Fedora 11 アップグレードでミラーサイトエラー?2009年11月02日 15時25分

さて、いきなりつまずいたわけが、気にせずFedora10→11のアップグレードを続ける。

いつも通り、

fedora-release-notes-(バージョン).noarch.rpm  と

fedora-release-(バージョン).noarch.rpm  をwgetでダウンロードしてきて、rpm -Uvh でアップデート。

そして 「yum clean all」 を実行した後に「yum -y upgrade」でアップグレードを実行。

しかしまたしてもエラー発生。今度は「mirror URL」がナントカカントカ言っている。ネットで解決方法を探すと案外すんなり見つかった。

「/etc/yum.repos.d/」 にある「fedora.repo」「fedora-updates.repo」の「baseurl」行のコメントアウトを解除すればOK。

再度、yum -y upgrade を実行すると、今度は問題なく開始された。

Fedora、eth0の再設定2009年11月02日 14時41分

久しぶりにFedoraのアップグレードでもしようと思う。現在は10なので11に上げる。

とりあえず、テスト機に、Fedora10をインストールしたハードディスクを接続、起動してみた。するとデーモンの起動に失敗しネットワークがつながらない。よく見るとエラーが起きており「Bringing up interface eth0 ・・・delaying initialization[FAILD]」 と表示されている。

調べてみると、どうやら以前、別のPCでインストールしたFedoraは、ネットワークカードの再設定が必要らしい。

やり方:

1. 「/etc/sysconfig/network-scripts/ifcfg-eth0」 

の「HWADDR」の値を、新しいMACアドレスに修正。

 

2. 「/etc/udev/rules.d/70-persistent-net.rules」 

 ファイルを削除

3. reboot

これで新しいNICがeth0に設定された。

mailコマンドでファイルを添付して送る2008年09月25日 11時10分

毎日、PostfixやBindのログの前日との差分を、Linux(Fedora9)サーバから管理者クライアント(Windows)にメールを送信し確認している。その際のスクリプトは、メールログの場合、

diff /var/log/mail/maillog /var/log/mail/maillog_b | mail -s "maillog" root (前日のメールログ「maillog_b」と今現在のメールログ「maillog」の差分を管理者にメールする)

cp /var/log/mail/maillog /var/log/mail/maillog_b (現在のメールログ「maillog」をバックアップ「maillog_b」に保存する)

と言った感じで、一日一回crontabで行っている。

・・・

しかしこのスクリプトでメールを送ると、ログはメールの本文に書かれる。確認するだけならこれでよいが、メールをログのバックアップとしても使用しているため、いちいちテキストファイルにメールの本文を出力するのが面倒になってきた。何とか初めからログをテキストファイルとしてメールに添付することはできないか?

・・・

ネットで調べてみると可能っぽい。順を追ってやってみる。(とりあえず差分ではなく全部)

1.エンコードできる環境を作る。

まずは送るテキストをエンコードする必要があるらしい。そのためには「uuencode」というコマンドを使う。しかしFedora9で「which uuencode」と入力してみても、自分の環境にはインストールされていなかった。ということでyumでインストール。

yum install sharutils.i386

無事インストールされた。

2.エンコードし、できたファイルを添付してメール送信。

uuencode エンコードするファイル 添付ファイル名 | mail -s "件名"  送信先アドレス

と言う形式で添付ファイルが送れるらしい。今回は、

uuencode /var/log/mail/maillog maillog.txt | mail -s "maillog" root

としてみる。

・・・

管理者クライアント(Windows)でメールを受信してみた。すると何故かファイルが添付されず、メールの本文にエンコードされたものが記述されてしまっていた。しばらく原因が分からなかったが、どうやらメーラーの問題らしい。自分はEdMaxというメーラーを使用しているが、デフォルトのuuencodeの扱いのままではダメらしい。EdMaxで、

設定(s)→メーラー設定(M)→受信タブ→「本文中のuuencodeデータの扱い」に2箇所チェックを入れる。

これでちゃんと添付ファイルとして受信できるようになった。ちなみにWindowsメールではデフォルトの設定のままで添付ファイルとして受信できた。

・・・

添付ファイルをメモ帳で開いてみると、ログが一切改行されず、全て1行になっており非常に見づらい。これは改行コードの問題だろう。これは、IEやFirefoxなどのブラウザ、またはWord,Excelなどで開けばちゃんと適切なところで改行されており見やすくなる。

bindにキャッシュポイズニングの危険性あり2008年09月10日 11時55分

Nessusを使ってFedoraサーバーのセキュリティ診断をしてみたところ、いくつか警告が見つかったためバージョンを8→9にアップグレードした。

再びNessusを使ってスキャン。sambaとbindにレッドアラートが見つかった。sambaは使用していないためアンインストールしたらアラートは消えた。問題はbind。Nessusのレポートには「Remote DNS Resolver Uses Non-Random Ports」のタイトルで、「vulnerable to DNS cache poisoning.(キャッシュポイズニングの攻撃を受けやすい)」とかかれている。「キャッシュポイズニング」というのは少し前にネットでも話題になっていたため存在は知っていた。しかし改めて警告されれば、怖い。すぐに対応方法を探る。

対応方法:

まずはbindを最新のものにアップデートする。

次にコンフィグファイル(named.conf)に

query-source    port 53;
query-source-v6 port 53;

という記述がある場合コメントアウトする。コメントアウトするとポートがランダムになる。

最後にファイアウォールでUDPポートが53に指定されている場合はランダムに対応できるように変更する。

ちなみに再帰クエリ(recursion)を「no」に設定していれば攻撃される確率を減らせるらしい。まあ外向けには大抵

recursion no;

の設定だとは思うが。

bindでゾーン転送を制限する2008年09月05日 15時10分

同じくNessusのセキュリティ診断でbindにも警告が見つかった。そのうちの一つに「DNS AXFR」というものがあった。内容を読むとどうやらゾーン転送の設定が甘いらしいから制限しろと書いてある。ネットでゾーン転送の制限について調べる。問題がある場合、

> nslookup

・・・

> server 調査するサーバーのIP

・・・

> ls -d 調査するサーバーのIP

と入力すると登録されているレコードが丸見えになるらしい。ためしに自分のサーバーでやってみた・・・

・・・・わお!丸見え!! これはまずい・・・。

早速ゾーン転送を制限する。コンフィグファイル(named.conf)の「options」のところに

allow-transfer { 許可するIP;};

と追加する。再度確認してみると今度は表示されなくなった。しかしこれに気づいていなかったとは恐ろしいなぁ。

apacheのTRACEを無効にする2008年09月05日 14時59分

Nessusを使ってFedoraのセキュリティ診断を行ったらhttpd(apache)に警告が見つかった。内容は「HTTP TRACE / TRACK Methods 」。説明を読むとどうやらapacheのトレースとやらが有効になっており、クロスサイトトレーシングという攻撃を受ける可能性があるらしい。クロスサイトトレーシングとはクロスサイトスクリプティングの仲間か?どうやらapacheはトレースがデフォルトで有効になっているらしい。

必要ないものは止めてしまおう。やり方は簡単。コンフィグ(httpd.conf)に

TraceEnable off

と記述するだけ。これで一つ安心が増えた。

Fedoraの起動時にサービスが失敗したときの対応2008年09月04日 13時45分

Linuxサーバ(Fedora7)にNessusのインストールをテストしている際、何度もインストールとアンインストールを繰り返したせいか、サーバーが起動しなくなってしまった。正確には起動時にNessusのサービスが起動に失敗しそのままFedoraも立ち上がらなくなってしまった。

とりあえずFedoraをシングルモードで立ち上げたいときのやり方。

Fedoraを再起動し、grubのカーネルの選択画面でカーネルを反転させた状態で「e」キーを押す。

kernelの行(大抵2行目?」を選択した状態で「e」キーを押す。

コマンド入力画面になるので、行の最後にスペースを一つ空けて「single」と入力する。

ENTERを押すと元の画面に戻るので「b」キーを押す。

シングルモードで立ち上がるので、chkconfigで問題のあるサービスの自動起動をやめるなり、アンインストールするなりする。

結構基本的なことなのだがすぐ忘れそう。

Nessusをインストールしてみる2008年09月04日 11時27分

「Windows Server World」という月刊誌を読んでいたら「Nessus」というセキュリティ診断ツールが紹介されていた。結構優れものらしいので軽い気持ちでインストールしてみた。・・・結論を先に言うと非常に苦労した。一連の方法をブログに書こうと思ったが、長すぎ。なのでHTMLページを作ることにした。

Nessusインストール手順

ふぅ。疲れた・・・ で肝心の診断結果はいくつかセキュリティ上の不備が見つかった。多くはパッケージをアップデートすれば解決するものだが、中には設定がよくないものもあるっぽい。順次直していくことにしよう。

ADSL不調2008年08月29日 17時08分

最近よくADSLが落ちるなぁ。おかげで自宅サーバーにアクセスできない。どうもプロバイダの問題ではなくNTTの問題っぽい。モデムの電源の入り切りを繰り返せばそのうちなおるのだが・・・。

bind9.5で「 automatic empty zone」2008年08月19日 15時09分

bind9.5を起動した際にmessagesに「automatic empty zone」というログが数行記録されていた。別にエラーというわけではなさそうだが何だ?じゃまくさいので無効にしてしまおう。

named.confのoptionsに「empty-zones-enable no;」と記述。サービスを再起動したら出なくなった。