなくなってた時の対応

https://www.jpcert.or.jp/at/2014/at140037.html bash 脆弱性対応のためにyum update bash しようとしたら、一部のRHEL5のサーバでyum が使えなくなっていた(もちろんサブスクリプション登録はしている)expiredという文字だけ見て、はじめはRHELの更新忘れ…

big-ip のMySQL root password をぶっこ抜く

いらんことするとサポート対象外になりそうだけど。検証用VE版なのでやりたい放題で。mysqlのroot passwordはおそらくbigip毎にrandomに設定される。 が、謎のmysqlのsh(mysqlはログ、APMのユーザ情報などが入っていて、クラスタ間で同期するシェル?) /usr/…

big-ip AFM さわりメモ

tmshのmodule名前はsecurity? show security ... list security ...defaultではcliではログみれない? https://devcentral.f5.com/questions/security-event-logs-local-locations ログの設定をカスタマイズしてsyslogに出すようにすれば良いとか? http://s…

ncで簡易webサーバを起動する

外からNW、FWの疎通確認をしたいけどまだwebサーバでhttpd起動してなかった、というときなどに。 # echo "HTTP/1.0 200 OK" > hoge.txt # echo "" >> hoge.txt # echo "hogehoge" >> hoge.txt # while :; do nc -l 80 < hoge.txt ; done ファイル作るの面倒…

big-ip v11.5以降でpool memberをdownと誤判定してしまうbug

https://devcentral.f5.com/questions/health-check-failing-tcp-54321-is-this-more-than-a-coincidence これにぶち当たりました。サーバ(pool member)は問題ないのに、たまにbig-ipから死んでると判断されて、ちょいちょいsnmptrap飛んできていた。だいぶ…

tomcat エラーページに表示されるバージョンを消す

http://qiita.com/yteraoka/items/17a2d591b6b413a2360f https://www.owasp.org/index.php/Securing_tomcat 素敵情報みつけた。 404などのエラーページ(HTTPレスポンスヘッダではなく)、に表示されるバージョンを消したい。 上のリンク通り、jar ファイルを…

ngrepで保存したファイルはフラグが全部"P"になってしまう

ngrep -W byline をつけるとだいぶ便利なので、ついそのままの勢いで-O /tmp/hoge.cap などとしていた。 で後からそのパケット見ようとしたらRST以外のフラグが全部Pになってしまってた?? 保存するときはやはりtcpdump -w file 使った方が良いかな。 保存…

juniper firefly memo

http://www.juniper.net/support/downloads/?p=firefly#sw http://www.juniper.net/techpubs/en_US/firefly12.1x46-d10/topics/task/installation/security-virtual-perimeter-with-kvm-installing.html junosベースの仮想ファイアウォール。 ova(vmware)とk…

junos でJSRPの相方の機器にログインする

管理ポートにIP設定しとけば、直接そのIP宛で入れるけど、それをしてなかった場合の対応。 http://kb.juniper.net/InfoCenter/index?page=content&id=KB17410 JSRPの2台はnode0とnode1? $ ssh -l root 192.168.0.1 hoge% rlogin -Tnode1 fuga% cliファイル(…

Big-IPでCRLの更新

たぶん推奨されない方法。CRLの自動更新 あらかじめCA側で作成したcrlをimportして作成しておくこと。 openssl ca -gencrl -out /etc/pki/CA/crl/crl.pemこれをbig-ipが参照できるところに置く# cliで設定できるけどguiではできない tmsh modify sys file ss…

Big-IP バージョンアップ

http://www.f5networks.co.jp/shared/pdf/BIG-IP_TB_VerUP_1022-1100_TMSH.pdf http://www.f5networks.co.jp/shared/pdf/BIG-IP_TB_VerUP_1021-1022_GUI.pdf http://support.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/bigip-upgrade-active-stan…

drbd 8.4.5から管理系のコマンド(drbdadm等)がdrbd-utils に分離してた

http://lists.linbit.com/pipermail/drbd-user/2014-June/021381.html http://oss.linbit.com/drbd/8.4/drbd-8.4.5.tar.gz http://oss.linbit.com/drbd/drbd-utils-8.9.0.tar.gz なので、それぞれinstallする。 drbd kernel module (drbd.ko) tar zxvf drbd-…

RewriteRule でredirect時にquery stringを削除する

久々すぎて完全に忘れてた https://wiki.apache.org/httpd/RewriteQueryString Removing the Query String Delete the query string entirely.RewriteRule ^/page /page? rewriteruleでredirect時にquery stringを削除するには置換後のURLの末尾に"?"をつけ…

splunk - リアルタイムログ解析プラットフォーム

名前は聞いたことあったけど、interopで詳細聞いて面白そうだった。 fluentd + growthforecast or その他の見える化ツールのようなもの? http://ja.splunk.com/ ドキュメントだいぶ充実してる。 linuxや各種ネットワーク機器用のapp (cacti でいうtemplate…

couchbase server - ドキュメント型NoSQL DB 触ってみたメモ

db tech showcase で詳細聞いておもしろそうだった。 http://www.couchbase.com/jp/ コミュニティ版(無償)とエンタープライズ版の2種類 コミュニティ版はエンタープライズ版の1つ前のメジャーバージョンが提供される エンタープライズ版でも2ノードまでは無…

phpで作られたフォームからapple icloud.comにメールが届かなくなった

php

と言われたので調べた。どうも6月頭ごろから突然そうなったらしい。 いろいろ切り分けた結果、X-PHP-Originating-Script ヘッダが含まれてるメールが届かないぽい。 ↓こういうヘッダ X-PHP-Originating-Script: 1001:hogehoge.phpで、このヘッダ何?と思って…

openssl クライアント証明書の確認

### クライアント証明書つかって接続 openssl s_client -connect host:port -cert cert.pem -key key.pem ### CAとクライアントの証明書があっているか openssl verify -purpose sslclient -CAfile cacert.pem clientcert.pem## 追記 curl の-E file.p12:pas…