まったくサッカー通ではないのだが、ワールドカップ真っ只中でちょっと気になったので調べてみた。
2014年FIFAブラジルワールドカップの開幕戦で、ネイマールが日本の西村主審からイエローカードをもらった。
これを観て、イエローカードっていつまで有効なの?確か昔は決勝トーナメント行くとリセットされたよなー。と思って調べたら
ルールが変わっている模様。
だそうです。
終了時点なので、準々決勝で累積2枚になった場合は、準決勝出場停止。
なんかネットで結構調べたけど、あんまりはっきりした情報が無い。
前回の2010年南アフリカ大会から、この方式になったらしい。
なんでこの方式になったかというと、これもあまりはっきりした情報はないのだが、
準決勝、決勝と史上最高の大舞台で、スター選手たちが累積イエローの影響で消極的なプレーになるとよろしくないとの意見が多い。
まー。確かにそのとおりだ。
国によっては決勝トーナメント進出で、御の字のところがあっても、ワールドカップは世界一を決めるのだから、そっちに照準を合わせるべきだとは思う。
ついにこの日が来てしまったか。。。
だいぶ前から、古いnet-tools系のコマンドは、今後使えなくなるかもよ的なことは言われていたが
新しいコマンド覚えるのメンドイし、使えてるからいいじゃんと思って先送りにしてきた。
が、Red Hat Enterprise Linux 7では、標準で、net-toolsがインストールされなくなった。
まだリリースされていないが、CentOS 7も同様だと思う。
で、コマンド系で標準で入らなくなった、今までお世話になってきた奴らは
彼等は、今後標準ではなくなります。
今まで、とりあえずサーバにログインしたら、ifconfigみたいなのりで使ってきたのに(涙)
ただ、一応net-toolsパッケージも残っているので、
|
1 |
# yum install net-tools |
とやれば、今までのコマンドも使えるはず。ただ、さすがに本筋から外れるのでいい加減新しいコマンドでも覚えようかと。
以下、簡単な新旧対応
|
1 2 3 4 5 6 7 |
# ifconfig # ↓ # ip addr show # ifconfig eth0 192.168.0.100 netmask 255.255.255.0 # ↓ # ip addr add 192.168.0.100/255.255.255.0 dev eth0 |
|
1 2 3 |
# route # ↓ # ip route |
|
1 2 3 |
# netstat -ntpa # ↓ # ss -ntpa |
|
1 2 3 |
# arp # ↓ # ip neighbor |
もうちょっと細かいオプションとか覚える必要がありそうだけど、とりあえずここまでで。
コメントアタックという用語で良いのか微妙だが、apacheのログを眺めていると、
wordpressに結構なPOSTリクエストを送ってくる奴がいる。
このブログにPOSTリクエストが送られるのは、
基本的に自分が記事を更新したときだけなので
(コメントなんてほとんどないですからね)
ほぼ、POSTリクエスト = アタックやいかがわしい行為のはず。
ということで、前々から知ってはいたが、全く手を出したことの無い
fail2banの設定をしてみた。
fail2banはログを見て、事前に定義したレシピに
ヒットするとactionを実行(iptablesでブロックとか)するすぐれもの。
wordpressだけでなく、どちらかというと認証が発生する系の
サーバでは設定しといた方がいいなと思う。
sshとか、pop3とか、その手のサービス。
まー。今回はwordpressの設定。
例によってインストールはapt-get一発
(ubuntu14.04)
|
1 |
$ sudo apt-get install fail2ban |
/etc/fail2ban/jail.confに以下を追加
|
1 2 3 4 5 6 7 8 |
[apache-wpcm] enabled = true filter = apache-wpcm logpath = /var/log/apache2/blog_access.log action = iptables-multiport[name=apache-wpcm, port="http,https", protocol=tcp] findtime = 3600 ; 1 hour bantime = 86400 ; 1 day maxretry = 5 |
上で使うfilterを作る。
/etc/fail2ban/filter.d/apache-wpcm.conf
|
1 2 3 |
[Definition] failregex = <HOST>.*] "POST /wp-comments-post.php ignoreregex = |
もう、単純に、/wp-comments-post.phpにPOSTしたリクエストを対象とする。
でサービス再起動
|
1 |
service fail2ban restart |
実際に定義した、filterがログファイルにヒットするかチェックするには、
fail2ban-regex コマンドを使う。ログファイルが大きいと結構時間がかかります。
|
1 2 3 4 5 6 |
$ fail2ban-regex /var/log/apache2/blog_access.log /etc/fail2ban/filter.d/apache-wpcm.conf -- snip -- Lines: 14770 lines, 0 ignored, 121 matched, 14649 missed Missed line(s):: too many to print. Use --print-all-missed to print all 14649 lines |
14770行チェックして、121マッチとのこと。全くヒットしないとか、ヒットしすぎとかでは無いので
実運用して様子見します。
プログラム的にメールの送信とかしていると、結構な割合でメールの形式が正しくなかったりする。
普通のメーラーとかでは、問題なくても、何処かのメールサーバのとあるシステムでは
SPAM判定されたり、Header ERRORとかで怒られたり、後になって気付くことが多い。
事前に、プログラムが自動生成するメールの形式を、チェック出来るようなツールがないか調べたところ、意外とない。
HTMLだとウジャウジャ存在するのに(HTML バリデーターとかでgoogle先生)、
メールはかなり少ない。特に日本語の情報。
ってことで調べた結果、以下のサイトにたどり着きました。
IETFのサイトなんで、変なサイトってことは無いと思いますが、
実メールで、さすがに外に情報出したくないなんて時でも、ソースが公開されているので
ローカル環境でも実行出来ます。
たぶん、gccとmakeが入っているくらいの環境なら、コンパイルも簡単だと思う。
実際にローカルで実行してみた結果の感想としては、うん。よくわからん。
Multipartのboundaryが閉じてないと、怒ってくれたのでそれなりに使えるはず。
前にちょっと記事にしたが、その続編ぽいもの。
前回のサーバは、DNSくらいしか動いてなくて、特に問題なかったのだが、
今回はLAMP環境を移行した。はまりまくり。
メモってないので、記憶をたどると、ハマりどころとしては。
debian系では、/etc/apache2/sites-enabled/以下に各サイトの設定を書いて
そのサイトを有効にするには、a2ensiteコマンドを実行すると、/etc/apache2/sites-available/以下に
シンボリックリンクが作られて有効になるといった感じの動作。
まー。この動作自体は、よく考えられていて良いとは思っている。
この設定ファイルだが、前は、どんなファイル名でも良かったのだが、
14.04からは、*.confと拡張子が付いてないと、読み込まれなくなった。
なので軒並み修正。
ubuntuというか、apacheの変更だが、古くからのapacheのアクセス制御は、
以下のような感じ
|
1 2 3 4 5 |
<Location /admin> Order deny,allow Deny from all Allow from 127.0.0.1 </Location> |
が、2.4からはこんな感じになる。
|
1 2 3 |
<Location /admin> Require ip 127.0.0.1 </Location> |
と、こんな感じになった。まー。シンプルで良い気もするが、軽い気持ちでバージョンアップすると痛い目にあう。
過去の表記を有効にするモジュールもあるようなのだが、
少なくとも自分で追加したサイト側には有効になっておらず
全部手動で、2.4系の書き方に変更する必要があった。
2.4系の細かいアクセス制御設定は、他のサイト等を参考にしていただければと思います。
(自分もよく分かってない。)
全部許可なら
|
1 |
Require all granted |
とからしい。
「ギムレットには早すぎるね」
のセリフで有名な、ロング・グッドバイがNHKでドラマ化されている。
2014年4月19日(土)スタートで全5話。毎週土曜日夜9時から。
でやってるのだが、これがまたハードボイルド感バリバリで、キャストや、セットの気合い入りっぷりが半端ない。
主人公の、増沢磐二(原作ではフィリップ・マーロウ)役の浅野忠信がまた、かっこいい。
ただ演技はちょっとコミカル風に感じてしまうが、まーそれも含めて魅力なんだと思う。
で、このドラマの凄いのが、セットや小道具やら照明やらロケ地やら。
特に再三登場する、
こいつらが半端ない。
まず、増沢磐二探偵事務所だが、なんとこちらはセットらしい。
公式のblogで説明がある。
すげー。気合いの入りっぷりが半端ない。
ちなみに、事務所の外は、静岡に実在する場所らしいです。
次に、上井戸家だが、こちらもblogに記事がある。
うーん。シャレた建物だ。
Victor’s barに関していまのところ情報無いようです。一番知りたいのに。
実在するなら是非行ってみたいなー。これもセットかなー。
自分は村上春樹翻訳しか読んでおりません。
昔debianを触っていた時に、偶然モニタの表示状態を取得出来るコマンドがあって、こりゃ便利だと思ったがどんなコマンドだったか忘れてしまっていた。
リモートに設置されているサーバで、お客さんにモニタの状態を確認してもらうとき、こっちでも見れると何かと便利。
ただ、当時redhat系には入ってないコマンドだったので、結局使えないからということで綺麗さっぱり忘れてしまっていた。
で、今回思い出したそのコマンド
|
1 |
# screendump |
こいつを実行すると、モニタに表示されているっぽいもの(foobar login:みたいな)が確認出来る。
なんでredhat系には、無いんだよと嘆いていたところ、screendumpは仮想コンソールとやらを表示している模様。
ということは、デバイスファイル直接見ればいいんじゃね。とのことでやってみた。
|
1 2 3 4 5 |
# cat /dev/vcs or # cat /dev/vcsa |
vcsかvcsaかは環境によって違うと思う。また、環境によってはどちらも存在しないことがある。
一応自分の環境では、vcsの方を単純にcatしたら、モニタに表示されている内容が表示された。
ただ、改行とかされないので非常に見辛い。
これまた、初めて知ったのだがfoldコマンドにパイプしてやると、見栄えが良くなる。
|
1 2 3 |
# cat /dev/vcs| fold or # cat /dev/vcsa | fold |
世の中知らないことばかりですね。
あと当然ですが、これはCUI環境での話です。
なんでこんなこと調べようと思ったかというと、とあるシステムで特定のパーティションのi-nodeが溢れそうになっていた。
i-nodeを大量消費するのは、細かいファイルを大量に作るやつだと思うので、そんなディレクトリがあれば、
きっとディレクトリサイズがでかくなっているはず。
Linuxのディレクトリサイズは、中のファイル数が多くなると、大きくなる。細かい理由とかはgoogle先生に聞くといいと思う。
で、調べるのは、findコマンドでこんな感じ
|
1 |
$ find /var -xtype d -a -size +100k |
普通のディレクトリであれば、4kのはずなので、このくらいデカければ、まー異常ってことで。
一応予想通り、i-nodeを大量消費しているディレクトリを特定出来た。
やっとこさLTSがリリースされたので、アップグレードしてみる。
サーバ環境なので、GUIなど無いので、CUIでアップグレード。
現在のバージョンを確認
|
1 2 3 4 5 6 |
$ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 12.04.4 LTS Release: 12.04 Codename: precise |
do-release-upgradeでアップグレードの実行
|
1 2 3 |
$ sudo do-release-upgrade Checking for a new Ubuntu release No new release found |
ん?新しいのは無いって?
なんかネットで情報調べると-dオプションをつけろと。
man見ると、develリリースとか書いてあるから、開発版じゃないのとか思うのだが
とりあえずやってみた。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 |
$ sudo do-release-upgrade -d Checking for a new Ubuntu release 取得:1 Upgrade tool signature [198 B] 取得:2 Upgrade tool [1,148 kB] 1,148 kB を 0秒 で取得しました (0 B/s) authenticate 'trusty.tar.gz' against 'trusty.tar.gz.gpg' extracting 'trusty.tar.gz' キャッシュを読み込み中 パッケージマネージャーをチェック中です SSH経由で実行していますが、続けますか? このセッションはSSH上で実行されているようです。アップグレードをSSH越しに行うことは推奨されません。アップグレードに失敗した時の復元が困難になるからです。 続行する場合、追加のSSHデーモンをポート '1022' で起動します。 本当に作業を進めてよろしいですか? 続行する[yN] y 予備のsshdを開始します 障害が起こったときに復旧しやすくするため、ポート '1022' でもう一つの sshd を開始します。現在実行中のsshにおかしなことが起きても、もう一方のポートに接続することができます。 ファイアウォールを実行している場合、このポートを一時的に開く必要があります。この操作は、潜在的な危険があるため自動的には行われません。以下の例のようにしてポートを開けます: 'iptables -I INPUT -p tcp --dport 1022 -j ACCEPT' 続けるには [ENTER] キーを押してください ######### snip ######### アップグレードを開始しますか? 1 個のパッケージが削除されます。 101 個の新規パッケージがインストールされます。 343 個のパッケージがアップグレードされます。 合計 152 M をダウンロードする必要があります。 このダウンロードは約 54 秒 かかります。 アップグレードをインストールするのに数時間かかることがあります。ダウンロードが完了してしまうと、処理はキャンセルできません。 続行する[yN] 詳細 [d]y ######### snip ######### |
ssh経由だと、ご丁寧に、sshdを別ポートで上げてくれるし、iptablesの警告まで出してくれる。
途中変更を加えた、configとかあると、新しいコンフィグに置き換えるか聞かれるけど
日本語の説明なので全く問題ない。
インストールしているパッケージの数や、サーバのスペックで、かなり変わると思うが
自分の環境では、30分くらいで終わった。
使っているサービスもDNSくらいだったので、アップグレード後も特に問題なさそう。
うーん。簡単。簡単。
