てきとー管理者にっき！

いつも設定していながらも、忘れてしまい過去に設定を行ったサーバに接続して内容を確認していたが、面倒になったのでメモ！
　※ドキュメントに記載しているが、探すのが面倒・・・ｗ

何をしたいかというと、アクセスが有った際に管理者に通知が届くようにしたい。
不正アクセスの把握にも役立つので、設定は必須。

どの様に設定を行えばよいかというと、通常の設定ではhosts.allowに

sshd :xxx.xxx.xxx.xxx ←　実際にはアクセスさせるIPアドレスを記述

こんな感じでアクセスを許可させるが、設定した内容でアクセスが有った場合、管理者へメール通知することが出来る。

具体的にはこんな感じ

sshd :xxx.xxx.xxx.xxx　:spawn (/usr/sbin/safe_finger -l @%h | /usr/bin/Mail account@hogehoge.jp -s "[tcpd] Access from %h to %s") &

こんな感じで記述すると、アクセスが有るたびに、access元のIPが記載されたメールが飛んでくる・・・

意外と、便利！！

最近Mozilla系のUPDATEが頻繁にあり、アドオンが使えない状況になる場合が多い。
そこで、非対応のアドオンでも利用できるように裏技が有るらしい。

例えば・・・Thunderbirdの場合。

[ツール]→[オプション]を押すとオプションダイアログが起動。
[詳細]→[一般]→[高度な設定]→[設定エディタ]を押す。
[細心の注意を払って使用する]を押す。
リスト内の何もない部分で右クリック→[新規作成]→[真偽値]を押す。
設定名に「extensions.checkCompatibility.バージョン」を入力。
今回はThunderbird１０.１なので、「extensions.checkCompatibility.10.1」に設定。
真偽値に「false」を選択。
全てのダイアログを閉じて、Thunderbirdを再起動。

これで立ち上がってくると、全てのアドオンが使えるようになっているはず・・・・

OpenVZで構築したCTにSSHで接続できなくなった。
そこで、ホストから　vzctl enter CTID(CTの番号)でログインを試みるがエラーが出る。

Unable to open pty: No such file or directory

ファイルまたは、ディレクトリが無いだと！！

この「Unable to open pty: No such file or directory」でGoogle先生に聞いてみると、以外に多くのページがHITした。

説明によると、udevとの相性がわるいらしい・・・
では、何故今までログインできて、突然ログインできなくなったのか？
サーバの設定も変えた覚えもないし・・・　意味が分からない。

とにかく、ログイン出来るように対処方法が出ていたので、実行してみた。

エラーの内容では「Unable to open pty」となっていたので

/usr/sbin/vzctl exec CTID(CTの番号) /sbin/MAKEDEV pty　
とだけ実行したがだめ。

念のため、

/usr/sbin/vzctl exec CTID(CTの番号) /sbin/MAKEDEV tty
も実行してみた。

この2つを実行することで、ログイン出来るようになった。

しかし、サーバを再起動すると、同じ現象になってしまう。
では、継続して利用出来るようにするためには、どの様にすれば良いのか、再度Google先生に聞いてみた。

サーバ起動時に、udevを利かないように設定すればいいらしい。
って事で、早速やってみた。

先ず、
/usr/sbin/vzctl exec CTID(CTの番号) /sbin/MAKEDEV pty　
/usr/sbin/vzctl exec CTID(CTの番号) /sbin/MAKEDEV tty

を打って、

vzctl enter CTID(CTの番号)
で、対象CTにログインする。

そして
/etc/rc.sysinit　の
#/sbin/start_udev　　←　コメントアウトする

そして
/sbin/start_udev　を実行

念のため
/sbin/MAKEDEV tty
/sbin/MAKEDEV pty
も実行して〜　再起動！！

起動後に
vzctl enter CTID(CTの番号)
でログインできることを確認。

そして
ssh root@CTのIPアドレス
にて、SSH接続を確認。

これで、何度再起動してもOKになったが、何故udevとの相性問題が出たのか、意味が分からない・・・・

■参考サイト
http://www.eukhost.com/forums/f29/vps-unable-open-pty-no-such-file-directory-2666/

ここ最近、オリジナルのデーモンを動かすことが多くなってきた。
サーバの再起動は行わないが、念のため起動スクリプトを作ってみた。

今までも、起動スクリプトは作成していたが、都度作成していたので、応用の利きそうなものを作成してみた。

++++++++++++++++++++++++++++++++++++++++++++++++
#!/bin/sh
#
# デーモン名
#
# chkconfig: 345 99 01　　←　用途や依存関係に気をつけて値を決める
# processname: デーモンName
# description: 適当に・・・ｗ

PROG=/usr/local/bin/XXXXXXXX
PROGNAME=XXXXXXXX
LOCKFILE=/var/lock/subsys/$PROGNAME

# Source function library.
. /etc/rc.d/init.d/functions

RETVAL=0

# Get config.
. /etc/sysconfig/network

# Check that networking is up.
if [ ${NETWORKING} = "no" ]
then
exit 0
fi

start() {
echo -n "Starting $PROGNAME services: "
daemon $PROG -p 1022 &
RETVAL=$?
echo
[ $RETVAL = 0 ] && touch $LOCKFILE
return $RETVAL
}

stop() {
echo -n "Stopping $PROGNAME services: "
killproc $PROGNAME
RETVAL=$?
echo
[ $RETVAL = 0 ] && rm -f $LOCKFILE
return $RETVAL
}

# See how we were called.
case "$1" in
start)
start
;;
stop)
stop
;;
status)
status $PROGNAME
;;
restart|reload)
stop
start
;;
*)
echo "Usage: $PROGNAME {start|stop|status|restart}"
exit 1

esac

exit $RETVAL
++++++++++++++++++++++++++++++++++++++++++++++++

これをフォーマットにすれば、余計な時間を取られずに済むな・・・・

またまたWindowsのSSL証明書ネタｗ

最近１５サイト分のワイルドカード形式のSSL証明書を申請した。
枯渇しているIPを消費させない一つの方法です。
申請は*.hogehoge.jp等の様に、１つのドメインに対してのワイルドカードで有って、異なるドメインで使えるものではありません。（※念のため・・・）
しかし、良い面だけでは有りません。
古めのブラウザ（IE6）や携帯端末では認識しない場合も有るようです。

IISの場合、非常に簡単で、１つ目のサイトは普通にバインドさせる。
２つ目以降のサイトに関してはコマンドにて設定していくのだが、覚えてしまえば非常に簡単。
でも、覚えの悪い俺はメモることにしたｗ

参考サイト
http://cspssl.jp/support/install_iis7_bind_cui.html

上記サイトの例ではIPを指定していないが、実際にはIPを入れて設定することになる。

先ず、現在の設定を確認

c:\Windows\System32\inetsrv>appcmd list site
SITE "Default Web Site" (id:1,bindings:http/192.168.0.11:80:www.hogehoge.jp,https/192.168.0.11:443:cspssl.com,state
:Started)
SITE "www2" (id:2,bindings:http/192.168.0.11:80:www2hogehoge.jp,state:Started) ←　ここ(www2)にはSSL証明書が割当たっていない。

コマンドで、強制的にバインドさせる

c:\Windows\System32\inetsrv>appcmd set site /site.name:"www2" /+bindings.[protoco
l='https',bindingInformation='192.168.0.11:443:www2.hogehoge.jp']
SITE オブジェクト "contact" は変更されました

再度バインドの状態を確認

c:\Windows\System32\inetsrv>appcmd list site
SITE "Default Web Site" (id:1,bindings:http/192.168.0.11:80:www.hogehoge.jp,https/192.168.0.11:443:www.hogehoge.jp,state
:Started)
SITE "www2" (id:2,bindings:http/192.168.0.11:80:www2.hogehoge.jp,https/192.168.0.11:443:www2.hogehoge.jp,state:Started)

これで出来上がり！

同一ドメインで複数サイトがある場合は、これを繰り返すだけ。

最近Windowsを触る機会が多いのだが、覚える気が全くない俺はやったことを直ぐに忘れてしまうので、メモって置くことにした。

お客様でSSL証明書にVeriSignやCybertrustを利用していたが、コスト削減のため、安い証明書を好むような傾向が有る。
しかし、スマートフォンの普及によりダメダメな証明書では使い物にならない。

最近はRapidSSLを申請する機会が置いのだが、古い携帯端末でも新しい携帯端末でも利用出来るような複数の証明書（中間証明書）を入れることが出来るようだ。

やり方は簡単で、２つの中間証明書を１つのファイルでまとめてサーバに読み込ませるだけ！
方法は割愛するが、下記のサイトに詳細が出ている。
http://valuessl.net/support/etc/rapidsslre_cross/index.php

設定したら、正常に動作しているかをチェッカーでチェックすることをオススメする！

http://valuessl.net/support/checker.php

先日、EC-CUBEをインストールした際にエラーが出た！

Warning: date() [function.date]: It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Asia/Tokyo' for 'JST/9.0/no DST' instead in /var/www /html/eccube/data/class/util/GC_Utils.php on line 221

こんな感じのエラーだったが、Google先生に確認すると、直ぐに対策が解った。

今回のサーバでは、CentOS5.7+PHP5.3.8の構成でエラーが出た。
php.iniに細工をすると直るらしい。

修正箇所は以下のとおり。

php.ini の [Date] セクションにtimezoneを設定するだけ。

[Date]
date.timezone = Asia/Tokyo

そしてApache再起動！

php5.1とかではこんな設定したことなかったけど、EC-CUBE側の仕様変更なのかな？？？

Linux（Apache）からWindows(IIS)に乗り換えたお客様が居る。
今時Windowsなんて使ってもね〜〜っと思いながらも、お客様の依頼なので仕方がない。

コンテンツ（Linuxで動いていたPHP+PostgreSQLをWindows版PHP+MSSQLに焼き直し）を再構築して、やっと動くようになった。
無理にWindows版PHPに焼かずに.netで再構築すれば良いと思うのだが、俺の周りには.netに詳しいプログラマーがいないｗ
やってやれないことは無いが、PHP同士の移植の方が簡単で工数も少なく、トラブルも少ないとの結論に至った。

ま〜　ここまでは、俺の担当では無いので詳細は割愛！！

本題のSSL証明書の変換だが、Google先生に聞いてみると意外に情報が少ない。
しかし、方法は一発のコマンドで変換できてしまう。

忘れないように、また同じような事はあった時の為にメモ！

Linuxの場合は、keyとcrtの２段構えで構成されている。
Windowsの場合はPKCS#12 形式。

コマンドでサクッと変換してみましょ。

OpenSSLがインストールされたLinuxで下記を実行

# openssl pkcs12 -export -in DOMAIN.crt -inkey DOMAIN.key -out DOMAIN.p12

これだけで変換完了。
出来たPKCS#12 形式をWindowsへ転送して、読みこませれば完了！

■参考にしたサイト
　http://support.citrix.com/article/CTX108031

本日連続してsignal Bus error (7)の為Apacheが再起動された。
コンテンツは問題無く表示（稼働）しているが、なんか気持ち悪い・・・・

バーチャルドメインのログを見ても、それらしきものは残っていない〜

coreが吐かれていたので、内容を確認したが以前と同じ・・・
(gdb) where
#0 0xb7bca697 in memset () from /lib/libc.so.6
#1 0xb7e987ab in apr_password_validate () from /usr/lib/libaprutil-1.so.0
#2 0xb7843bda in __cxa_finalize () from /etc/httpd/modules/mod_authn_file.so
#3 0xb7f11c6e in __cxa_finalize () from /etc/httpd/modules/mod_auth_basic.so
#4 0xb7f52a0d in ap_run_check_user_id ()
#5 0xb7f53d17 in ap_process_request_internal ()
#6 0xb7f6763b in ap_process_request ()
#7 0xb7f643ef in ?? ()
#8 0xb7f5fa0d in ap_run_process_connection ()
#9 0xb7f5fb0c in ap_process_connection ()
#10 0xb7f6c694 in ?? ()
#11 0xb7f6c9a1 in ?? ()
#12 0xb7f6d3a3 in ap_mpm_run ()
#13 0xb7f43157 in main ()

怪しいのは
mod_auth_basic.so
mod_authn_file.so

ここのところ、phpMyAdminに対しもログが残っている。
ｐｈｐMyAdminのディレクトリにはベーシック認証を施している。
もしかすると、ベーシック認証を破る攻撃がなされば場合にApacheに不具合が出るのかもしれない。
しかし、ググッてもそれらしき情報が無いため、対策が打てない！
地道に攻撃元IPをブラック化（iptablesで破棄）するしか無いだろうな〜〜

昨晩、下記のログを吐いていた。

[Tue Nov 08 02:08:31 2011] [notice] child pid 27500 exit signal Segmentation fault (11)

しかし、swatchで感知しないｗ
設定ファイルには　watchfor /signal Bus error (7)|signal Segmentation fault (11)/　のように記述しているが。。。。
何か、問題でも？？

って事で、watchfor /signal Bus error|signal Segmentation fault/　こんな感じにしてみた。

それと、昔NICが死んでしまう現象があり、その時にお対策を行った事が有ったが、logrotateする際に、古いLogDATAを読み続けてしまう現象が有った。
今回のLogはApacheのログなので、logrotateした後にswatchを再起動するようにして、logrotateした後の新しいLogを参照するように追記してみた。

------------------------------------------------------------------------------------------
/var/log/httpd/*log {
weekly
rotate 13
missingok
notifempty
sharedscripts
postrotate
/sbin/service httpd reload > /dev/null 2>/dev/null || true
endscript
}
------------------------------------------------------------------------------------------
↓　↓　↓
------------------------------------------------------------------------------------------
/var/log/httpd/*log {
weekly
rotate 13
missingok
notifempty
sharedscripts
postrotate
/sbin/service httpd reload > /dev/null 2>/dev/null || true
/etc/rc.d/init.d/swatch restart　　←　ここ
endscript
}
------------------------------------------------------------------------------------------

これで、再度様子みてみようか・・・