普段Linuxをメインで使っていると、bashで、forとかwhileループをバシバシ使って処理することがあると思う。
直ぐ終わる処理だと、特に気にしないのだが、大量のデカイファイルをコピーするなど
時間のかかる処理だと、バックグラウンドで実行したい時があるが、普通にnohup使うと
エラーになって使えない。
|
1 |
for i in `ls -1Sh |head -30 `; do mv -i $i /tmp; done |
単純に頭にnohupを付けて行末に&だと上手くいかず
以下のようにしたら上手く言った。
|
1 |
nohup bash -c 'for i in `ls -1Sh |head -30 `; do mv -i "$i" /tmp; done' & |
と言った感じ
前にシェルスクリプトでアルファベット一覧を出力する方法を書いたが、今日もっと驚異的に簡単な方法を知ってしまった。
ブレース展開というらしい。
|
1 2 3 4 5 |
$ echo {a..z} a b c d e f g h i j k l m n o p q r s t u v w x y z $ echo {A..Z} A B C D E F G H I J K L M N O P Q R S T U V W X Y Z |
これだけ。前回のは何だったのかと悲しくなるくらい簡単だった。
このブレース展開、(,)カンマ区切りだと見たことある気がするけど、(.)ピリオド2つで範囲指定出来るとは驚き。
しかも隣接する文字がある場合は、そっちも展開してくれるのでIPアドレスの範囲指定なんかでも超便利。
|
1 2 |
$ echo 192.168.{0..5}.255 192.168.0.255 192.168.1.255 192.168.2.255 192.168.3.255 192.168.4.255 192.168.5.255 |
うーん。無知って罪ですね。
ふとファイルのやり取りを簡単にWEBで渡せたらいいのにな。と思うことがある。最近のネットワーク機器だと、httpでのダウンロードに対応してたりするので、PC側にあるファームウェアをhttpで簡単に公開出来たら便利。
そんなときには、pythonさんのお力を借りる。
公開したいディレクトリで、
|
1 |
$ python -m SimpleHTTPServer |
ってやるだけ。デフォルトでは、8000番ポートで公開される。
http://localhost:8000
ってやれば、カレントディレクトリのファイル一覧が表示される。
ポートを変更したい場合は、引数にポート番号を渡してあげるだけ。
|
1 |
$ python -m SimpleHTTPServer 8080 |
あー。とてつもなく便利
なお当然ですが、閉じた環境でのみご利用ください。
wordpressのパーマリンクをタイトルにしてしまった関係で、apacheのログがURLエンコードされた状態で出力され非常に可読性が悪い。
そんなに気にしてなかったが、やっぱりどの記事を見てるのかわからないので、簡単なワンライナー無いかなと調べた。
ワンライナーならperlだろうと思っていたが、簡単そうで行き着いたのは、rubyだった。
以下
|
1 |
$ cat /var/log/apache2/access.log | ruby -r uri -ne 'print URI.unescape $_' |
ruby簡単だけど覚えられるか・・・
さらに調べると、nkfが対応していた。
|
1 |
$ cat /var/log/apache2/access.log | nkf --url-input |
メッチャ簡単。
これなら覚えられる。
因みに、perl
|
1 |
$ cat /var/log/apache2/access.log | perl -MURI::Escape -pe 'print uri_unescape $_' |
意外と簡単。
折角なのでpython
|
1 |
$ cat /var/log/apache2/access.log | python -c "import sys, urllib as ul; print ul.unquote_plus(sys.stdin.read())" |
うーん。まー入っていればnkf一択ですね。
前回中国からの通信をiptablesで全ブロックする方法を書いたが、それじゃあんまりだということで
中国からの接続は、他のサーバを見てもらえばいいんじゃね。という発想になった。
bindのview機能は、接続元のIPによって返すレコードを変える機能だが、普通は社内と社外とで切り替えるために使われていると思う。
今回このview機能で、中国の方には、他に用意したサーバをご利用いただくという方針を考えてみた。
ただ、問題はある。
ということで、実現できる環境は少ないとは思うが、view内に記述する match-clients 形式で、作ってみた。
中国用match-clients (cn-match-client.txt)
韓国用match-clients (kr-match-client.txt)
※毎日更新 (2015年以降更新されておりません)
別途用意するサーバでは、ガチガチなセキュリティが普通だと思うけど、あえて脆弱にしてハニーポット的な使い方しても面白いと思う。
まー。まず実現できる環境は少ないと思うけど。。。
ニュースを見ていたら、9月18日は、中国からのサイバー攻撃が増えるらしい。
理由は歴史的な背景にあるようだが、システム管理屋としては、攻撃に対しては何らかの防御策を準備しなくてはならない。
理想は全てのシステムを、脆弱性など無い万全のものにしておくことだが、なかなかそんな理想なんて言ってられない。
ということで、手っ取り早くやるとなると、中国からの通信をブロックしてしまえばいいんじゃん。という安易な考え。
国別のIPアドレス割り当て情報は、apnicのサイトでわかるので、そちらを元にiptablesでブロックするようにした。
実際に攻撃を受けて、どうしょうもない時に、以下のファイルをダウンロードして、rootで実行
※毎日更新 (2015年以降更新しておりません)
ダウンロードして、以下のように実行
|
1 |
# sh cn-filter.sh |
ファイルの中身
|
1 2 3 4 5 6 7 8 |
#/bin/sh iptables -I INPUT 1 -s 1.0.1.0/24 -j DROP iptables -I INPUT 1 -s 1.0.2.0/23 -j DROP iptables -I INPUT 1 -s 1.0.8.0/21 -j DROP ・ ・ ・ |
有無を言わさずINPUTの一番目のポリシーに差し込むので、どんな環境でも使えるはず。
一応iptablesを設定するので、出来ればリモートじゃなくコンソール画面で!
最悪通信出来なかった場合を考え、cronで数分後に無効にする設定もおすすめ。
コマンドで入れ込むので、保存はされません。起動時に有効にしたい場合は、各OSの設定にしたがってください。
一度作れば簡単だったので、韓国版も
2014/3/7追記 こいつは壊れました、こっちがおすすめです。
検証や、環境構築で自分のPCに追加のNICが欲しくなったので、新規で購入してみた。今更PCI-EのNIC買うのもアレだし、使い勝手の良いUSBタイプで選定することにした。
色々と調べてみると、USB3.0では、ギガビットイーサネット対応の製品がチラホラあるようだが、まだ高いし、検証目的なら100Mbpsでも問題ないし、どうしても1Gbps必要ならオンボード使えばいいし、ということでUSB2.0のものにした。
アキバ散策してたところ、2個ほど候補を発見したが買ったのはこれ。アキバオーで売ってた。735円
中国製で、製品名はよくわからないが、型番は、 「KY-AX88772ALF」らしい。
多分amazonのこいつが同一製品。
amazonの方が安い。もはや実店舗で買う利点は無いですね。
肝心の動作だが、自分の環境(ubuntu 13.04 x86_64)では、挿すだけで簡単に認識した。NICなら大丈夫とは思っていたが拍子抜けするほどだった。
ロードされているモジュールは、
|
1 2 3 |
$ lsmod |grep asix asix 27650 0 usbnet 31879 1 asix |
asix というやつ。
他の環境の、12.04でも同じモジュールは存在するので、最近のLinuxならまず問題ないと思う。
|
1 2 3 4 5 6 7 8 9 10 11 |
$ cd /lib/modules/ $ find -name "asix*" ./3.2.0-34-generic/kernel/drivers/net/usb/asix.ko ./3.2.0-44-generic/kernel/drivers/net/usb/asix.ko ./3.2.0-29-generic/kernel/drivers/net/usb/asix.ko ./3.2.0-41-generic/kernel/drivers/net/usb/asix.ko ./3.2.0-40-generic/kernel/drivers/net/usb/asix.ko ./3.2.0-25-generic/kernel/drivers/net/usb/asix.ko ./3.2.0-35-generic/kernel/drivers/net/usb/asix.ko ./3.2.0-33-generic/kernel/drivers/net/usb/asix.ko |
ちょっとしか使ってないので(認識してping疎通確認)なんとも言えませんが、
普通には使えると思います。
ただちょっと気になるのが、そこそこ熱い。長持ちはしないかも。。。
あまりあるケースでは無いが、何かの拍子にハイフン(-)で始まる、ファイルが出来ちゃったりする。
当然ミスって作ったファイルなので、消そうと思うのだが、ハイフンで始まるとオプションと解釈されてしまい
クォートしようと、エスケープしようと消せない。そんな時の消し方は、
|
1 |
$ rm ./-foo |
カレントからのパスを指定してやれば、オプションと解釈されません
|
1 |
$ rm -- -bar |
どちらでも消せるのでどっちでも良いが、オプションの終わり(--)は、たまに役に立つ時があるので覚えておくと良いと思う。
--を解釈してくれないコマンドも結構ありますが:-P
素のままのcentos6では確認してないので、remiレポジトリを追加してupdateした環境だけかもしれないが、
proftpdに普通のunixアカウントでログイン出来ない。
|
1 2 3 |
# cat /var/log/secure Jun 6 12:47:45 localhost proftpd: PAM unable to dlopen(/lib64/security/pam_stack.so): /lib64/security/pam_stack.so: cannot open shared object file: No such file or directory |
ログにはこんなエラーが出ている。
ネットで調べたところ、proftpdのpam設定を変更すれば良いらしい。
|
1 2 3 4 5 6 |
#%PAM-1.0 auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed auth required pam_stack.so service=system-auth auth required pam_shells.so account required pam_stack.so service=system-auth session required pam_stack.so service=system-auth |
|
1 2 3 4 5 6 7 |
#%PAM-1.0 auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed auth include system-auth auth required pam_shells.so account include system-auth session required pam_loginuid.so |
required pam_stack.so を include system-auth にして
session はごっそり変更する。
sshで何個かホストを経由してるとき、~.(チルダ ドット)で切断しようとすると、一番手前のセッションが切断されてしまう。
その場合チルダを複数入力すれば、切断したいホストに送ることが出来る。
例
mypc -> A -> B
にログインしてる場合
|
1 2 3 4 |
[user@B ~]$ ~~. <-実際は表示されない(チルダ2個) [user@B ~]$ Connection to tora closed. [user@A ~]$ #Aに戻る |
チルダの使い方は、manを見れば詳しく書いてあるので、
ここでは簡単な説明だけします。
