movabletype-opensourceのCGI制限
自宅のBLOGは、movabletype-opensourceを使っているけど、 一応、サポート切れとなっているため、脆弱性攻撃を受ける可能性もある。 ただ、攻撃といっても、CGI の呼び出し経由だし、コメントやトラックバックも SPAMが多くて使っていないので、記事編集は自宅内のみと割り切って、 アクセス制限を加えてみる。
Alias /mt-static /usr/share/movabletype/static <Directory /usr/lib/cgi-bin/movabletype> # 初期設定の時だけ <Files mt-wizard.cgi> <IfVersion >= 2.3> Require all denied </IfVersion> <IfVersion < 2.3> Deny from all </IfVersion> </Files> # コメントトラックバック <FilesMatch "mt-(comments|tb)\.cgi$"> Require ip 127.0.0.1 192.168.0.0/16 </FilesMatch> # データ連携 <FilesMatch "mt-(data-api|feed|xmlrpc|atom)\.cgi$"> Require ip 127.0.0.1 192.168.0.0/16 </FilesMatch> # 検索機能は制限せず #<FilesMatch "mt-(ftsearch|search)\.cgi$"> # ### Require ip 127.0.0.1 192.168.0.0/16 #</FilesMatch> # その他 <FilesMatch "mt-(check|testbg|upgrade)\.cgi$"> Require ip 127.0.0.1 192.168.0.0/16 </FilesMatch> # 基本機能 <FilesMatch "mt\.cgi$"> Require ip 127.0.0.1 192.168.0.0/16 </FilesMatch> </Directory>
gcalcliが動かなくなる
仕事の予定管理や家族の予定の把握には、Google Calendar をすごく 活用しているけど、その予定をミニ掲示板に表示する機能が動かなくなっていた。 中で使っている、gcalcli が"Missing module – cannot import name run"と いうメッセージで動かなくなっている。
調べてみると、ライブラリモジュール"oauth2client"を1.4.12以下にしろとか出てくるけど、 "pip install oauth2client==1.4.12"を実行すると、他のモジュールを更新しろとか でてきて思うように動いてくれない。
モジュールのバージョン調整だけで動かしたかったけど、 https://github.com/insanum/gcalcli/issues/229に記載されているように、 手動パッチをあてて動かした。
$ sudo pip install oauth2client --upgrade $ sudo pip install gcalcli --upgrade この後、手動パッチ
HTTP/2の有効化
ネットの記事で、Chrome の SPDY サポート打ち切りなどが 記載されていて、HTTP/2 への移行が進んでいるらしい。
ということで、自宅サーバがどうだっけ?ということで調べると、 HTTP/2 は a2enmod されていないみたい。
(( HTTP/2のモジュールの有効化 )) $ sudo a2enmod http2 $ sudo systemctl restart apache2.service
トップページの reload をかけてみたけど、速くなった気がする。 自宅トップページは、リンク集的によく使うサービスのアイコンを並べてあるけど、 こういう小さいデータは効果がでるはず。
# 気のせいかもしれんけどぉ〜
ifupdown2 のトラブル
ソフトの更新とかかけていて、久々に reboot をかけたら、 パソコンなどが、ネットワークにつながらずトラブル。
確認すると、dhcpd サーバが動いていない。設定ファイルなどを みるけど、特に問題もない。 おかしいおかしいと改めて 確認していると、上流ルータへの ping が通らないことも判明。
理由が分からず、色々動かしていると、eth0 が起動していない(link upしていない)。 ifup eth0 を手作業で実行して、設定をさらに調べていると、 ping 127.0.0.1 さえも通らず、localhost さえ link up していない。
こうなると、/etc/init.d/networking がおかしい…と思うけど、 このご時世は、systemd になっている。なんだかよくわかんないけど、 systemctl -a とかを実行したら、 networking が inactive dead って 表示されている。 そういえば、ひと月ほど前、 ifupdown2 なんていう パッケージに更新した記憶があるし、 どうもこれが原因。
# aptitude install ifupdown
を実行して、再起動したら、すべてがようやく元通り。
Windows10のSNMP監視が止まってる
自宅では、パソコンの稼働状況をモニタリングするために、 WindowsのSNMP機能を ON にして、サーバ側から munin を 使って、ディスク容量やネットワーク通信の監視をさせていた。
しかし、最近モニタリングのグラフが表示されていないことに 気づいた。どうも 2015/10月中旬あたりから。
Windows10 のパッチが影響したと思うのだが、なんだろう。
munin の snmp のチェックをかけるけど、返答がない。
nagios3からicingaに移行
自宅サーバは Debian/testing で運用しているけど、 "aptitude safe-upgrade"しても、大量の保留。
試しに"aptitude full-upgrade"を実行すると、nagios3 が perl-5.20 に 依存していて、 perl 関連のライブラリがこぞって保留となっている。
icingaに切り替え
nagios4 とかがあるかと思って、"aptitude search nagios"を実行すると、 pnp4nagios なるものがひっかかり、インストールをしようとすると、 "icinga" を入れようとする。モニタリングは icinga が担当しているようで、 設定ファイルもほとんど nagios と同じ。 pnp4nagios は、表示を担当するようだけど、 内部で使う mysql とかの設定が悪いのか、 動かない。 ひとまず、icinga でも状況は確認できるので、pnp4nagios はやめておく。
自宅では、室内の温度センサーが一定気温を越えたらメールさせるとか、 アホなルータが間違ってDHCPを起動させていないとか、独自チェックも させているので、 手間取るかとおもったが、無事移行ができた。
external commandが実行できない
nagios3をセッティングした時とまるっきり同じ症状だけど、監視の一時停止などを行う、 インタフェースが動かない。 設定がオフになっているのと、 処理を起動するためのパイプが入っているディレクトリの アクセス権限の問題なので、設定を変更。 この手の設定は、nagios3 を icinga に読み替えるだけなのは、nagios の fork だから、そのまんま。
(( /etc/icinga/icinga.cfg )) check_external_commands=1 $ sudo dpkg-statoverride --update --add nagios www-data 2710 /var/lib/icinga/rw $ sudo dpkg-statoverride --update --add nagios nagios 751 /var/lib/icinga
sambaで書き込み不可
Debianを使っていると長年稼働させるから、古い設定ファイルで トラブルが起こることが多い。samba でもその傾向があるのか、 /etc/samba/smb.conf.ucf-dist が反映されず残ってる。
ということで、古い設定ファイルをバックアップして、 smb.conf.ucf-dist を極力触らずに設定ファイルを更新していた。
でも、いざ共有フォルダに書き込もうとしたら、書き込み失敗。 確認したら、"[homes] read only = yes"になってた。
バルス祭りに合わせて RainbowStream
日テレで、恒例のラピュタが始まった。 NTTさんも本腰をあげてのバルス祭り対策に燃えている。
んで、ふと「Linux環境で制御して、つぶやきたいな…」
RainbowStream をインストール
調べてみると、Linux環境のコマンドラインで呟くには、RainbowStream なる ソフトが高機能。Python で作られているので、必要なライブラリを 入れてから、python installer の pip コマンドでインストール。
$ sudo aptitude install install python-dev libjpeg libjpeg-dev libfreetype6 libfreetype6-dev zlib1g-dev $ sudo pip3 install rainbowstream
RainbowStream の設定。
コマンドラインで rainbowstream を起動すると、初回は認証
$ rainbowstream
すると、認証を行うための URL が表示されるので、Twitter を使っている ブラウザで URL をコピペして、連携許可すると PIN 番号が表示された。 その番号をコマンドラインにコピペして認証完了。
あと、Tweet したければ、"t テキスト" で OK 。
バルス…
締めは当然…。やらないけどね。
$ for((i=0;i<100;i++)) > do > echo -e "t #バルス by RainbowStream\nq" | rainbowstream > sleep 1 > done
pop3-login PLAINだめだこりゃ
メール録画予約で、予約メールの確認方法が pop3 で、apop か PLAIN しか使えないので、 自宅サーバ上に、pop3 / PLAIN 接続ができるようにした。 しかし、半日ほど運用していると、プロセス数がなんか多い。
"ps ax"で確認すると、"dovecot/auth -w"の量が定常的に30件ほど出てくるようになった。 何らかのプロセスがブロックしているのかと思ったら、プロセス数は増えたり減ったり。 ブロックしているなら、時間と共に増加傾向があるはず。そこで syslog を見ると、
Oct 17 16:15:05 hostname dovecot: pop3-login: Aborted login (auth failed, 1 attempts in 20 secs): user=, method=PLAIN, rip=37.49.224.10, lip=192.168.xx.xx, session=<bg+4qkciNAAlMeAK>
みたいなのが、続々と表示される。攻撃相手のアカウント探しみたい。 ファイアウォールで dovecot 関連は、pop3s に限っていたとはいえ、 こういう攻撃をうけるのね。
早々に、dovecotでPLAINを禁止し、FireWallのpop3sを閉じ、メール録画予約も取りやめ。 確認のために、前述の dovecot のLOGを確認すると、どうも中国人が利用しているサーバを想定したパスワード探索をしている。
145 user=liu, 145 user=lee, 145 user=huang, 145 user=chen, 116 user=yu, 116 user=yang, 116 user=wu, 116 user=wang, 116 user=lu, 116 user=lin, 116 user=li, 116 user=cheng,
番組のメール録画のフォーム
我が家のテレビやレコーダーは、 東芝に統一してあり、どちらもメールを使った 録画予約ができる。
今回改めて、下記資料を見ながら、録画予約のメールを作る Web フォームを作ってみた。
ただ、我が家では、 朝のテレビ自動On&曜日に応じた チャンネル設定とかしてるけど、 メール録画機能をOnにすると、 テレビがつけっぱなしか、 ping で確認できなくなった。
nmapでポートスキャンかけたけど、 常に全拒否で、電源状態を確認できそうな ネタがない。
メール録画のためのアカウント作成
メール録画機能は、指定した自分のメールアドレスにPOP3でアクセスして、 特定フォームの本文を探す方式。 しかし、最新テレビじゃないし、POP3Sとか使えず平文で読もうとするし、 認証もAPOPに対応しているけど、我が家の設定の都合上APOPは….
どうせ自宅内のメールサーバあるし、regza/テレビ用、vardia/レコーダ用の アカウントを作る。
Google 検索
