ubuntu 14.04 を無線LANアクセスポイントにする

表題のままなのだが、ubuntu 14.04 を無線LANアクセスポイントにしてみた。

無線LANルータが格安で販売されている今日このごろに、なんでこんなことやってるんだろというツッコミは後にして、前提条件など。

OSはubuntu 14.04 でデスクトップ版です。
無線LANは、過去にamazonで買った格安のこいつ(WLI-UC-GNM)
激安だけど、802.11nまで対応していたはず。期待はしないけど。
モードはブリッジモード。LANと別セグメントにしたくないから。
ノートPC1台つながれば良いので、MACアドレス制限とか、ステルスSSIDとかでやってみる。

設定などなど

NetworkManagerを止める

後の方に気付いたけど、最初に止めた方が無難。

Desktop PCで、固定IP運用なので、そもそもこいつは必要ない。なので、NetworkManagerを止めて、手動での設定に移行する。

まず動いているか確認

$ ps ax | grep Net
NetworkManagerってプロセスがいるか確認

1 2	$ ps ax \| grep Net NetworkManagerってプロセスがいるか確認

いたら止める。

$ sudo stop network-manager

1	$ sudo stop network-manager

自動起動を止める。

$ echo "manual" | sudo tee /etc/init/network-manager.override

1	$ echo "manual" \| sudo tee /etc/init/network-manager.override

今は、こんな方法なんですね。

必要パッケージをインストールする

$ sudo apt-get install bridge-utils hostapd

1	$ sudo apt-get install bridge-utils hostapd

ブリッジのやつと、アクセスポイントのやつ

Network設定を手動に移行する

自分の場合は、既に手動になってた(NetworkManagerは起動してたけど)が念の為確認。

こんな感じの設定、ブリッジ設定もやってます。ミスるとネットワーク繋がらなくなるので要注意。設定終わったら再起動しといた方が無難。

$ sudo cat /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto br0
iface br0 inet static
address 192.168.xxx.20
network 192.168.xxx.0
netmask 255.255.255.0
broadcast 192.168.xxx.255
gateway 192.168.xxx.1
dns-domain example.com
dns-nameservers 192.168.xxx.1
bridge_ports eth0
bridge_stp off
bridge_fd 0
bridge_maxwait 0

$ sudo cat /etc/network/interfaces

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet manual

auto br0

iface br0 inet static

address 192.168.xxx.20

network 192.168.xxx.0

netmask 255.255.255.0

broadcast 192.168.xxx.255

gateway 192.168.xxx.1

dns-domain example.com

dns-nameservers 192.168.xxx.1

bridge_ports eth0

bridge_stp off

bridge_fd 0

bridge_maxwait 0

無線LAN(wlan0とか)のブリッジは、hostapdがよろしくやってくれるのでここでは設定しない。

無線LAN(WLI-UC-GNM)を挿す

別にいつでもいいけど。iwconfigでwlan0(無線LANが1つの場合)が見えてればたぶんOK。

ドライバーとかもよろしくやってくれるはず。

$ iwconfig

wlan0 IEEE 802.11bgn Mode:Master Tx-Power=20 dBm
Retry long limit:7 RTS thr:off Fragment thr:off
Power Management:on

$ iwconfig

wlan0 IEEE 802.11bgn Mode:Master Tx-Power=20 dBm

Retry long limit:7 RTS thr:off Fragment thr:off

Power Management:on

ドライバっぽいやつら

$ lsmod |grep rt2
rt2800usb 27034 0
rt2x00usb 20742 1 rt2800usb
rt2800lib 89076 1 rt2800usb
rt2x00lib 55307 3 rt2x00usb,rt2800lib,rt2800usb
mac80211 630653 3 rt2x00lib,rt2x00usb,rt2800lib
cfg80211 484040 2 mac80211,rt2x00lib
crc_ccitt 12707 1 rt2800lib

$ lsmod |grep rt2

rt2800usb 27034 0

rt2x00usb 20742 1 rt2800usb

rt2800lib 89076 1 rt2800usb

rt2x00lib 55307 3 rt2x00usb,rt2800lib,rt2800usb

mac80211 630653 3 rt2x00lib,rt2x00usb,rt2800lib

cfg80211 484040 2 mac80211,rt2x00lib

crc_ccitt 12707 1 rt2800lib

hostapdの設定

やっと本番。

自分はこんな感じの設定にした。

$ sudo cat /etc/hostapd/hostapd.conf
# APインターフェイスのデバイス名
interface=wlan0
# ブリッジする場合のインターフェイス。
bridge=br0
# ドライバーインターフェイス名
# とりあえずこいつでよい模様。
# lsmodでロードされているモジュールかと思ったら違った。
driver=nl80211
# 動作モード (a = IEEE 802.11a、b = IEEE 802.11b、g = IEEE 802.11g)
hw_mode=g
# ieee80211n: IEEE 802.11n (HT) を有効にする。
# 使えるのか分からないがとりあえず設定
ieee80211n=1
# SSIDssid=YOUR_SSID # &lt;- ここはSSID
# 事前共有鍵
wpa_passphrase=YOUR_PASSPHRASE # &lt;- ここはパスワード
# SSIDをステルスにする
ignore_broadcast_ssid=1
# MACアドレスによる子機のアクセス制限
# 0 = 拒否リストにないものは許可
# 1 = 許可リストにないものは拒否
macaddr_acl=1
# 許可するMACアドレスリスト
accept_mac_file=/etc/hostapd/hostapd.accept
# ようわからん
wpa=2 
channel=11
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP

$ sudo cat /etc/hostapd/hostapd.conf

# APインターフェイスのデバイス名

interface=wlan0

# ブリッジする場合のインターフェイス。

bridge=br0

# ドライバーインターフェイス名

# とりあえずこいつでよい模様。

# lsmodでロードされているモジュールかと思ったら違った。

driver=nl80211

# 動作モード (a = IEEE 802.11a、b = IEEE 802.11b、g = IEEE 802.11g)

hw_mode=g

# ieee80211n: IEEE 802.11n (HT) を有効にする。

# 使えるのか分からないがとりあえず設定

ieee80211n=1

# SSIDssid=YOUR_SSID # <- ここはSSID

# 事前共有鍵

wpa_passphrase=YOUR_PASSPHRASE # <- ここはパスワード

# SSIDをステルスにする

ignore_broadcast_ssid=1

# MACアドレスによる子機のアクセス制限

# 0 = 拒否リストにないものは許可

# 1 = 許可リストにないものは拒否

macaddr_acl=1

# 許可するMACアドレスリスト

accept_mac_file=/etc/hostapd/hostapd.accept

# ようわからん

wpa=2

channel=11

wpa_key_mgmt=WPA-PSK

wpa_pairwise=CCMP

MACアドレス許可リストファイルを作っておく。

 $ echo "xx:xx:xx:xx:xx:xx" |sudo tee /etc/hostapd/hostapd.accept # "xx:xx:xx:xx:xx:xx" は自分のMACアドレスに置き換え。

1	$ echo "xx:xx:xx:xx:xx:xx" \|sudo tee /etc/hostapd/hostapd.accept # "xx:xx:xx:xx:xx:xx" は自分のMACアドレスに置き換え。

パーミッションもきつめにする。

 $ sudo chmod 600 /etc/hostapd/hostapd.conf $ sudo chmod 600 /etc/hostapd/hostapd.accept

1	$ sudo chmod 600 /etc/hostapd/hostapd.conf $ sudo chmod 600 /etc/hostapd/hostapd.accept

自動起動の設定 /etc/default/hostapdのファイルに、DAEMON_CONFを定義

 $ cat /etc/default/hostapd |grep "^DAEMON" DAEMON_CONF="/etc/hostapd/hostapd.conf"

1	$ cat /etc/default/hostapd \|grep "^DAEMON" DAEMON_CONF="/etc/hostapd/hostapd.conf"

デーモン起動

 $ sudo service hostapd start * Starting advanced IEEE 802.11 management hostapd [ OK ]

1	$ sudo service hostapd start * Starting advanced IEEE 802.11 management hostapd [ OK ]

正しく起動すれば、きっと使えるはず。

ubuntu 14.04で自動アップデート(unattended-upgrades)

なんか自動アップデートの設定も毎回確認しているような気がするが

過去の記事

unattended-upgradesをインストールして、前回の記事のように設定しようとしたが

/etc/apt/apt.conf.d/10periodicってファイルが見つからない。

どうしたもんかと調べたところ、dpkg-reconfigureすればいいんじゃね。

$ sudo dpkg-reconfigure unattended-upgrades

1	$ sudo dpkg-reconfigure unattended-upgrades

自動更新しますかって聞かれるので、はい。を選択。

こんなファイルが作られている。

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists &quot;1&quot;;
APT::Periodic::Unattended-Upgrade &quot;1&quot;;

$ cat /etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::Update-Package-Lists "1";

APT::Periodic::Unattended-Upgrade "1";

ただ、同じ14.04でも、/etc/apt/apt.conf.d/10periodicが存在して普通に自動アップデート出来ている環境もあるので、

debootstrapでインストールした最小構成だけかもしれない。

redmine 2.5.x を ubuntu 14.04 へインストール

とっても便利な、チケットドリブン開発WEB UIのredmineを自分専用にインストール。

今回インストールするのは、redmine 2.5.1になります。

基本的には、ubuntuだとパッケージでのインストールが良いのだが、WEB系のアプリで開発が頻繁なものは、本家からダウンロードしてインストールするほうが、後々いいので今回は手動でインストールする。

以前、Wordpressをubuntu標準パッケージから入れたら、後々不便(バージョンアップとか)だったので、その教訓を活かす。

OS環境

最小インストール。というかlxc環境に入れるので、debootstrapにてインストールされるので、かなり最小構成。

一応パッケージは最新にしておく。

$ sudo apt-get update &amp;&amp; sudo apt-get upgrade

1	$ sudo apt-get update && sudo apt-get upgrade

rubyインストール

こちらもOSのパッケージではなく、rvmを使って、ruby 2.0.0系をインストールします。

$ sudo apt-get install curl
$ curl -sSL https://get.rvm.io | bash -s stable --ruby=2.0.0
$ source /home/$USER/.rvm/scripts/rvm

$ sudo apt-get install curl

$ curl -sSL https://get.rvm.io | bash -s stable --ruby=2.0.0

$ source /home/$USER/.rvm/scripts/rvm

rubyのバージョン確認

$ ruby -v
ruby 2.0.0p481 (2014-05-08 revision 45883) [x86_64-linux]

1 2	$ ruby -v ruby 2.0.0p481 (2014-05-08 revision 45883) [x86_64-linux]

依存パッケージのインストール

$ sudo apt-get install git git-core subversion
$ sudo apt-get install imagemagick libmagickwand-dev

1 2	$ sudo apt-get install git git-core subversion $ sudo apt-get install imagemagick libmagickwand-dev

subversionは、redmineの最新版を取得用。gitは自分で使うバージョン管理。

imagemagicは、redmineで使う。

redmineのダウンロード・設定

今回は/optにインストールします。

$ cd /opt/
$ sudo mkdir redmine
$ sudo chown $USER:$USER redmine
$ cd redmine/
$ svn co http://svn.redmine.org/redmine/branches/2.5-stable current
$ cd current/

$ cd /opt/

$ sudo mkdir redmine

$ sudo chown $USER:$USER redmine

$ cd redmine/

$ svn co http://svn.redmine.org/redmine/branches/2.5-stable current

$ cd current/

パーミッション設定

$ mkdir public/plugin_assets
$ sudo chown -R www-data:www-data files log tmp public/plugin_assets

1 2	$ mkdir public/plugin_assets $ sudo chown -R www-data:www-data files log tmp public/plugin_assets

自分用レポジトリ作成

一応ここで作成しておくが、あとでも良いし別の場所でも可

$ mkdir -p /opt/redmine/repos/git

1	$ mkdir -p /opt/redmine/repos/git

mysqlデータベースの作成

mysqlインストール

$ sudo apt-get install mysql-server libmysqlclient-dev

1	$ sudo apt-get install mysql-server libmysqlclient-dev

データベース作成

$ mysql -uroot -p
mysql&gt; CREATE DATABASE redmine CHARACTER SET utf8;
mysql&gt; CREATE USER 'redmine'@'localhost' IDENTIFIED BY 'my_password';
mysql&gt; GRANT ALL PRIVILEGES ON redmine.* TO 'redmine'@'localhost';
mysql&gt; FLUSH PRIVILEGES;
mysql&gt; EXIT;

$ mysql -uroot -p

mysql> CREATE DATABASE redmine CHARACTER SET utf8;

mysql> CREATE USER 'redmine'@'localhost' IDENTIFIED BY 'my_password';

mysql> GRANT ALL PRIVILEGES ON redmine.* TO 'redmine'@'localhost';

mysql> FLUSH PRIVILEGES;

mysql> EXIT;

redmine設定(コンフィグコピー、DB設定)

$ cp config/configuration.yml.example config/configuration.yml
$ cp config/database.yml.example config/database.yml
$ cat config/database.yml
~~~~~~snip~~~~~~~
production:
  adapter: mysql2
  database: redmine
  host: localhost
  username: redmine
  password: &quot;my_password&quot;
  encoding: utf8
~~~~~~snip~~~~~~~

$ cp config/configuration.yml.example config/configuration.yml

$ cp config/database.yml.example config/database.yml

$ cat config/database.yml

~~~~~~snip~~~~~~~

production:

adapter: mysql2

database: redmine

host: localhost

username: redmine

password: "my_password"

encoding: utf8

~~~~~~snip~~~~~~~

bundlerインストール

$ gem install bundler
$ bundle install --without development test

1 2	$ gem install bundler $ bundle install --without development test

token作成

$ bundle exec rake generate_secret_token

1	$ bundle exec rake generate_secret_token

db migrate

$ RAILS_ENV=production bundle exec rake db:migrate

1	$ RAILS_ENV=production bundle exec rake db:migrate

default data load

$ RAILS_ENV=production bundle exec rake redmine:load_default_data

1	$ RAILS_ENV=production bundle exec rake redmine:load_default_data

途中言語環境を聞かれたら、 ja にする。

次からWEBサーバ

WEBサーバ設定(apache)

各種インストール

$ sudo apt-get install apache2 apache2-dev libcurl4-gnutls-dev apache2 libapache2-svn libapache-dbi-perl libapache2-mod-perl2 libdbd-mysql-perl libauthen-simple-ldap-perl openssl

1	$ sudo apt-get install apache2 apache2-dev libcurl4-gnutls-dev apache2 libapache2-svn libapache-dbi-perl libapache2-mod-perl2 libdbd-mysql-perl libauthen-simple-ldap-perl openssl

ssl有効、セキュリティ設定

$ sudo a2enmod ssl
$ sudo a2ensite default-ssl
$ sudo vi /etc/apache2/conf-available/security.conf

$ sudo a2enmod ssl

$ sudo a2ensite default-ssl

$ sudo vi /etc/apache2/conf-available/security.conf

passengerインストール

$ gem install passenger
$ passenger-install-apache2-module
~~~~~~snip~~~~~~
   LoadModule passenger_module /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45/buildout/apache2/mod_passenger.so
   &lt;IfModule mod_passenger.c&gt;
     PassengerRoot /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45
     PassengerDefaultRuby /home/foo/.rvm/gems/ruby-2.0.0-p481/wrappers/ruby
   &lt;/IfModule&gt;
#環境によって異なるので、必ず自分の結果をメモする。

$ gem install passenger

$ passenger-install-apache2-module

~~~~~~snip~~~~~~

LoadModule passenger_module /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45/buildout/apache2/mod_passenger.so

PassengerRoot /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45

PassengerDefaultRuby /home/foo/.rvm/gems/ruby-2.0.0-p481/wrappers/ruby

</IfModule>

#環境によって異なるので、必ず自分の結果をメモする。

apacheにpassengerの設定

$ cat /etc/apache2/conf-available/passenger.conf 

LoadModule passenger_module /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45/buildout/apache2/mod_passenger.so
&lt;IfModule mod_passenger.c&gt;
	PassengerRoot /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45
	PassengerDefaultRuby /home/foo/.rvm/gems/ruby-2.0.0-p481/wrappers/ruby
&lt;/IfModule&gt;

PassengerUserSwitching off
PassengerDefaultUser www-data

$ cat /etc/apache2/conf-available/passenger.conf

LoadModule passenger_module /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45/buildout/apache2/mod_passenger.so

PassengerRoot /home/foo/.rvm/gems/ruby-2.0.0-p481/gems/passenger-4.0.45

PassengerDefaultRuby /home/foo/.rvm/gems/ruby-2.0.0-p481/wrappers/ruby

</IfModule>

PassengerUserSwitching off

PassengerDefaultUser www-data

passenger設定を有効化

$ sudo a2enconf passenger

1	$ sudo a2enconf passenger

sslサイトにredmineを追加

$ head -15 /etc/apache2/sites-available/default-ssl.conf
&lt;IfModule mod_ssl.c&gt;
	&lt;VirtualHost _default_:443&gt;

		ServerAdmin webmaster@localhost

		#DocumentRoot /var/www/html
		DocumentRoot /opt/redmine/current/public

		&lt;Directory /opt/redmine/current/public&gt;
			Require all granted
		&lt;/Directory&gt;

		# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
		# error, crit, alert, emerg.
		# It is also possible to configure the loglevel for particular

$ head -15 /etc/apache2/sites-available/default-ssl.conf

ServerAdmin webmaster@localhost

#DocumentRoot /var/www/html

DocumentRoot /opt/redmine/current/public

Require all granted

</Directory>

# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,

# error, crit, alert, emerg.

# It is also possible to configure the loglevel for particular

DocumentRoot変更と/opt/redmine/current/publicへの許可設定

apache再起動

$ sudo service apache2 restart

1	$ sudo service apache2 restart

これでhttps://<your_server_ip>にアクセスアクセスすればredmineが使えるはず。

あとは、自分でチケット作って、自分でやってという悲しい作業で、効率が上がる。

tuxguitarの音が出ない ubuntu 14.04

なんか毎回インストールするたびに、同じ状況になっている気がするが、tuxguitarの音が出ない。

普通にtuxguitarはインストールして、tab譜を見るのは出来るのだが、音が出ない。

自分の環境では、以下のコマンドで出るようになった。

sudo apt install tuxguitar-alsa tuxguitar-jsa tuxguitar-oss tuxguitar-jsa

1	sudo apt install tuxguitar-alsa tuxguitar-jsa tuxguitar-oss tuxguitar-jsa

実際にインストールされたのは、tuxguitar-jsaだけ。

んで、tuxguitarを起動したら普通に音が出るようになった。

一応設定は、

「ツール」-「環境設定／settings」-「サウンド」

で

「MIDIポート」が

「Gervill」

になっていることを確認。

音が出るようになった。

WEBページをコマンドでPDFとかイメージで保存

WEBページをコマンドで、PDFとかイメージデータとして保存出来たらいいな。と、ふと思い調べたところ、

過去に書いてるやん！

その記事

うわー。記憶って消えていくものだな。

wkhtmltopdf

ってパッケージをインストールすれば良い。

~~ただ、ちょっとその時と違っているのは、ubuntu 14.04ならイメージも出来まっせ！ってこと。~~

~~当時(恐らく12.04だと思う)は、PDFだけだった模様。~~

※残念ながら、14.04もPDFだけでした。この記事は意味ありませんが、もったいないので

まー。インストールは相変わらず超簡単

$ sudo apt-get install wkhtmltopdf

1	$ sudo apt-get install wkhtmltopdf

使いかたも超簡単

PDF

$ wkhtmltopdf http://www.yahoo.co.jp yahoo.pdf

1	$ wkhtmltopdf http://www.yahoo.co.jp yahoo.pdf

イメージ

$ wkhtmltoimage-amd64 http://www.yahoo.co.jp yahoo.png

1	$ wkhtmltoimage-amd64 http://www.yahoo.co.jp yahoo.png

日本語フォントとか無理かなって思ってたのだが、日本語も凄く綺麗に表示されている。

これで自前のaguseサイトとか作れる。作る能力無いけど。

wkhtmltoimageですが、過去にサイトからダウンロードして個別に入れていたようです。これまたすっかり忘れていた。公式サイトにubuntu用のパッケージもあるので、そちらからインストールすれば、たぶんwkhtmltoimageも使えるかと(未確認)

公式サイトのダウンロードページ

WEBページをコマンドでPDFとして保存(wkhtmltopdf)

wkhtmltopdf

ubuntuだとパッケージがあるから簡単。

wkhtmltoimageだと画像として保存出来るらしいが、ubuntuの標準パッケージにはない。

1	wkhtmltoimageだと画像として保存出来るらしいが、ubuntuの標準パッケージにはない。

ワールドカップでユニフォームの色を変更する基準

また、なんちゃってサッカーネタなのだが、ワールドカップを見ていると、ふと「なんかこのチームのユニフォームいつもと違くね？」って思う時が多々ある。

当然色が被ると見難いのでそのための措置だとは思っていたが、その変更する基準が気になったので調べてみた。

たぶんこんな感じ

各代表チームは、1st, 2ndと2種類のユニフォームを準備している
色が被らない場合は、そのまま両チーム1stのユニフォームを使う
ただ、この場合単純に色だけでなく、白黒テレビでも見分けがつくくらいの濃淡も判断材料になる
色が被った場合、対戦表の左側をホームチーム扱いとし、1stを使用、右側がアウェー扱いで2ndを使用

と、いった感じのようだ。

また、ネット検索結構したのだが、あまりはっきりとした情報が無い。

IT系の情報だと、検索のコツ的なものを把握しているのか、結構簡単にほしいネタにたどり着くのだが、サッカーだと全然たどり付けない。

しかも、この情報もどっかのニュース記事とかじゃなくて、サッカー通らしきひとが元ネタなのでちょっとあやしい。

一応この記事だと、本当のホーム(今回だとブラジル)が常に1stって基準もなさそう。実際に日韓ワールドカップの時に、日本が2ndのユニフォームで試合した時もあったので、たぶんブラジルも2nd着ることもあると思う。

って調べてみたが、早速例外発見。

韓国 – ベルギー

対戦表では、韓国が左側なのでホーム扱い。

両チームは、赤が1stユニフォームとなるので、ベルギーが2ndユニフォームで黒を使用する。

で、決着かと思いきや、韓国も2ndユニフォームの白を使用した。

白 – 黒

確かに赤 – 黒は、白黒テレビだと見分けつかなそう。ただ、なんでベルギーの2ndの黒許可したのかツッコミたくなる。

長々と書きましたが

結論 FIFAが決める

2014年ブラジルワールドカップで累積イエローカードがリセットされるタイミング

まったくサッカー通ではないのだが、ワールドカップ真っ只中でちょっと気になったので調べてみた。

2014年FIFAブラジルワールドカップの開幕戦で、ネイマールが日本の西村主審からイエローカードをもらった。

これを観て、イエローカードっていつまで有効なの？確か昔は決勝トーナメント行くとリセットされたよなー。と思って調べたら

ルールが変わっている模様。

ベスト8(準々決勝）終了時にリセット

だそうです。

終了時点なので、準々決勝で累積2枚になった場合は、準決勝出場停止。

なんかネットで結構調べたけど、あんまりはっきりした情報が無い。

前回の2010年南アフリカ大会から、この方式になったらしい。

なんでこの方式になったかというと、これもあまりはっきりした情報はないのだが、

準決勝、決勝と史上最高の大舞台で、スター選手たちが累積イエローの影響で消極的なプレーになるとよろしくないとの意見が多い。

まー。確かにそのとおりだ。

国によっては決勝トーナメント進出で、御の字のところがあっても、ワールドカップは世界一を決めるのだから、そっちに照準を合わせるべきだとは思う。

Red Hat EL 7(CentOS 7)のifconfigとかレガシーなnet-toolsがなくなった

ついにこの日が来てしまったか。。。

だいぶ前から、古いnet-tools系のコマンドは、今後使えなくなるかもよ的なことは言われていたが

新しいコマンド覚えるのメンドイし、使えてるからいいじゃんと思って先送りにしてきた。

が、Red Hat Enterprise Linux 7では、標準で、net-toolsがインストールされなくなった。

まだリリースされていないが、CentOS 7も同様だと思う。

で、コマンド系で標準で入らなくなった、今までお世話になってきた奴らは

ifconfig
route
netstat
arp

彼等は、今後標準ではなくなります。

今まで、とりあえずサーバにログインしたら、ifconfigみたいなのりで使ってきたのに(涙)

ただ、一応net-toolsパッケージも残っているので、

# yum install net-tools

1	# yum install net-tools

とやれば、今までのコマンドも使えるはず。ただ、さすがに本筋から外れるのでいい加減新しいコマンドでも覚えようかと。

以下、簡単な新旧対応

ifconfig

# ifconfig
# ↓
# ip addr show

# ifconfig eth0 192.168.0.100 netmask 255.255.255.0
# ↓
# ip addr add 192.168.0.100/255.255.255.0 dev eth0

# ifconfig

# ↓

# ip addr show

# ifconfig eth0 192.168.0.100 netmask 255.255.255.0

# ↓

# ip addr add 192.168.0.100/255.255.255.0 dev eth0

route

# route
# ↓
# ip route

# route

# ↓

# ip route

netstat

# netstat -ntpa
# ↓
# ss -ntpa

# netstat -ntpa

# ↓

# ss -ntpa

arp

# arp
# ↓
# ip neighbor

# arp

# ↓

# ip neighbor

もうちょっと細かいオプションとか覚える必要がありそうだけど、とりあえずここまでで。

wordpressのコメントアタック対策 fail2ban

コメントアタックという用語で良いのか微妙だが、apacheのログを眺めていると、
wordpressに結構なPOSTリクエストを送ってくる奴がいる。

このブログにPOSTリクエストが送られるのは、
基本的に自分が記事を更新したときだけなので
(コメントなんてほとんどないですからね)
ほぼ、POSTリクエスト = アタックやいかがわしい行為のはず。

ということで、前々から知ってはいたが、全く手を出したことの無い
fail2banの設定をしてみた。

fail2banはログを見て、事前に定義したレシピに
ヒットするとactionを実行(iptablesでブロックとか)するすぐれもの。

wordpressだけでなく、どちらかというと認証が発生する系の
サーバでは設定しといた方がいいなと思う。
sshとか、pop3とか、その手のサービス。

まー。今回はwordpressの設定。

例によってインストールはapt-get一発
(ubuntu14.04)

$ sudo apt-get install fail2ban

1	$ sudo apt-get install fail2ban

/etc/fail2ban/jail.confに以下を追加

[apache-wpcm]
enabled  = true
filter   = apache-wpcm
logpath  = /var/log/apache2/blog_access.log
action   = iptables-multiport[name=apache-wpcm, port="http,https", protocol=tcp]
findtime = 3600 ; 1 hour
bantime =  86400 ; 1 day
maxretry = 5

[apache-wpcm]

enabled = true

filter = apache-wpcm

logpath = /var/log/apache2/blog_access.log

action = iptables-multiport[name=apache-wpcm, port="http,https", protocol=tcp]

findtime = 3600 ; 1 hour

bantime = 86400 ; 1 day

maxretry = 5

filterはこれから定義する
logpathは実際の環境にあったもの
actionは、これだとiptablesで、http,httpsをブロックする
findtimeは、検知する間隔
bantimeは、ブロックする時間
maxretryは、findtime中この回数だけヒットしたらブロックするって値

上で使うfilterを作る。

/etc/fail2ban/filter.d/apache-wpcm.conf

[Definition]
failregex = <HOST>.*] "POST /wp-comments-post.php
ignoreregex =

[Definition]

failregex = <HOST>.*] "POST /wp-comments-post.php

ignoreregex =

もう、単純に、/wp-comments-post.phpにPOSTしたリクエストを対象とする。

でサービス再起動

service fail2ban restart

1	service fail2ban restart

実際に定義した、filterがログファイルにヒットするかチェックするには、
fail2ban-regex コマンドを使う。ログファイルが大きいと結構時間がかかります。

$ fail2ban-regex /var/log/apache2/blog_access.log /etc/fail2ban/filter.d/apache-wpcm.conf

-- snip --

Lines: 14770 lines, 0 ignored, 121 matched, 14649 missed
Missed line(s):: too many to print.  Use --print-all-missed to print all 14649 lines

$ fail2ban-regex /var/log/apache2/blog_access.log /etc/fail2ban/filter.d/apache-wpcm.conf

-- snip --

Lines: 14770 lines, 0 ignored, 121 matched, 14649 missed

Missed line(s):: too many to print. Use --print-all-missed to print all 14649 lines

14770行チェックして、121マッチとのこと。全くヒットしないとか、ヒットしすぎとかでは無いので
実運用して様子見します。