ubuntu 14.04 を無線LANアクセスポイントにする

表題のままなのだが、ubuntu 14.04 を無線LANアクセスポイントにしてみた。

無線LANルータが格安で販売されている今日このごろに、なんでこんなことやってるんだろというツッコミは後にして、前提条件など。

OSはubuntu 14.04 でデスクトップ版です。
無線LANは、過去にamazonで買った格安のこいつ(WLI-UC-GNM)
激安だけど、802.11nまで対応していたはず。期待はしないけど。
モードはブリッジモード。LANと別セグメントにしたくないから。
ノートPC1台つながれば良いので、MACアドレス制限とか、ステルスSSIDとかでやってみる。

設定などなど

NetworkManagerを止める

後の方に気付いたけど、最初に止めた方が無難。

Desktop PCで、固定IP運用なので、そもそもこいつは必要ない。なので、NetworkManagerを止めて、手動での設定に移行する。

まず動いているか確認

$ ps ax | grep Net
NetworkManagerってプロセスがいるか確認

1 2	$ ps ax \| grep Net NetworkManagerってプロセスがいるか確認

いたら止める。

$ sudo stop network-manager

1	$ sudo stop network-manager

自動起動を止める。

$ echo "manual" | sudo tee /etc/init/network-manager.override

1	$ echo "manual" \| sudo tee /etc/init/network-manager.override

今は、こんな方法なんですね。

必要パッケージをインストールする

$ sudo apt-get install bridge-utils hostapd

1	$ sudo apt-get install bridge-utils hostapd

ブリッジのやつと、アクセスポイントのやつ

Network設定を手動に移行する

自分の場合は、既に手動になってた(NetworkManagerは起動してたけど)が念の為確認。

こんな感じの設定、ブリッジ設定もやってます。ミスるとネットワーク繋がらなくなるので要注意。設定終わったら再起動しといた方が無難。

$ sudo cat /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto br0
iface br0 inet static
address 192.168.xxx.20
network 192.168.xxx.0
netmask 255.255.255.0
broadcast 192.168.xxx.255
gateway 192.168.xxx.1
dns-domain example.com
dns-nameservers 192.168.xxx.1
bridge_ports eth0
bridge_stp off
bridge_fd 0
bridge_maxwait 0

$ sudo cat /etc/network/interfaces

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet manual

auto br0

iface br0 inet static

address 192.168.xxx.20

network 192.168.xxx.0

netmask 255.255.255.0

broadcast 192.168.xxx.255

gateway 192.168.xxx.1

dns-domain example.com

dns-nameservers 192.168.xxx.1

bridge_ports eth0

bridge_stp off

bridge_fd 0

bridge_maxwait 0

無線LAN(wlan0とか)のブリッジは、hostapdがよろしくやってくれるのでここでは設定しない。

無線LAN(WLI-UC-GNM)を挿す

別にいつでもいいけど。iwconfigでwlan0(無線LANが1つの場合)が見えてればたぶんOK。

ドライバーとかもよろしくやってくれるはず。

$ iwconfig

wlan0 IEEE 802.11bgn Mode:Master Tx-Power=20 dBm
Retry long limit:7 RTS thr:off Fragment thr:off
Power Management:on

$ iwconfig

wlan0 IEEE 802.11bgn Mode:Master Tx-Power=20 dBm

Retry long limit:7 RTS thr:off Fragment thr:off

Power Management:on

ドライバっぽいやつら

$ lsmod |grep rt2
rt2800usb 27034 0
rt2x00usb 20742 1 rt2800usb
rt2800lib 89076 1 rt2800usb
rt2x00lib 55307 3 rt2x00usb,rt2800lib,rt2800usb
mac80211 630653 3 rt2x00lib,rt2x00usb,rt2800lib
cfg80211 484040 2 mac80211,rt2x00lib
crc_ccitt 12707 1 rt2800lib

$ lsmod |grep rt2

rt2800usb 27034 0

rt2x00usb 20742 1 rt2800usb

rt2800lib 89076 1 rt2800usb

rt2x00lib 55307 3 rt2x00usb,rt2800lib,rt2800usb

mac80211 630653 3 rt2x00lib,rt2x00usb,rt2800lib

cfg80211 484040 2 mac80211,rt2x00lib

crc_ccitt 12707 1 rt2800lib

hostapdの設定

やっと本番。

自分はこんな感じの設定にした。

$ sudo cat /etc/hostapd/hostapd.conf
# APインターフェイスのデバイス名
interface=wlan0
# ブリッジする場合のインターフェイス。
bridge=br0
# ドライバーインターフェイス名
# とりあえずこいつでよい模様。
# lsmodでロードされているモジュールかと思ったら違った。
driver=nl80211
# 動作モード (a = IEEE 802.11a、b = IEEE 802.11b、g = IEEE 802.11g)
hw_mode=g
# ieee80211n: IEEE 802.11n (HT) を有効にする。
# 使えるのか分からないがとりあえず設定
ieee80211n=1
# SSIDssid=YOUR_SSID # &lt;- ここはSSID
# 事前共有鍵
wpa_passphrase=YOUR_PASSPHRASE # &lt;- ここはパスワード
# SSIDをステルスにする
ignore_broadcast_ssid=1
# MACアドレスによる子機のアクセス制限
# 0 = 拒否リストにないものは許可
# 1 = 許可リストにないものは拒否
macaddr_acl=1
# 許可するMACアドレスリスト
accept_mac_file=/etc/hostapd/hostapd.accept
# ようわからん
wpa=2 
channel=11
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP

$ sudo cat /etc/hostapd/hostapd.conf

# APインターフェイスのデバイス名

interface=wlan0

# ブリッジする場合のインターフェイス。

bridge=br0

# ドライバーインターフェイス名

# とりあえずこいつでよい模様。

# lsmodでロードされているモジュールかと思ったら違った。

driver=nl80211

# 動作モード (a = IEEE 802.11a、b = IEEE 802.11b、g = IEEE 802.11g)

hw_mode=g

# ieee80211n: IEEE 802.11n (HT) を有効にする。

# 使えるのか分からないがとりあえず設定

ieee80211n=1

# SSIDssid=YOUR_SSID # <- ここはSSID

# 事前共有鍵

wpa_passphrase=YOUR_PASSPHRASE # <- ここはパスワード

# SSIDをステルスにする

ignore_broadcast_ssid=1

# MACアドレスによる子機のアクセス制限

# 0 = 拒否リストにないものは許可

# 1 = 許可リストにないものは拒否

macaddr_acl=1

# 許可するMACアドレスリスト

accept_mac_file=/etc/hostapd/hostapd.accept

# ようわからん

wpa=2

channel=11

wpa_key_mgmt=WPA-PSK

wpa_pairwise=CCMP

MACアドレス許可リストファイルを作っておく。

 $ echo "xx:xx:xx:xx:xx:xx" |sudo tee /etc/hostapd/hostapd.accept # "xx:xx:xx:xx:xx:xx" は自分のMACアドレスに置き換え。

1	$ echo "xx:xx:xx:xx:xx:xx" \|sudo tee /etc/hostapd/hostapd.accept # "xx:xx:xx:xx:xx:xx" は自分のMACアドレスに置き換え。

パーミッションもきつめにする。

 $ sudo chmod 600 /etc/hostapd/hostapd.conf $ sudo chmod 600 /etc/hostapd/hostapd.accept

1	$ sudo chmod 600 /etc/hostapd/hostapd.conf $ sudo chmod 600 /etc/hostapd/hostapd.accept

自動起動の設定 /etc/default/hostapdのファイルに、DAEMON_CONFを定義

 $ cat /etc/default/hostapd |grep "^DAEMON" DAEMON_CONF="/etc/hostapd/hostapd.conf"

1	$ cat /etc/default/hostapd \|grep "^DAEMON" DAEMON_CONF="/etc/hostapd/hostapd.conf"

デーモン起動

 $ sudo service hostapd start * Starting advanced IEEE 802.11 management hostapd [ OK ]

1	$ sudo service hostapd start * Starting advanced IEEE 802.11 management hostapd [ OK ]

正しく起動すれば、きっと使えるはず。

ubuntu 14.04で自動アップデート(unattended-upgrades)

なんか自動アップデートの設定も毎回確認しているような気がするが

過去の記事

unattended-upgradesをインストールして、前回の記事のように設定しようとしたが

/etc/apt/apt.conf.d/10periodicってファイルが見つからない。

どうしたもんかと調べたところ、dpkg-reconfigureすればいいんじゃね。

$ sudo dpkg-reconfigure unattended-upgrades

1	$ sudo dpkg-reconfigure unattended-upgrades

自動更新しますかって聞かれるので、はい。を選択。

こんなファイルが作られている。

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists &quot;1&quot;;
APT::Periodic::Unattended-Upgrade &quot;1&quot;;

$ cat /etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::Update-Package-Lists "1";

APT::Periodic::Unattended-Upgrade "1";

ただ、同じ14.04でも、/etc/apt/apt.conf.d/10periodicが存在して普通に自動アップデート出来ている環境もあるので、

debootstrapでインストールした最小構成だけかもしれない。

redmine 2.5.x を ubuntu 14.04 へインストール

とっても便利な、チケットドリブン開発WEB UIのredmineを自分専用にインストール。

今回インストールするのは、redmine 2.5.1になります。

基本的には、ubuntuだとパッケージでのインストールが良いのだが、WEB系のアプリで開発が頻繁なものは、本家からダウンロードしてインストールするほうが、後々いいので今回は手動でインストールする。

以前、Wordpressをubuntu標準パッケージから入れたら、後々不便(バージョンアップとか)だったので、その教訓を活かす。

OS環境

最小インストール。というかlxc環境に入れるので、debootstrapにてインストールされるので、かなり最小構成。

一応パッケージは最新にしておく。

$ sudo apt-get update &amp;&amp; sudo apt-get upgrade

1	$ sudo apt-get update && sudo apt-get upgrade

rubyインストール

こちらもOSのパッケージではなく、rvmを使って、ruby 2.0.0系をインストールします。

$ sudo apt-get install curl
$ curl -sSL https://get.rvm.io | bash -s stable --ruby=2.0.0
$ source /home/$USER/.rvm/scripts/rvm

$ sudo apt-get install curl

$ curl -sSL https://get.rvm.io | bash -s stable --ruby=2.0.0

$ source /home/$USER/.rvm/scripts/rvm

rubyのバージョン確認

$ ruby -v
ruby 2.0.0p481 (2014-05-08 revision 45883) [x86_64-linux]

1 2	$ ruby -v ruby 2.0.0p481 (2014-05-08 revision 45883) [x86_64-linux]

依存パッケージのインストール

$ sudo apt-get install git git-core subversion
$ sudo apt-get install imagemagick libmagickwand-dev

1 2	$ sudo apt-get install git git-core subversion $ sudo apt-get install imagemagick libmagickwand-dev

subversionは、redmineの最新版を取得用。gitは自分で使うバージョン管理。

imagemagicは、redmineで使う。

redmineのダウンロード・設定

今回は/optにインストールします。

$ cd /opt/
$ sudo mkdir redmine
$ sudo chown $USER:$USER redmine
$ cd redmine/
$ svn co http://svn.redmine.org/redmine/branches/2.5-stable current
$ cd current/

$ cd /opt/

$ sudo mkdir redmine

$ sudo chown $USER:$USER redmine

$ cd redmine/

$ svn co http://svn.redmine.org/redmine/branches/2.5-stable current

$ cd current/

パーミッション設定

$ mkdir public/plugin_assets
$ sudo chown -R www-data:www-data files log tmp public/plugin_assets

1 2	$ mkdir public/plugin_assets $ sudo chown -R www-data:www-data files log tmp public/plugin_assets

自分用レポジトリ作成

一応ここで作成しておくが、あとでも良いし別の場所でも可

$ mkdir -p /opt/redmine/repos/git

1	$ mkdir -p /opt/redmine/repos/git

mysqlデータベースの作成

mysqlインストール

$ sudo apt-get install mysql-server libmysqlclient-dev

1	$ sudo apt-get install mysql-server libmysqlclient-dev

データベース作成

$ mysql -uroot -p
mysql&gt; CREATE DATABASE redmine CHARACTER SET utf8;
mysql&gt; CREATE USER 'redmine'@'localhost' IDENTIFIED BY 'my_password';
mysql&gt; GRANT ALL PRIVILEGES ON redmine.* TO 'redmine'@'localhost';
mysql&gt; FLUSH PRIVILEGES;
mysql&gt; EXIT;

$ mysql -uroot -p

mysql> CREATE DATABASE redmine CHARACTER SET utf8;

mysql> CREATE USER 'redmine'@'localhost' IDENTIFIED BY 'my_password';

mysql> GRANT ALL PRIVILEGES ON redmine.* TO 'redmine'@'localhost';

mysql> FLUSH PRIVILEGES;

mysql> EXIT;

redmine設定(コンフィグコピー、DB設定)

$ cp config/configuration.yml.example config/configuration.yml
$ cp config/database.yml.example config/database.yml
$ cat config/database.yml
~~~~~~snip~~~~~~~
production:
  adapter: mysql2
  database: redmine
  host: localhost
  username: redmine
  password: &quot;my_password&quot;
  encoding: utf8
~~~~~~snip~~~~~~~

$ cp config/configuration.yml.example config/configuration.yml

$ cp config/database.yml.example config/database.yml

$ cat config/database.yml

~~~~~~snip~~~~~~~

production:

adapter: mysql2

database: redmine

host: localhost

username: redmine

password: "my_password"

encoding: utf8

~~~~~~snip~~~~~~~

bundlerインストール

$ gem install bundler
$ bundle install --without development test

1 2	$ gem install bundler $ bundle install --without development test

token作成

$ bundle exec rake generate_secret_token

1	$ bundle exec rake generate_secret_token

db migrate

$ RAILS_ENV=production bundle exec rake db:migrate

1	$ RAILS_ENV=production bundle exec rake db:migrate

default data load

$ RAILS_ENV=production bundle exec rake redmine:load_default_data

1	$ RAILS_ENV=production bundle exec rake redmine:load_default_data

途中言語環境を聞かれたら、 ja にする。

次からWEBサーバ

WEBサーバ設定(apache)

各種インストール

$ sudo apt-get install apache2 apache2-dev libcurl4-gnutls-dev apache2 libapache2-svn libapache-dbi-perl libapache2-mod-perl2 libdbd-mysql-perl libauthen-simple-ldap-perl openssl

1	$ sudo apt-get install apache2 apache2-dev libcurl4-gnutls-dev apache2 libapache2-svn libapache-dbi-perl libapache2-mod-perl2 libdbd-mysql-perl libauthen-simple-ldap-perl openssl

ssl有効、セキュリティ設定

$ sudo a2enmod ssl
$ sudo a2ensite default-ssl
$ sudo vi /etc/apache2/conf-available/security.conf

$ sudo a2enmod ssl

$ sudo a2ensite default-ssl

$ sudo vi /etc/apache2/conf-available/security.conf

passengerインストール

$ gem install passenger
$ passenger-install-apache2-module
~~~~~~snip~~~~~~
   LoadModule passenger_module /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45/buildout/apache2/mod_passenger.so
   &lt;IfModule mod_passenger.c&gt;
     PassengerRoot /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45
     PassengerDefaultRuby /home/foo/.rvm/gems/ruby-2.0.0-p481/wrappers/ruby
   &lt;/IfModule&gt;
#環境によって異なるので、必ず自分の結果をメモする。

$ gem install passenger

$ passenger-install-apache2-module

~~~~~~snip~~~~~~

LoadModule passenger_module /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45/buildout/apache2/mod_passenger.so

PassengerRoot /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45

PassengerDefaultRuby /home/foo/.rvm/gems/ruby-2.0.0-p481/wrappers/ruby

</IfModule>

#環境によって異なるので、必ず自分の結果をメモする。

apacheにpassengerの設定

$ cat /etc/apache2/conf-available/passenger.conf 

LoadModule passenger_module /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45/buildout/apache2/mod_passenger.so
&lt;IfModule mod_passenger.c&gt;
	PassengerRoot /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45
	PassengerDefaultRuby /home/foo/.rvm/gems/ruby-2.0.0-p481/wrappers/ruby
&lt;/IfModule&gt;

PassengerUserSwitching off
PassengerDefaultUser www-data

$ cat /etc/apache2/conf-available/passenger.conf

LoadModule passenger_module /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45/buildout/apache2/mod_passenger.so

PassengerRoot /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45

PassengerDefaultRuby /home/foo/.rvm/gems/ruby-2.0.0-p481/wrappers/ruby

</IfModule>

PassengerUserSwitching off

PassengerDefaultUser www-data

passenger設定を有効化

$ sudo a2enconf passenger

1	$ sudo a2enconf passenger

sslサイトにredmineを追加

$ head -15 /etc/apache2/sites-available/default-ssl.conf
&lt;IfModule mod_ssl.c&gt;
	&lt;VirtualHost _default_:443&gt;

		ServerAdmin webmaster@localhost

		#DocumentRoot /var/www/html
		DocumentRoot /opt/redmine/current/public

		&lt;Directory /opt/redmine/current/public&gt;
			Require all granted
		&lt;/Directory&gt;

		# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
		# error, crit, alert, emerg.
		# It is also possible to configure the loglevel for particular

$ head -15 /etc/apache2/sites-available/default-ssl.conf

ServerAdmin webmaster@localhost

#DocumentRoot /var/www/html

DocumentRoot /opt/redmine/current/public

Require all granted

</Directory>

# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,

# error, crit, alert, emerg.

# It is also possible to configure the loglevel for particular

DocumentRoot変更と/opt/redmine/current/publicへの許可設定

apache再起動

$ sudo service apache2 restart

1	$ sudo service apache2 restart

これでhttps://<your_server_ip>にアクセスアクセスすればredmineが使えるはず。

あとは、自分でチケット作って、自分でやってという悲しい作業で、効率が上がる。

tuxguitarの音が出ない ubuntu 14.04

なんか毎回インストールするたびに、同じ状況になっている気がするが、tuxguitarの音が出ない。

普通にtuxguitarはインストールして、tab譜を見るのは出来るのだが、音が出ない。

自分の環境では、以下のコマンドで出るようになった。

sudo apt install tuxguitar-alsa tuxguitar-jsa tuxguitar-oss tuxguitar-jsa

1	sudo apt install tuxguitar-alsa tuxguitar-jsa tuxguitar-oss tuxguitar-jsa

実際にインストールされたのは、tuxguitar-jsaだけ。

んで、tuxguitarを起動したら普通に音が出るようになった。

一応設定は、

「ツール」-「環境設定／settings」-「サウンド」

で

「MIDIポート」が

「Gervill」

になっていることを確認。

音が出るようになった。

WEBページをコマンドでPDFとかイメージで保存

WEBページをコマンドで、PDFとかイメージデータとして保存出来たらいいな。と、ふと思い調べたところ、

過去に書いてるやん！

その記事

うわー。記憶って消えていくものだな。

wkhtmltopdf

ってパッケージをインストールすれば良い。

~~ただ、ちょっとその時と違っているのは、ubuntu 14.04ならイメージも出来まっせ！ってこと。~~

~~当時(恐らく12.04だと思う)は、PDFだけだった模様。~~

※残念ながら、14.04もPDFだけでした。この記事は意味ありませんが、もったいないので

まー。インストールは相変わらず超簡単

$ sudo apt-get install wkhtmltopdf

1	$ sudo apt-get install wkhtmltopdf

使いかたも超簡単

PDF

$ wkhtmltopdf http://www.yahoo.co.jp yahoo.pdf

1	$ wkhtmltopdf http://www.yahoo.co.jp yahoo.pdf

イメージ

$ wkhtmltoimage-amd64 http://www.yahoo.co.jp yahoo.png

1	$ wkhtmltoimage-amd64 http://www.yahoo.co.jp yahoo.png

日本語フォントとか無理かなって思ってたのだが、日本語も凄く綺麗に表示されている。

これで自前のaguseサイトとか作れる。作る能力無いけど。

wkhtmltoimageですが、過去にサイトからダウンロードして個別に入れていたようです。これまたすっかり忘れていた。公式サイトにubuntu用のパッケージもあるので、そちらからインストールすれば、たぶんwkhtmltoimageも使えるかと(未確認)

公式サイトのダウンロードページ

Red Hat EL 7(CentOS 7)のifconfigとかレガシーなnet-toolsがなくなった

ついにこの日が来てしまったか。。。

だいぶ前から、古いnet-tools系のコマンドは、今後使えなくなるかもよ的なことは言われていたが

新しいコマンド覚えるのメンドイし、使えてるからいいじゃんと思って先送りにしてきた。

が、Red Hat Enterprise Linux 7では、標準で、net-toolsがインストールされなくなった。

まだリリースされていないが、CentOS 7も同様だと思う。

で、コマンド系で標準で入らなくなった、今までお世話になってきた奴らは

ifconfig
route
netstat
arp

彼等は、今後標準ではなくなります。

今まで、とりあえずサーバにログインしたら、ifconfigみたいなのりで使ってきたのに(涙)

ただ、一応net-toolsパッケージも残っているので、

# yum install net-tools

1	# yum install net-tools

とやれば、今までのコマンドも使えるはず。ただ、さすがに本筋から外れるのでいい加減新しいコマンドでも覚えようかと。

以下、簡単な新旧対応

ifconfig

# ifconfig
# ↓
# ip addr show

# ifconfig eth0 192.168.0.100 netmask 255.255.255.0
# ↓
# ip addr add 192.168.0.100/255.255.255.0 dev eth0

# ifconfig

# ↓

# ip addr show

# ifconfig eth0 192.168.0.100 netmask 255.255.255.0

# ↓

# ip addr add 192.168.0.100/255.255.255.0 dev eth0

route

# route
# ↓
# ip route

# route

# ↓

# ip route

netstat

# netstat -ntpa
# ↓
# ss -ntpa

# netstat -ntpa

# ↓

# ss -ntpa

arp

# arp
# ↓
# ip neighbor

# arp

# ↓

# ip neighbor

もうちょっと細かいオプションとか覚える必要がありそうだけど、とりあえずここまでで。

wordpressのコメントアタック対策 fail2ban

コメントアタックという用語で良いのか微妙だが、apacheのログを眺めていると、
wordpressに結構なPOSTリクエストを送ってくる奴がいる。

このブログにPOSTリクエストが送られるのは、
基本的に自分が記事を更新したときだけなので
(コメントなんてほとんどないですからね)
ほぼ、POSTリクエスト = アタックやいかがわしい行為のはず。

ということで、前々から知ってはいたが、全く手を出したことの無い
fail2banの設定をしてみた。

fail2banはログを見て、事前に定義したレシピに
ヒットするとactionを実行(iptablesでブロックとか)するすぐれもの。

wordpressだけでなく、どちらかというと認証が発生する系の
サーバでは設定しといた方がいいなと思う。
sshとか、pop3とか、その手のサービス。

まー。今回はwordpressの設定。

例によってインストールはapt-get一発
(ubuntu14.04)

$ sudo apt-get install fail2ban

1	$ sudo apt-get install fail2ban

/etc/fail2ban/jail.confに以下を追加

[apache-wpcm]
enabled  = true
filter   = apache-wpcm
logpath  = /var/log/apache2/blog_access.log
action   = iptables-multiport[name=apache-wpcm, port="http,https", protocol=tcp]
findtime = 3600 ; 1 hour
bantime =  86400 ; 1 day
maxretry = 5

[apache-wpcm]

enabled = true

filter = apache-wpcm

logpath = /var/log/apache2/blog_access.log

action = iptables-multiport[name=apache-wpcm, port="http,https", protocol=tcp]

findtime = 3600 ; 1 hour

bantime = 86400 ; 1 day

maxretry = 5

filterはこれから定義する
logpathは実際の環境にあったもの
actionは、これだとiptablesで、http,httpsをブロックする
findtimeは、検知する間隔
bantimeは、ブロックする時間
maxretryは、findtime中この回数だけヒットしたらブロックするって値

上で使うfilterを作る。

/etc/fail2ban/filter.d/apache-wpcm.conf

[Definition]
failregex = <HOST>.*] "POST /wp-comments-post.php
ignoreregex =

[Definition]

failregex = <HOST>.*] "POST /wp-comments-post.php

ignoreregex =

もう、単純に、/wp-comments-post.phpにPOSTしたリクエストを対象とする。

でサービス再起動

service fail2ban restart

1	service fail2ban restart

実際に定義した、filterがログファイルにヒットするかチェックするには、
fail2ban-regex コマンドを使う。ログファイルが大きいと結構時間がかかります。

$ fail2ban-regex /var/log/apache2/blog_access.log /etc/fail2ban/filter.d/apache-wpcm.conf

-- snip --

Lines: 14770 lines, 0 ignored, 121 matched, 14649 missed
Missed line(s):: too many to print.  Use --print-all-missed to print all 14649 lines

$ fail2ban-regex /var/log/apache2/blog_access.log /etc/fail2ban/filter.d/apache-wpcm.conf

-- snip --

Lines: 14770 lines, 0 ignored, 121 matched, 14649 missed

Missed line(s):: too many to print. Use --print-all-missed to print all 14649 lines

14770行チェックして、121マッチとのこと。全くヒットしないとか、ヒットしすぎとかでは無いので
実運用して様子見します。

(続)ubuntu server 12.04 LTSを14.04 LTSにアップグレード

前にちょっと記事にしたが、その続編ぽいもの。

前回のサーバは、DNSくらいしか動いてなくて、特に問題なかったのだが、

今回はLAMP環境を移行した。はまりまくり。

メモってないので、記憶をたどると、ハマりどころとしては。

debian系のsites-enabledの設定ファイルが変わった。

debian系では、/etc/apache2/sites-enabled/以下に各サイトの設定を書いて

そのサイトを有効にするには、a2ensiteコマンドを実行すると、/etc/apache2/sites-available/以下に

シンボリックリンクが作られて有効になるといった感じの動作。

まー。この動作自体は、よく考えられていて良いとは思っている。

この設定ファイルだが、前は、どんなファイル名でも良かったのだが、

14.04からは、*.confと拡張子が付いてないと、読み込まれなくなった。

なので軒並み修正。

apache 2.4からアクセス制御の書き方が変わった。

ubuntuというか、apacheの変更だが、古くからのapacheのアクセス制御は、

以下のような感じ

<Location /admin>
Order deny,allow
Deny from all
Allow from 127.0.0.1
</Location>

Order deny,allow

Deny from all

Allow from 127.0.0.1

</Location>

が、2.4からはこんな感じになる。

<Location /admin>
Require ip 127.0.0.1
</Location>

Require ip 127.0.0.1

</Location>

と、こんな感じになった。まー。シンプルで良い気もするが、軽い気持ちでバージョンアップすると痛い目にあう。

過去の表記を有効にするモジュールもあるようなのだが、
少なくとも自分で追加したサイト側には有効になっておらず
全部手動で、2.4系の書き方に変更する必要があった。

2.4系の細かいアクセス制御設定は、他のサイト等を参考にしていただければと思います。
(自分もよく分かってない。)

全部許可なら

Require all granted

1	Require all granted

とからしい。

linuxでモニタの表示をキャプチャ(screendump)

昔debianを触っていた時に、偶然モニタの表示状態を取得出来るコマンドがあって、こりゃ便利だと思ったがどんなコマンドだったか忘れてしまっていた。

リモートに設置されているサーバで、お客さんにモニタの状態を確認してもらうとき、こっちでも見れると何かと便利。

ただ、当時redhat系には入ってないコマンドだったので、結局使えないからということで綺麗さっぱり忘れてしまっていた。

で、今回思い出したそのコマンド

# screendump

1	# screendump

こいつを実行すると、モニタに表示されているっぽいもの(foobar login:みたいな)が確認出来る。

なんでredhat系には、無いんだよと嘆いていたところ、screendumpは仮想コンソールとやらを表示している模様。

man vcs

ということは、デバイスファイル直接見ればいいんじゃね。とのことでやってみた。

# cat /dev/vcs

or

# cat /dev/vcsa

# cat /dev/vcs

# cat /dev/vcsa

vcsかvcsaかは環境によって違うと思う。また、環境によってはどちらも存在しないことがある。

一応自分の環境では、vcsの方を単純にcatしたら、モニタに表示されている内容が表示された。

ただ、改行とかされないので非常に見辛い。

これまた、初めて知ったのだがfoldコマンドにパイプしてやると、見栄えが良くなる。

# cat /dev/vcs| fold
or
# cat /dev/vcsa | fold

# cat /dev/vcs| fold

# cat /dev/vcsa | fold

man fold

世の中知らないことばかりですね。

あと当然ですが、これはCUI環境での話です。

findコマンドで、サイズの大きいディレクトリを探す

なんでこんなこと調べようと思ったかというと、とあるシステムで特定のパーティションのi-nodeが溢れそうになっていた。

i-nodeを大量消費するのは、細かいファイルを大量に作るやつだと思うので、そんなディレクトリがあれば、

きっとディレクトリサイズがでかくなっているはず。

Linuxのディレクトリサイズは、中のファイル数が多くなると、大きくなる。細かい理由とかはgoogle先生に聞くといいと思う。

で、調べるのは、findコマンドでこんな感じ

$ find /var -xtype d -a -size +100k

1	$ find /var -xtype d -a -size +100k

普通のディレクトリであれば、4kのはずなので、このくらいデカければ、まー異常ってことで。

一応予想通り、i-nodeを大量消費しているディレクトリを特定出来た。