apache 2.0.51

apache に脆弱性が出たとのことで、2.0.50 -> 2.0.51 へバージョンアップしました。

覚え書き(OpenSSL は/usr/local/openssl にインストール済み)

(前もって、/usr/lib 配下にあった、古いlibssl & libcrypto を移動)

> ./configure --prefix=/usr/local/apache-2.0.51 --enable-ssl --with-ssl=/usr/local/openssl \

    --enable-status --enable-info --enable-rewrite  --enable-so --enable-proxy && make

> su

# make install

# cd /usr/local

# cp -Rp apache-2.0.50/logs apache-2.0.50/conf apache-2.0.50/modules apache-2.0.51/

# apache2/bin/apachectl stop && rm apache2 && ln -s apache-2.0.51 apache2 && apache2/bin/apachectl start

BIND 9.3.0

9/23 にBIND 8.4.5 & 9.2.4 & 9.3.0 がリリースされたとのことなので、9.3.0を入れてみました。

覚え書き

> ./configure --with-openssl=/usr/local/openssl/ --disable-ipv6 --enable-threads && make

> su

# ps -axuw |grep named

# kill (PID) && make install && /usr/local/sbin/named -u bind -c /etc/namedb/named.conf

apache 2.0.52

ついこの間のapache 2.0.51 に脆弱性が出たとのことで、2.0.52 へバージョンアップしました。

覚え書き(って、前回と何も変わってないけど)
(OpenSSL は/usr/local/openssl にインストール済み)

(前もって、/usr/lib 配下にあった、古いlibssl & libcrypto を移動)

> ./configure --prefix=/usr/local/apache-2.0.52 \

    --enable-ssl --with-ssl=/usr/local/openssl \

    --enable-status --enable-info --enable-rewrite  \

    --enable-so --enable-proxy && make

> su

# make install

# cd /usr/local/apache-2.0.51

# cp -Rp logs conf modules /usr/local/apache-2.0.52/ && \

  /usr/local/apache2/bin/apachectl stop && \

  rm /usr/local/apache2 && \

  ln -s /usr/local/apache-2.0.52 /usr/local/apache2 &&  \

  /usr/local/apache2/bin/apachectl start

SSH の SOCKS Proxy

connect24h 経由、ねぎ式にて情報入手。

遠隔でおうちネットワーク内のルータとかへアクセスするとき、これまではおうちサーバでProxyサーバ(delegate) をあげて、そのPort へSSH PortForward をして、と言うことをしておりました。

が、SSH を SOCKS Proxy として使えば、delegate がいらなくなってしまいます。 こんな便利な機能があったとは．．．。

通常のコマンドベースのSSHでは、

ssh -D (local で受け付けるPort番号)

とかやればOKな模様。

PuTTY でも、トンネルの設定のところで、"ダイナミック"を選んで、Port番号を指定してやれば使えるようです。

ThinkPad + FreeBSD 5.3R + NIC(PCカード)

今日はまた宿日直なんですが、ちょっと暇なので、IPv6実験用にということで買ってもらった、
中古のThinkPad へNIC を2枚さして、Etherの口が3つあるルータに仕立て上げる準備をしました。

このNICの追加ですが、なかなか認識せずに苦労しました。とりあえず、やったことをメモっておきます。

カードを刺すと、

cbb0: bad Vcc request. ctrl=0x33, status=0x30000b20

cbb_power: 3V

cbb alloc res fail

cardbus0: Can't get memory for IO ports

cbb alloc res fail

re0: couldn't map ports/memory

 (中略)

cardbus0:  at device 0.0 (no driver attached)

cbb0: bad Vcc request. ctrl=0x0, status=0x30000b68

cbb_power: 0V

cbb0: CardBus card activation failed

とかいわれる．．．困った．．．

いろいろ調査するも、あまり情報あらず。



いろいろみているうちに、pciconf -vl というコマンドがあることを知る。やってみると、

# pciconf -vl

none3@pci2:0:0: class=0x020000 card=0x03261154 chip=0x813910ec rev=0x10 hdr=0x00

    vendor   = 'Realtek Semiconductor'

    device   = 'RT8139 (A/B/C/810x/813x/C+) Fast Ethernet Adapter'

    class    = network

    subclass = ethernet

なんか、認識してるっぽいけどなぁ．．．



sysctl を眺めると、

hw.cardbus.debug: 0

hw.cardbus.cis_debug: 0

なんてのがあったので、こいつらを有効にして試したところ、

なにやらメッセージは出てくるけど、意味わからず．．．



とあるMLのアーカイブに、

sysctl のhw.cbb.start_memory の値が影響するらしい記述を発見。

そのあたりのsysctl を眺めると、

hw.cbb.start_memory: 2281701376

hw.cbb.start_16_io: 256

hw.cbb.start_32_io: 4096

hw.cbb.debug: 0

CardBus だから、hw.cbb.start_32_io あたりが怪しいのかなぁ、と思い、こいつを

# sysctl hw.cbb.start_32_io=8196 

として、もう一度カードを刺してみる．．．



おぉ、動いた動いた。

2枚目も刺してみよう．．．おぉ、こっちも動いた。



というわけで、hw.cbb.start_32_io が原因だったようなので、

起動時に値が変わるように、/boot/loader.conf に記述。

# echo "hw.cbb.start_32_io=8196" >> /boot/loader.conf



再起動して確認。うまくいきました。

BIND 9.3.1

本日、おうちサーバのBIND を9.3.1 にしてみた。

引っ越し中

これまでのhttp://www.tmw.jp/ を、こちらのblog ページへ全面移行しようと思いつつ、
ほったらかしだったんですが、やっとトップページをつぶしちゃいました。

上のリンク、クリックしても、20秒後にはこちらへ戻ってくるはずです。

メニューにある「profile」や「oboe」や「link」や「BBS」なんかも、追々、このblog にあわせたデザインにしなければ．．．

久しぶりにmake world

ここ1週間ぐらいで、FreeBSDのSecurity Advisoryが3つほど出たので、久し振りにmake world しました。

uname すると、こんな感じ。
FreeBSD hawk.tmw.jp 4.11-STABLE FreeBSD 4.11-STABLE #13:
Wed Apr 6 16:36:24 JST 2005

apache 2.0.54

本日、apache 2.0.54 をインストールしました。

コマンドログは、前回とほぼ一緒なので、省略。

途中、コマンドたたき間違えて、httpd.conf をうまく引き継げず、「このページが見えていれば．．．」という、
例のapache インストールしました状態の画面が出てあせりました。

結局、バックアップしてあったファイルからhttpd.conf を救出。
いやぁ、あぶないあぶない．．．

apache 2.0.55

本日、日直で会社にいるんですが、その合間を縫って、
このサーバのapache を 2.0.54 → 2.0.55 へアップデートしました。
なにやら、いろいろとセキュリティホールの修正が入っているみたいです。

> ./configure --prefix=/usr/local/apache-2.0.55 \

    --enable-ssl --with-ssl=/usr/local/openssl \

    --enable-status --enable-info --enable-rewrite  \

    --enable-so --enable-proxy && make

> su

# make install

# cd /usr/local/apache-2.0.54

# cp -Rp logs conf modules /usr/local/apache-2.0.55/ && \

  /usr/local/apache2/bin/apachectl stop && \

  rm /usr/local/apache2 && \

  ln -s /usr/local/apache-2.0.55 /usr/local/apache2 &&  \

  /usr/local/apache2/bin/apachectl start

コメント書けない．．．

昨日、このサーバの設定をいろいろいじったら、
コメントを書けなくなってしまったようです．．．

うぅ、困った．．．

コメント書けない．．．．

昨日あたりから、サーバの設定をいろいろいじっていたら、
またコメントを書けなくなっちゃいました．．．
原因はよく分からんし．．．困った

サーバ更改計画

このblog を公開しているサーバ(実家に設置のまま．．．)ですが、
稼働時間がずいぶん長くなってきました。

購入したのは、社会人1年目の時なので、かれこれ8年が経過。
最初3年程度は、普通にパソコンとしての利用なので、数時間/日の稼働。
その後、サーバに転職してからは、一時期障害で止まった以外は、ほぼずーっと動きっぱなし。

実稼働時間にあうように、適当に係数をかけて計算すると、
　パソコンとしての稼働時間 = (2 hour/day x (365 day/year x 3 year)) x 0.6 = 1,314 hour
　サーバとしての稼働時間 = (24 hour/day x (365 day/year x 5 year)) x 0.9 = 39,420 hour
　合計 = 40,734 hour....
この間に交換したのは、マザーボードが壊れたのと、
RAID の箱を導入してHDD を変えたぐらい。
CPU はPentium II 400MHz (それもslot1 !) から、
slot1→Socket370 のゲタをはかせたCeleron 900MHz となってます。

この筐体、もともとは、当時パソコン事業もやっていた「高木産業」という
ガス器具屋が作っていた製品なんですが、FAN 部分にはエアフィルターがついていたり、
ここまで電源も壊れずに動いているあたり、なかなか作りはよかったのかなぁ、と。

しかし、最近、前述の通りの稼働時間が経過しており、さすがにもうそろそろ
電源回りや、マザーボードのコンデンサーあたりがやばいだろう、
と心配になってきております。

と言うわけで、ここ数日、新たにサーバにできそうなものを物色中です。
今のところの条件は．．．
・お金はあまりかけたくない
・電気はあまり食わない方がよい
・FreeBSD で使えるRAID1
・できれば静かな方がよい

マジメにいろいろなパーツを選ぶのは最近面倒なので、できれば
ある程度完成型(ベアボーンとか) だとうれしいかも。
一番手っ取り早くて、安く済むのは、電源だけ交換なんでしょうが、
もうそろそろslot1 にも引退してもらおうか、と言う気もするので、
電源交換only は最終手段で。

漠然と思い浮かべているのは、
・C7
・Mouse Computer のOS 無しモデル
・どっかのショップブランドPC
等々....

さて、どうしようかな。

攻撃?

今日の15時頃から、http://www.unique-credit-card.com/*****.html を
Referrerとして、このサーバへアクセスする数が、妙に増えてます。(1時間半で、300強)

アクセス元は特定ではなく、結構ばらばらで、世界各国から来ている雰囲気。
実際のアクセス元はどこだか分かりませんが、逆引きできているもので、
普段あまり見られないccTLD がたくさん観測されています。

おもしろそうだったので、調べてみました。
＃聞いたことないような国名もありますが．．．
.ar(アルゼンチン) .au(オーストラリア) .bf(ブルキナファソ) .br(ブラジル) .cl(チリ)
.co(コロンビア) .ni(ニカラグア) .fr(フランス) .it(イタリア) .kr(韓国) .pl(フィリピン)
.pl(ポーランド) .pt(ポルトガル) .ro(ルーマニア) .sg(シンガポール) .tw(台湾)

log を眺めると、至って普通にアクセスして、200を返している模様。
存在しないファイルとかにアクセスしている雰囲気は無し。

うーん、なんだろう．．．．もしかして攻撃食らってる?
もしくは、なにかウィルス物や、スパイウェア物?
なんにせよ、ちょっと気持ち悪いかも。

攻撃の影響

先日の日記に、謎なアクセスが．．．というのを書きましたが、
その後、断続的に続いておりまして、普段の日平均Visitカウントが200 前後に対して、
今月は、1000弱、と言ったところです．．．

アクセス元も、半分以上は日本からだった物が、今月は3割台に落ち込み、海外系が
やたらと増えています。

今のところの推測は、謎のアクセスがあった後、Trackback スパムが来ているような
雰囲気なので、事前調査のためのアクセスなのかなぁ、と。

なんとか止めたいところですが、正常アクセスしている事もあり、判別が難しそうな気が。
そもそも、どうやって判別してアクセス拒否をするのか、方法がよく分からないし。

FreshReader(RSSリーダー)

ずいぶん前から、RSSリーダで、使いやすいものはないかなぁと探しておりました。
複数のPCでいろいろな場所から参照したいので、サーバ型が希望なんですが、
以前、goo RSS リーダを使ってみましたが、ajax がガリガリ動いて、逆になんだか
使いにくい感じ。仕方ないので、各PC にティッカー型RSSリーダを入れて使っていました。

そんなところに、どっかのサイト(どこだったかなぁ...)にて、ブロガーライセンスなる
ライセンス形態を取っていて、自分のサーバにインストールできるRSS リーダ:フレッシュリーダー の
記事がありました。

せっかくおうちサーバがあるので、早速インストール。
インストール方法も、UNIX 系なコマンドをたたいたことがある人なら
難なくこなせるレベル(ファイル解凍して、コピーして、chmod する程度)

購読サイト登録も、rss のURLを登録するだけ。
フォルダ分けも簡単にできます。(フォルダの階層化が出来ないのはちょっと残念かも)
rss配信していないサイトでも、自動的に解釈して登録してくれる模様
(内部的な処理はよくわかってませんが．．．)

なによりも、サクサク動くのがうれしい限りです。

自分の自由が利くサーバをお持ち/お借りの方、試してみてはいかがでしょうか?

MixiからのRSS参照

自分はMixiユーザですが、blog は、おうちサーバ利用です。
で、Mixi 側から更新がわかるようにRSS をMixi へ登録しているわけですが、
Mixi への反映がやたらと遅い．．．これまでほっといたのですが、あまりに
時間かかるので、調べてみました。

まず、Mixi の仕様(?) は、ヘルプによると、
「また、mixi では４時間周期でブログRSSを読み取り、
更新する仕様となっております。ブログを実際に更新された時間と
mixi 上での表示更新には若干のタイムラグがございますが、ご了承ください。」
と書いてあるので、4時間周期だろうと。

で、11月に入ってからの、Mixiからの実際のアクセスを抜き出すと...

 01/Nov/2006:04:22:30

 01/Nov/2006:12:55:52

 01/Nov/2006:22:40:56

 02/Nov/2006:08:09:56

 02/Nov/2006:17:34:34

 03/Nov/2006:02:45:43

 03/Nov/2006:12:21:51

 03/Nov/2006:20:55:56

 04/Nov/2006:06:55:03

 04/Nov/2006:17:19:19

 05/Nov/2006:03:50:41

 05/Nov/2006:14:18:52

8〜10時間ぐらいかかってます．．．遅いわけです。

というわけで、お問い合わせしました。
何かわかったら、またここでお知らせします。

引っ越し中

引っ越しと言っても、自分の引っ越しではないです。
＃ちなみに、自分のは、4月下旬〜5月上旬予定。

新しいサーバへ引っ越し中です。
とりあえず、このblog だけでも、と言うことで、フロントエンドの
apache は、旧サーバのままで、Rewrite で新サーバにとばしてます。

レスポンスはだいぶ改善されましたが、まだチューニングの余地がありそう。

というわけで、しばらくごちゃごちゃいじります。

これが落ち着いたら、サーバ丸ごと、がさっと新しい方へ移動予定。

＃またまた、臨時で動かしたmixi日記のリンクも張っておきます。
＃2/16の日記

戻しました

まだ引っ越しは終わっていなくて、サーバ2台構成で、apache とzope が
別サーバ状態ですが、まぁ、表からは普通に見えるはず。

というわけで、またmixi 日記から、こちらへ戻しました。

引っ越し(ほぼ)完了

そんなこんなで、サーバの引っ越しが、ほぼ完了しました。

引っ越したもの
- Web (apache)
- CMS (zope + coreblog)
- DNS (bind)
- (個人用の)delegate
- その他細かいスクリプト群
- (IPv6 のトンネル)

＃メールは基本的にさくら+gmailへ引っ越したため、
＃今のところ旧サーバに残したまま．．．

引っ越し方法は、新サーバで各アプリやらをインストール・設定しておいて、
ブロードバンドルータのNAT設定変更で切り替え。

今後のために、インストールメモ(コンパイルオプションとか)でも
書こうかと思いましたが、面倒になってやめちゃいました．．．

あと、リソース管理用に、これまで使っていたMRTGをやめて、
JANOG19 で紹介されていたcacti を導入してみました。
これ、設定がお手軽にできて、なかなかいい感じ。

cacti で必要なのと、今後の勉強のために、MySQL なんぞも入れてみました。
というわけで、日記なんかを、これでまともに更新できるようになりました。
今後ともよろしくお願いします(?)

でも、メールで更新した場合に文字化けが起こる問題が残っていて、
ちょっと調査中．．．

Error Value: 'validate'

たぶんたくさんの方に目撃されていると思われますが、
ここのところずーっと、このページを表示しようとすると、
何度かに1回、

Site Error
An error was encountered while publishing this resource.

Error Type: KeyError
Error Value: 'validate'

なんてのが表示されているはず。

いろいろ調べていますが、どうも原因が分からない．．．
リロードすればたぶん読み込んでくれるのですが、
やはり何とかしたい。

今日、さりげなくZope を2.10.3 とやらにVer.UPしてみましたが、
状況変わらず。

あー、周りにZope詳しい人いないかなぁ。

apache 2.2.6

セキュリティホールを埋めるべく、このサーバのhttpd をapache2.2.6 にあげてみた。
で、はまったので、メモ。

詳細を追いかけていないけど、expat のライブラリがないとか言われて、
コンパイル通らない．．．

/usr/bin/ld: cannot find -lexpat

*** Error code 1

ライブラリはありそうなんだけど...

$ldconfig -r | grep expat

        136:-lexpat.6 => /usr/local/lib/libexpat.so.6

google さんにきいてみたら、aprやapr-util というツール群(?)を
新しくしないといけないとか、なんとか。
www.apache.org のドキュメントにもちゃんと書いてあるし．．ちゃんと読もうよ＞自分

でapache のtarball に含まれていたapr,apr-utilをコンパイルするも、やっぱりexpat で止まる。
apr-util のconfigure --help 読むと、↓のような記載。

  --with-expat=DIR        specify Expat location, or 'builtin'

じゃあ、builtin でいいや、としたら、コンパイル成功。
先にapr,apr-util をインストールして、httpd を再コンパイルしたらあっさり終了。

というわけで、現在、無事に2.2.6 で動いております。
相変わらず、zope は超遅ですが．．．(T_T)
＃実は裏で、zope + plone + COREBLOG2 に移行しようかと準備中ですが、
＃なかなか時間が．．．

増設

ここのサイト、やたら遅くて、一部の方からはお叱り(?)をいただいておりましたが、
ここのところのメモリ価格下落につられ、メモリ増設をしてみました。
箱はDell のSC430 で、ECC 付きメモリ必須なんですが、探してみたら、
トランセンドの512MB(永久保証付き)が1枚3000円弱。
以前は、ECCのメモリなんて、最低でも1万円前後していて手が出せなかったのですが、
この程度なら、と言うことで、2枚購入。
これで、256MB x 2 + 512MB x 2 = 1.5GB となりました。

OSでも何事もなく認識してくれて、わーい、と思いzope を再起動したら...

反応速度、全然変わってないじゃん...という悲しい結果でした。


が、いろいろ調べたら、zopeのcache size なるものを変更しなければ
いけなかったようで、今まで5000 object だったcache size を、
一気に200000 object にしてみました。
＃DB 上のtotal object やらが、16万だったので...

そうしたら、最初の起動時だけは時間かかりますが、一度cache に放り込まれると、
ほぼストレスなく反応してくれるようになりました。

いやぁよかったよかった。
現状、zope だけで250M 程度のメモリを消費していますが、swap out も起こさずに
動いております。

ubuntu

自宅でリバースプロキシとかやっているサーバの電気代とかバカにならないので、
少しでも削るために、いらなくなったノートPCへ置き換えを推進中。
＃でも、そんなに削れるかどうかは、まじめに数字見てない．．．

で、OSは、遅ればせながら、ubuntu にしてみた。
まだ使い心地とかは全然分かりませんが、サーバ版のインストール画面
(いわゆるGUIじゃなくて、テキストの画面)で、XGA だったのに驚いた。
最近のOSって、こんなもんですかね?

ひさしぶりにsquid

何となく気になって、「[24時間365日] サーバ/インフラを支える技術」を読み始めていて、
なんだか久しぶりにsquid なんぞをいじってみたくなったので、
このサーバにインストールしてみました。
zope がやたらメモリを食う & 重い & 意味も分からず止まっていることがあって、
何とかしたいのですが、いろいろ調べてる暇もなく、放置してました。
で、とりあえず、表向きの影響を減らせるかなぁ、という淡い期待で、
リバースプロキシとして、挟んだ状態です。
こんな感じ。
squid(リバースプロキシ) → apache(rewrite) → zope(cms)

最初からapacheでキャッシュさせればいいじゃん、と言われそうですが、まぁ、
遊び(兼 勉強?)なので、しばらくこのままで様子見しようかと。

ほんとは、Movable Typeへ乗り換えたいのですが、そこまでの時間が...

やらかしました

二日ほど前、ちょいと設定ミスをしまして、おうちサーバのメールボックスをあふれさせました．．．
で、たぶんそれが原因で、転送先のMXなサーバがおかしくなったようで、
@tmw.jp なメールの送受信が、全て止まってます．．．．うぅ。

サポートには投げたのですが、投げたのが金曜夕方なので、どうなる事やら。

ここ数日中にメールを送っていただいた方、多分届いてませんので、
急ぎでしたら、携帯電話まで連絡をm(__)m

＃でも、毎日何十通と来ているメールが全く届かない、ってのも、静かで意外に気楽な物です。

メールその後

@tmw.jp 宛のメールですが、とりあえず、おうちサーバで受けるように逃げまして、
何とか受け取れている状態です....あとは、DNSのキャッシュ次第。

逃げる前にMX だったサーバやさんは、最初は"接続ISP がおかしいのでは?"と、
なんだか意味不明な事を言われまして、へこみました。
telnet 25して、MAIL FROM: すると、未だに"450 4.2.2 mailbox full" なんて言われます...
先日のミスでどうもqueue が詰まったっぽいのですが、その話が出てくるまでに、
3回ぐらいメールのやりとりをして、やっと聞けた思ったら、"一定期間後に消えますので、
しばらくお待ちください..." ...
どれだけで消えるのか、とか、ちゃんと教えてくれればいいのになぁ。

というわけで、まだ不安定状態ですので、ここ数日中に連絡いただいた方は
たぶん届いていないので、別手段で連絡お願いします。