Linux 一覧

なんかすぐに気が付いたからよかったけど、お客様から、NASへのアクセスがうまくいかないって申告があって、見てみたら、通常のファイルは普通に開くけど、Accessで何かやっているのがうまく動作しないって事でした。

 

そこで、ふと思い出したのが、タイトルにあるoplocl(Opportunistic Locking)の事を書いている記事を見たのをふと思い出しました(偶然トラブルの近辺に見た記事でした)

記事:Windows7でsambaのファイルがうまく開けない件について(oplocks死すべし)

 

ここによると、oplockは

「ネットワークの効率化を狙う、Windows固有の機能。複数のプロセスが同じファイルをロックでき、なおかつクライアントがデータをキャッシュできる。」

 

って事と、そこの少し下に、

****************************

Oplocksの危険性

Oplocksが狙い通りに動けば、目的通りネットワークの効率化が図られる。
問題なのはネットワークに何か問題が起こり、キャッシュが適切にフラッシュされない場合。ともするとファイルの破壊を引き起こす。
とくにデータベースが危険。

**********************

ってあるじゃないですか~~~(゚Д゚)

 

 

NASのマニュアルを見直すと、こんな記載も発見

『便宜的ロッキングは、クライアントのパフォーマンス向上を図ってデータをローカルにキャッシュする目的で、サーバーに置かれたファイルに便宜的ロック (oplock) をかける Windows のメカニズムです。Oplock は日常使用のためにデフォルトで有効になっています。複数のユーザーがデータベースなどの同じファイルに同時にアクセスする必要があるネットワークの場合、oplock を無効にする必要があります。

 

・・・・・・・・・・・気が付かかなった(-_-;)    そこで、oplockを無効にして、無事お客様の求める動きに戻りました。

 

Accessのデータとか、データベースとか使う可能性があると思うので、これからは最初から、oplockは無効にしておこうと思います。

 

しかし、この話は有名な話だったんですね。知らかなかったのが恥ずかしいです。また勉強になりました

 

2か月ぶり!!!

 

忙しさにカマかけて、全然書いていませんでした、今あるお客様の社内ネットワークを構築しているのですが、ファイルサーバの構築もしていて、NASでファイルサーバを構築しています。

 

セキュリティ的に固くしてほしいという事で、どうしようかな・・・・・って思っていたら、NASでも2段階認証の物が最近出始めているのを発見!!

 

2段階って何?って所ですが、通常のパスワード認証+Google authenticator(goolge認証っていう、スマホアプリ)で、2つがそろって初めてNASにログインできる形です。

 

google authenticatorは、NASで設定した時に、スマホに入れたアプリとの連携設定した後、ワンタイムパスワードを発行するタイプのもので、時間によって、どんどん変化していきます。

 

その為、固定のパスワードとランダムに変化するパスワードをいれて初めて入れるという代物です。

 

会社に勤めていた時に、VPN用のワンタイムパスワードの機械があって、やっているのを見たことあったのですが、今はこんな感じでできるんだ~~~って妙に感動しました。

 

今は管理者用のアカウントのみ、2段階認証を設定していますが、どこまでやるかは、お客様と相談って感じです。

 

 

さるお客様の、VPN環境を構築することになったのですが、お金の問題で、ルータを入れるとかはなしで、いう話になりました。

 

そこで、お客様のところに、使っていないWindowsVistaのPCがあったため、それにSoftetherVPNを入れて、設定することにしました。

 

今回のお客様は、拠点が少なく、拠点のPCの台数も少ない為に、これで十分と判断しました。

 

ただ、結構時間がたっている機器なので、Vistaで動かすと重たい・・・・・・ そこで、CentOSを入れて、そこにSoftetherVPNServerのソフトを入れて、各拠点からVPNを張れるように設定しました。

 

L3での接続も今回はしなかったため、結構すんなり各拠点がつながり、本社側のサーバとのアクセスも良好でした。よかった!

 

これから、金額的に難しく、PC台数が少ないお客様は、SoftetherVPNでの接続を提案していこうと思います。

 

 

やっと、CentOS7を触りましたが、ネットワーク設定からすっかりやり方が変わってしまいました。

 

しまった!! 全然知らなかった~~~ 乗り遅れた~~ 今のRedHatもそうみたいです(Redhatなんて、この3年ぐらい設定する機会はないですけど・・・・)

 

イカンな~~ 去年から結構みなマニュアルを出してくれているのに、全然しらなかった~~ 恥ずかしい(>_<)

 

 

CentOS7はネットワークひとつとっても、/etc/sysconfig/network-scripts/ifcfg-ethXXX って所を変更するのが非推奨になっているそうです。GUIか、「nmcli」ってコマンドを使った方が良いみたいです。

デバイス一覧を確認したかったら、以下の感じ

[root@localhost ~]# nmcli d
デバイス    タイプ    状態      接続
virbr0      bridge    接続済み  virbr0
enp0s25     ethernet  接続済み  enp0s25
virbr0-nic  tap       接続済み  virbr0-nic
lo          loopback  管理無し  --
wlp6s0      wifi      管理無し  --

 

この時点で、eth0とかじゃないんだ~って初めて気が付く(>_<)

 

本当にまずい・・・・もっとはやく情報をキャッチして、やっていかないと・・・

 

それと、普通にインストールしただけのつもりだけど、TAPが入っている? いつの間に・・・・

 

これは何をしたら入るかこれから調べます。

 

nmcli connection show   接続状態の確認

nmcli device show      各インターフェースの詳細

nmcli device show [インターフェース名]   決めうちで、あるインターフェースの状態が見たい場合

[root@localhost ~]# nmcli connection show
名前        UUID                                  タイプ          デバイス
virbr0-nic  881bbfab-b2b3-47f5-addd-ef9035299634  generic         virbr0-nic
virbr0      0c54539d-6617-484e-8421-e047173179f4  bridge          virbr0
enp0s25     f91146c3-9475-4e11-8fab-48ef5287f254  802-3-ethernet  enp0s25
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]# nmcli device show
GENERAL.デバイス:                       virbr0
GENERAL.タイプ:                         bridge
GENERAL.ハードウェアアドレス:           52:54:00:4F:6B:59
GENERAL.MTU:                            1500
GENERAL.状態:                           100 (接続済み)
GENERAL.接続:                           virbr0
GENERAL.CON パス:                       /org/freedesktop/NetworkManager/ActiveConnection/1
IP4.アドレス[1]:                        192.168.122.1/24
IP4.ゲートウェイ:
IP6.ゲートウェイ:

GENERAL.デバイス:                       enp0s25
GENERAL.タイプ:                         ethernet
GENERAL.ハードウェアアドレス:           00:0D:5E:D3:72:0F
GENERAL.MTU:                            1500
GENERAL.状態:                           100 (接続済み)
GENERAL.接続:                           enp0s25
GENERAL.CON パス:                       /org/freedesktop/NetworkManager/ActiveConnection/0
WIRED-PROPERTIES.キャリア:              オン
IP4.アドレス[1]:                        192.168.1.230/24
IP4.ゲートウェイ:                       192.168.1.254
IP4.DNS[1]:                             192.168.1.200
IP6.アドレス[1]:                        2001:a497:c004:0:20d:5eff:fed3:720f/64
IP6.アドレス[2]:                        fe80::20d:5eff:fed3:720f/64
IP6.ゲートウェイ:                       fe80::225:36ff:fe7c:60eb
IP6.ルート[1]:                          dst = 2001:a497:c004::/64, nh = ::, mt = 100
IP6.DNS[1]:                             2001:a497:c004:0:225:36ff:fe7c:60eb

GENERAL.デバイス:                       virbr0-nic
GENERAL.タイプ:                         tap
GENERAL.ハードウェアアドレス:           52:54:00:4F:6B:59
GENERAL.MTU:                            1500
GENERAL.状態:                           100 (接続済み)
GENERAL.接続:                           virbr0-nic
GENERAL.CON パス:                       /org/freedesktop/NetworkManager/ActiveConnection/2

GENERAL.デバイス:                       lo
GENERAL.タイプ:                         loopback
GENERAL.ハードウェアアドレス:           00:00:00:00:00:00
GENERAL.MTU:                            65536
GENERAL.状態:                           10 (管理無し)
GENERAL.接続:                           --
GENERAL.CON パス:                       --
IP4.アドレス[1]:                        127.0.0.1/8
IP4.ゲートウェイ:
IP6.アドレス[1]:                        ::1/128
IP6.ゲートウェイ:

GENERAL.デバイス:                       wlp6s0
GENERAL.タイプ:                         wifi
GENERAL.ハードウェアアドレス:           00:17:C4:97:9C:D6
GENERAL.MTU:                            1500
GENERAL.状態:                           10 (管理無し)
GENERAL.接続:                           --
GENERAL.CON パス:                       --
IP4.ゲートウェイ:
IP6.ゲートウェイ:
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]# nmcli device show enp0s25
GENERAL.デバイス:                       enp0s25
GENERAL.タイプ:                         ethernet
GENERAL.ハードウェアアドレス:           00:0D:5E:D3:72:0F
GENERAL.MTU:                            1500
GENERAL.状態:                           100 (接続済み)
GENERAL.接続:                           enp0s25
GENERAL.CON パス:                       /org/freedesktop/NetworkManager/ActiveConnection/0
WIRED-PROPERTIES.キャリア:              オン
IP4.アドレス[1]:                        192.168.1.230/24
IP4.ゲートウェイ:                       192.168.1.254
IP4.DNS[1]:                             192.168.1.200
IP6.アドレス[1]:                        2001:a497:c004:0:20d:5eff:fed3:720f/64
IP6.アドレス[2]:                        fe80::20d:5eff:fed3:720f/64
IP6.ゲートウェイ:                       fe80::225:36ff:fe7c:60eb
IP6.ルート[1]:                          dst = 2001:a497:c004::/64, nh = ::, mt = 100
IP6.DNS[1]:                             2001:a497:c004:0:225:36ff:fe7c:60eb

ReadyCloudは、自前のNetgearのNASのデータをネットからアクセスできる便利な機能。

 

NASとReadyCloudのサーバを暗号化で結び、インターネットの別端末も暗号化通信で、Readycloudに接続し、NASのデータを取り出せるというものです。

 

あるお客様のNASをNetgearのNASを使用して、構築した際ですが、アクセス権を厳密にして設定しました。

 

LAN側からは、まったく問題ないのですが、Readycloud越しにアクセスすると、フォルダ、ファイルが見えないとことに遭遇しちゃいました。

 

それで、ふと気づいたのが、ReadyCloudのシステム用のアクセス権をふっていないな~と気づきました。

 

要は、SSL通信を利用して、NASとReadycloudがアクセスするのですが、ReadyCloudからのアクセスを設定してあげないと、見えないのではないかと・・・・・

 

それで、Readycloudで使用するフォルダに、EveryoneのReadonly(読み取りのみ)を設定したら、見えなかったフォルダがちゃんと見えたうえで、ファイルのアップロード等がうまくいきました。

 

これからも、これを使用する機会もあると思うから、気を付けようっと・・・・

NetgearのNASを設定中 3

  • Linux

現在(2014/11)のReadyNASで使えるアプリっていうのがあまり公開されていないみたいですので、一応キャプチャした画像を載せます。

クリックしたら拡大画像が表示されます。

netgear_appl.png

 

アプリの役割、使い方等は、自分で調べてください。(さすがに全部の機能をしらべないし・・・・)。

 

それと、先日書いたスナップショットですが、設定すれば、Windows7からは、右クリックのプロパティで、以前のバージョンをクリックすれば、戻せることを確認しました。(毎時間のスナップショットは 48 時間保持。 毎日のスナップショットは 4 週間保持。毎週のスナップショットは 8 週間保持。毎月のスナップショットは無期限。 2時間毎とか、2日毎とかの細かい設定はできません)

 

 

NetgearのNASを設定中

  • Linux

NETGEARのNASを導入しようと思って、今構築中と、何ができるか確認中ですが、NASでも、ビジネス向けでなくどちらかというと、金額の都合でエンドユーザ向けのReadyNASというタイプで行っています。

 

エンドユーザ向けといっても、結構これはツカエル。というのは、ミラーリング(2台のHDDを同期させる)というのは当たり前としても、iscsiも使えて、スナップショットも使える(といってもスナップショットは、手動でやる必要があるっぽいです。ReadyDateってやつは違うと思いますが・・・・)

 

特筆すべきは、専用アプリ(Linuxで動作するオープンソースの物)が、導入できるってことです。ownCloudっていう、アプリを導入すると、要はWebDavですが、ポートを開けてやれば、インターネットから情報を見ることができるアプリや、Wordpress、MySQL、Radiusサーバ、OpenLDAPそれと、Asterisk(! IP-PBX)も入れれちゃうとってことで結構幅広く使えます。

 

中身がUnix系ってことで考えれば動いて良さそうですが、他の、メーカーで専用のもの以外でインストールできるものを見たことがなかったので、大変興味深い感じです。

 

お客様への納入前にいろいろ試せそうなことは試してみようと思っています。

 

 

追記:DisklessモデルはRAID構成を構築するのに2Tが4時間ぐらいかかります

9/25にニュースにも出ていて、

「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も

 

それで、継続の記事がこんなことも

危なすぎるBashの脆弱性「Shellshock」、深刻な事態になる前に対策を

 

『攻撃者に任意のコマンドの実行を許可してしまうおそれがある。』ってことなんで、大変なことです。今結構 ウェブサーバや、DNSサーバ、メールサーバ等は、Linuxで動いている物が多く、Bashも普通に使っているので、結構やばい話です。

パソコンでもMacは基本Unixなので、Bashが組みこまれています。(コンソール画面でも確認できます)

やばいっていう具体的な内容は、上記にも記述がありましたが、抜粋して

====================

悪用のシナリオとして、現在最も危ないとされているのが、公開用Webサーバーで動かしているCGIスクリプトである。CGIスクリプトはWebブラウ ザーから送信されたパラメータ(Webブラウザーの種類を表す「HTTP_USER_AGENT」など)を環境変数として格納する。このため、CGIスク リプトからbashが呼び出される場合には、環境変数にコマンドを仕込むことで攻撃が可能になる。

===================

 

うわ~~~ 本当にまずい・・・・一応 ネットには公開していない自分のサーバもアップデートは定期的にかけているのですが、手動でアップデートすぐにかけました。

 

ちょっと気になるのが、NASとかは、中身がFreeBSDか、Linux系のはずで、もちろんBashは乗っているのはずです。(中身を公開しているメーカーはあまりないので、わかりませんが・・・ソースを公開してくれてメーカーがいてみたことあるのと、代替Sambaを動作させているところからの想像ですが、ほぼあっているはずです)メーカー側の早急な対応があるのか、気になります。(お客様に迷惑がかかってもいけないので・・・・)

これまた上記からの抜粋ですが

===========================

問題は、ルーターなどのネットワーク機器に組み込まれている場合だ。「サーバー管理ツールなどに知らずに組み込まれていることもある」

===========================

 

NASを導入している人もアップデート情報はこまめにチェックしたほうがよいでしょう

最初に書いた、Linuxのインストール時に、Webサーバの機能をインストールされている前提で、MTをダウンロードしてインストールします。

 

これは、検証用ですので、各ユーザが、自分のディレクトリにインストールという形ではなく、/var/www/MTというディレクトリにインストールします。

/home/以下のユーザディレクトリに入れたい方は、置き換えて記述してください。ユーザ設定は、各ユーザグループにapacheが参加している形で動作すると思います。

 

 

下記のアクセスして、メールアドレスを登録すると、ダウンロードサイトに案内されます。(個人無料版です)

https://www.sixapart.jp/inquiry/movabletype/personal_download.html

 

ダウンロードをしたら、Linuxにダウンロードしたファイルをコピーします。(SCP、FTPで転送しても良いし、USBでコピーしてでもなんでも良いです)

 

ファイルを、root直下に置いたとします。(構築当時は、MTは5.2.3だったので、それで記述します)

[root@hori ~]# unzip MT-5_2_3.zip

[root@hori ~]#mv MT-5_2_3 /var/www/html/MT ←MTフォルダに移動

[root@hori ~]#cd /var/www/html

[root@hori html]#chown -R apache:apache MT/ ←ユーザをapacheに変更

 [root@hori html]# cd MT

[root@hori html]# chmod 755 *.cgi ←拡張子がcgiの権限を755に変更

[root@hori html]# chmod 777 MT ←ブログディレクトリ(ブログを設定するディレクトリ)権限を777に変更

 

 

 

これで、準備は完了で、また、apacheと、MySQLの設定があります。次は、apacheの設定をします。

 

必須ではありませんが、ソフトの管理上CPANモジュールからRPMを作成してくれるcpan2rpmをインストールします。

[root@hori ~]# wget ftp://arix.com/cpan2rpm-2.028-1.noarch.rpm 

                     ↑ダウンロード

[root@hori ~]#rpm -Uvh cpan2rpm-2.028-1.noarch.rpm ←インストール

 

基本的に、Movable Typeをインストールした後に、チェックはできますが、Perlをインストール又は、アップグレードします。(Linuxのインストール時に、パッケージを入れておいた方が把握はしやすいかもしれません)

 

Movable Type5のインストールする為のシステム要件は

Perl

        5.8.1 以上(5.14.x を推奨)

サーバー OS

        Linux、Solaris / Unix、BSD
            nginx + starman + Perl 5.14.x にて動作確認を行っております。
            apache2 Perl 5.8.8 にて動作確認を行っております。
        Mac OS X
        Windows Server 2008(R2)
            2008 R2 + Active Perl 5.14.x にて動作確認を行なっております。
        Windows Server 2012(MT 5.2.2 以上)
            2012 の動作確認環境は Windows Azure + Strawberry Perl で行なっております。
            2012+Strawberry Perl 5.14.x(32bit)にて動作確認を行なっております。Perl は exe 実行となります。

ウェブサーバー

        Apache HTTP Server 2.0 以上
        Microsoft Internet Information Server 7.5 以上
        nginx 1.2.0 以上(CGI もしくは PSGI 実行環境が別途必要となります)

データベース

        MySQL バージョン 5.0 以上

外部 (CPAN) Perl モジュール

    Movable Type は、Perl コミュニティによるオープンソースの土台の上に構築されており、外部の Perl モジュールを利用しています。これらのモジュールは、無料で入手できるオープンソースソフトウェアで Comprehensive Perl Archive Network (CPAN) からダウンロードできます。
Perl モジュール
    Movable Type を実行するには、以下の Perl モジュールが必要です。

        CGI
        Image::Size
        File::Spec (バージョン0.8以上)
        CGI::Cookie
        LWP::UserAgent

    また、データベース モジュールとして以下の Perl モジュールが必要です。

        DBI (バージョン1.21以上)
        DBD::mysql

この、Perlにモジュールを入れてあれば良いのですが、僕自身は、MTがうまく動作しませんでした。そこでmt-check.cgiで、確認しながら、後からモジュールを追加して行きました。

 

短いですが、今日はここまで

 

 

このページの上部へ

ネットワーク、パソコン サーバ設定

ネットワーク構築ホリテック

 

紆余曲折しながら、独立して中小企業様向けのネットワーク構築
保守、パソコン サーバ、設定運用管理を行っています。ホームページの作成も行っています

ホームページ

 

facebook

 

 

 

 

Microsoft Public Affiliate Program (JP)(マイクロソフトアフィリエイトプログラム)

 

Microsoft Public Affiliate Program (JP)

サイト内検索

最近のピクチャ

  • network_rei.png
  • network_rei.png
  • SnapCrab_NoName_2018-6-18_10-28-13_No-00.png