俺の日記帳　第二冊目

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 2chのread.cgiへ]
Update time : 01/20 05:33 / Filesize : 273 KB / Number-of Response : 540
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

俺の日記帳　第二冊目

1 名前：login:Penguin mailto:sage [2007/05/03(木) 12:29:53 ID:CbgoHqlv]: 批判は受け付けない。
357 名前：login:Penguin mailto:sage [2010/02/25(木) 16:52:53 ID:z3ks9xgP]: こうして一切のエロデータを失い、再起不能に陥った>>356であった。
358 名前：login:Penguin mailto:sage [2010/02/28(日) 18:32:38 ID:3JqL49p1]: 様式美どうも^^
それはさておき、復活。
syslog-ngもユーザ権限で動作し、書けないログもなくなった。

ん～、でもこれからはrsyslogの時代？
syslog-ngを導入した理由は単純で、分別方法をググった時に、単にsyslog-ngを先に知ったというだけの話。

一番の目的はiptablesのログを分離することだった。
debugレベルにするやり方では満足できなかったから。

んで、syslog-ng導入後にrsyslogを知り、lennyは最初からrsyslogだったことにも後で気付いたと。てへ。
ちょっと調べた限りだと、分離に関しては出来そう。
私の場合だと、:msg, startswith, "IPTABLES "～みたいな感じになるのかなぁ？
まだ全然試してないけど、もし出来るんだったらrsyslogに戻せばいいや。
359 名前：login:Penguin mailto:sage [2010/03/03(水) 01:03:54 ID:BcThHqL1]: "startswith"よりも"contains"かな。
バージョンにも気をつける必要があるみたい。
と、書き込みテスト。
360 名前：login:Penguin mailto:sage [2010/03/07(日) 02:41:13 ID:9O95aF7i]: Ubuntuで時計がずれまくる問題が解決できないので
9.10特有の問題なのかあるいはUbuntuまたはLinux全般の問題なのか検証するために
8.04と9.04を入れてみた。
#9.10から電源管理がdevicekit-powerに変更されたのが原因かも？
361 名前：358 mailto:sage [2010/03/09(火) 22:31:48 ID:oscqMtm8]: iptablesのログの分離だけど、rsyslogの場合、
/etc/rsyslog.d/iptables.conf を作って、その中に
:msg, contains, "IPTABLES " -/var/log/iptables.log
& ~
と、書くだけだった（--log-prefix "[IPTABLES ～と、してあるので）。
とりあえずは、これで上手くいっているみたい。暫く様子を見よう。

syslog-ngの存在を知ったときに、「これだ！」と飛びつかずに、もっとよく調べるべきだった。
勉強になったから良しとしておこう。
362 名前：login:Penguin mailto:sage [2010/03/19(金) 09:07:36 ID:ox6REuqO]: 横から参考にさせてもらった。ありがと。>>358
363 名前：login:Penguin mailto:sage [2010/03/27(土) 00:56:18 ID:lkSbjWX4]: Matrox M9188をLinuxで動かしてみた

鳥はCentOS5.4とFedora12。どちらもx86_64。
Xが上がるタイミングでカーネルがゲロ吐いて死亡。
xorg.confにカーネルモジュールを読み込まない設定を追加したら
とりあえずXは上がった。
M9188は8面出力だけど、内部では4面+4面で管理してるようで、
Linuxでは最初の4面分しか認識できない。また2枚挿ししても
2枚目のカードの情報はまったく認識しない。

ちなみにWindows7(64bit)では2枚挿しもOKだった。
3枚目を挿したら、１枚しか認識しなかった。
364 名前：login:Penguin mailto:sage [2010/03/27(土) 13:50:07 ID:plfpG2vK]: >>363
自作板の的スレにでも書き込んだ方が良いかも
365 名前：Σ凸（・д・）てふてふ ◆1xsES22i66 mailto:sage [2010/03/28(日) 09:57:50 ID:8PVy3mWv]: あそこの人たちはWin使いの普通のひとでつ
366 名前：login:Penguin mailto:sage [2010/03/29(月) 00:12:21 ID:Id7OMS+X]: これまではブロードバンドルータの内側で設定を行ってきたが、iptablesのルールをつめるために、
連休から一週間、日中だけだが外に出した（ブロードバンドルータと置き換え）。

次々と特権ポートを突っつかれるかとも思っていたが、期間が短いこともあってか、それほどではなかった。
とはいえ、22番ポート等に繋ごうとする輩はいて、そのIPはアジアばっかり（特に支那）。
なので、krfilterを参考に、日本のIP以外を弾くルールを追加した。
apnicとarinに無い日本のIPは、どこで調べたらいいのか分かってないので、とりあえず無視^^;

RSTフラグだけが立ったパケットを使っての、DPTが上がっていく、いかにもなポートスキャンもちらほら。
なかにはプライベートアドレスが発信元のものもあった。まぁ、スキャンされても「別に」だけど。
それに、繋ごうとする輩はスキャンなどせず、いきなり繋いでくるだろうし。

プライベートアドレスを発信元にしたものは、何故か 192.168.1.2X が多かった。
たまたまなのか、慣習なのか？
クラスAはごく僅か。クラスBは見かけなかった。

state NEW なのに syn ではないものに関しては、ほとんどが自分がらみだった。
Lan側のWindowsマシンが、特にウェブを巡回しているときに、時々だが出している。
同様に相手のウェブサーバからも時々来ている。
iptablesチュートリアルに書いてある通りだった。やれやれ('A`)

ともかく、得られた結果を参考にして、ルールの見直しをしていこう。
これを何度か繰り返したら、いつかは建てたい自宅鯖に必要なポートを開けてみようと思う。

P.S. rsyslogでのlogの分離は361のやり方で問題ないようだ。
　　　内容別に、もう少し細かく分離しても良さそう。
　　　ログを見るのに併用しているlogwatchの設定を変えないといけなくなるだろうけど。
367 名前：login:Penguin mailto:sage [2010/03/29(月) 00:39:31 ID:zHM34n+x]: >>366
そのオナニーの時間を使って何か有意義なことが出来なかったのか。
368 名前：＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿／ mailto:sage [2010/03/29(月) 08:18:37 ID:w6xulEv3]: 　　　　　　　　)ノ
　　　　　　　　　　.＿＿＿＿＿彡　ｻｯ
　　　　 ∧＿∧　|//∧,,_∧　||＿∧
　　　　< 　　　 > |/ <｀Д´#>||ω-` )
　　　　（　　　つ |　（　⊂ ） ||⊂　)
　　　　　ｕ―ｕ'　￣￣￣￣ (￣(＿⊃
369 名前：login:Penguin mailto:sage [2010/03/29(月) 12:07:27 ID:5AbRa0yr]: わたしは楽しく読ませてもらってる.不満は無いな.
370 名前：login:Penguin mailto:sage [2010/03/29(月) 12:12:53 ID:zLGAUKSt]: 同意。だいたいここはオナニースレなんだから
371 名前：login:Penguin [2010/05/08(土) 06:57:22 ID:RtN8shoT]: あなたは　もう　知ってるかしら
荒井注が　神田川
372 名前：login:Penguin mailto:sage [2010/05/08(土) 20:34:20 ID:pUW4TBVS]: おかしなくすりをつーかうー
さかいーのりーぴぃーーー
373 名前：デムパゆんゆん＠私はCIAの工作員 mailto:sage [2010/05/08(土) 21:00:39 ID:d9LpXhVn]: のりぴは本当に世紀の悪女だったな
中国台湾のファンもそんなはずない!　捏造だ！とか言っててわろた　
374 名前：login:Penguin mailto:sage [2010/05/18(火) 20:18:44 ID:8++RsBPp]: >>371,372,373
○ナニー以下だな, もっとふさわしい場所に行きなさい.
375 名前：login:Penguin mailto:sage [2010/05/20(木) 21:48:12 ID:5LLvfIgx]: 今日gpartedのstable版LiveCDをDLしてNTFSリサイズしたらマウントできなくなった。
誤ったセクタ数を書いてしまうバグだったみたいでパーティションの先頭セクタを
無理やり書き換えないと復旧出来なかった。超ビックリ。
376 名前：login:Penguin mailto:sage [2010/06/06(日) 23:57:31 ID:v1FRto2C]: 外部に対して開いたポートのない自作ルータを約2ヶ月間試験稼働した際の
iptablesのDROPログ日記（ログを見る練習をしたついでの産物）。

ポート番号別に外部からのアクセス数を調べると、DPT=22が圧倒的に多い[注]。
国別だと、中国（43％）・南朝鮮（11％）・アメリカ（10％）の順。
ホスト名が分かったのは、中国が7％で、南朝鮮はたったの1件。分かる方が珍しい。
これがアメリカなら、70％以上分かる。

もっとも、IPアドレスが偽装されていない保証はなく、偽装を見抜く技量も無い。
開いたポートがあれば、結果も違ってくるだろうとも思う。

[注]・短時間に連続してログに残っても、それは1件と数えている。
　　　連続してログに残るものと1回だけのものを同じように数えるのは変かもしれないけど。
　　・DPT=22は約300件。
　　・国の分類はapnicと同じ（香港や台湾は中国とは別に集計）。
　　・同じIPアドレスが日を変えて繰り返し来ることは、ほとんど無かった。3回以上が6つで、最大6回。
　　　はっきりとした規則性が見られたのは1つ。3日に1回。ただし、2週間ほどで見かけなくなった。

　　・DPT=22の次に多いDPT=25は、DPT=22の1/15程度（南朝鮮が多い）。
　　・SPT=80で様々なポートにアクセスしてくるのは、アメリカと中国（何故か他の国を見かけない）。
377 名前：login:Penguin mailto:sage [2010/07/20(火) 23:23:51 ID:C70qBcSK]: LMMSはすごい
気に入った
378 名前：ヽ(´▽｀)ﾉ mailto:sage [2010/08/04(水) 23:19:46 ID:3uJNGd4T]: いらないノートパソコンあげるってスレで、古いノートPC見てたら、
Linux入れて再生したいという浪漫が沸々と湧いてきて、でも〆切過ぎちゃったってなって、
でも諦めきれずにLinux板覗いてたら、現行のG550でubuntuがプリインストールのように動くとの情報があり、
おもわずiYHしてしまった。

ubuntu 10.04 LTS、インストール完了。
無線LANの設定は最初有線で対応ドライバ落とす事から始まる。無線LAN、OK!
輝度の調整がキーボードで出来なくなったが、>>194で、完了！

ubuntu入れて10年使うというのが今回の目標。
Win7も生かしてあるんで、Winの勉強もする。Win7は2015年1月13日まで使える。
パーティションも55GBづつubuntuと半分こ。

古いMacに入れるのとは雲泥の差。今回は使い物になる予感がする。
379 名前：ヽ(´▽｀)ﾉ mailto:sage [2010/09/16(木) 23:31:40 ID:wJhlH3Ch]: ～師範、Ubuntu10.10の特徴を教えてください！～
ascii.jp/elem/000/000/554/554079/

Ubuntuマガジンは3ヶ月に1度出すらしい。
前号は買ってあるがまだ見る暇がない。

WineでIDマネージャー(Win用ソフト)を動かしたい最近の希望。
380 名前：login:Penguin mailto:sage [2010/09/26(日) 00:05:47 ID:rMQd4TkY]: Salixにi3関連プログラムのi3lock 2.0をインストール中。
あえて一言で言おう。Salixにi3lockは危険だ。依存関係地獄だぜヒャーハー！
cairo-xcbねえ、pamもねえ。レポジトリにもねえ。野良ビルド。どうしろと。

それより俺はなんでpng画像表示できるだけのスクリーンロッカーごときに
本気になって依存関係解決しているんだ
...dwmのサイトから落とせるslockでいいじゃないか。orz
381 名前：カミナリ桃 ◆hzkudVaLnM [2010/11/23(火) 01:04:02 ID:BTRqYlfH]: さくらのVPSでubuntuインスコ。Web鯖として動かす。

セキュリティが気になって仕方がない。
公開鯖でiptableだけはさすがに怖い。
何かしら入れてみたいが最近のLinuxセキュリティ事情がよくわからない。
tripwireとかsnortとか現役なのだろうか？
382 名前：login:Penguin mailto:sage [2010/11/23(火) 01:24:45 ID:LH/DQNd7]: iptable 以外にも最低 host 制御と不要なサービスを止めることはすべきだよ
tripwire は現役だと思うけど頻繁にアップデートするなら結構面倒だと思う
近年頻繁にアップデートが主流だからあまり流行らんのかな
サーバで最低限しかアップデートしないなら悪くないと思う
一方面倒だから必要なアップデートしなくなるならかえってまずい
383 名前：カミナリ桃＠携帯 mailto:sage [2010/11/26(金) 00:12:56 ID:PnqJ5ZLh]: 382さんありがとーo(＞＜)o

色々書きたいが規制中でパソコンから書き込めない件orz
メモ用に増田にでも書くか…
384 名前：login:Penguin mailto:sage [2010/11/28(日) 18:09:01 ID:YUjRBeae]: おお、このスレ未だ機能してたんだ！
どのコテハンも応援してるよ！
385 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/11/30(火) 22:12:47 ID:BusF+RxR]: 規制解除ｋｔｋｒ！
やっと日記書き込めるよ～（つд｀）

>>383
Linux板の平均スレ寿命が長いおかげでこのスレも長生きっす＞＜
突発的にメモりたいネタが出来たら、是非フラッと書き込みに来て下さい～ﾉｼ
386 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/03(金) 13:35:30 ID:giMJF3zU]: # tripwireメモ
sudo aptitude safe-upgradeしたら以下を実行する
$ sudo tripwire -m i

ルールの修正をした場合は以下を実行する
$ sudo twadmin -m P -S site.key twpol.txt
$ sudo tripwire -m i

# 実行前に怪しいログが無いか確認しておくこと
387 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/04(土) 15:02:23 ID:7wxOLZZU]: Apacheで公開してるディレクトリなどをtripwireでチェックするようにしてみた。
以下適当に作ってみたルール。

# apache log
(
rulename = "Apache log",
severity = $(SIG_HI)
)
{
/home/www/log -> $(SEC_LOG) ;
}

# public directory
(
rulename = "hoge site",
severity = $(SIG_HI)
)
{
/home/www/hoge_site -> $(SEC_BIN) ;
!/homo/www/hoge_site/sitemap.xml;
!/homo/www/hoge_site/sitemap.xml.gz;
!/homo/www/hoge_site/wp-content;
}
388 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/04(土) 15:18:07 ID:7wxOLZZU]: ↑のhoge_siteにはwordpressをぶっ込んでます。
で、ここで色々と問題が。

1.うまいこと無視できない
wp-contentディレクトリは写真のアップロードなどで構成がしょっちゅう変化するため、
wp-content以下全部を無視したいが、上記の書き方で無視してくれなくて涙目…orz

2.ルールの指定が微妙…？
hoge_siteに指定している$(SEC_BIN)のルール、これって実は微妙な気がする。
$SEC_CRIT（ $(IgnoreNone)-SHaのこと）を使った方が良いんじゃね？

そのほかtripwireで気になってることとして…
3./var/log以下のルールをどうしたものか…
/var/logがデフォルト設定だと$(SEC_CONFIG)で指定してるが、これでいいのかどうか…
logrotetoされてるおかげでしょっちゅう変化あるし、$(SEC_LOG)は無理。
そうするとやはり$(SEC_CONFIG)が妥当だろうか…

まぁこの件はゆっくり考えよう。
他のセキュリティ、特にapparmorをぶっ込みたい。
あれをapacheの各公開ディレクトリ毎にかけることが出来れば、
ゼロデイアタック防止に相当役に立つのだが。
しかし日本語文献が少ないorz
頑張って英語文献を当たらねば…
389 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/06(月) 01:41:23 ID:B2JdjiML]: Ubuntuで公開サーバやってる人のメモが役に立ちそうなので記録に残してみる。

荒巻サーバーの構築 - labs.scaltinof.net
labs.scaltinof.net/memo/server-setup

内容
・セットアップ時における種々のセキュリティ設定に関する記録が多め
・AppArmor+WordPressな構成について参考になりそう

荒巻サーバって一体…
390 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/07(火) 01:27:43 ID:nL6stT2T]: apparmor+apacheがうまくいかねぇorz
英語で↓こんなことを言われるよ…

　　　　　　　　　　　　　　　|￣｀`''- ､
　　　　　　　　　　　　　　　|　　　　　｀ﾞ''ｰ- ､　　＿＿＿＿＿＿__
　　　　　　　　　　　　　　　|　　　 ,. -‐ ''´￣￣｀ヽ､＿　　　　　　 /
　　　　　　　　　　　　　　　 |, - '´￣　　　　　　　｀ヽ、　　 /
　　　　　　　　　　　　　　／　　　　　　　　　　　　　　　｀ヽ､ヽ　 /
　　　　　　　　　　　　 _/　　　　　　　　　　　　　　　　　　　ヽヽ/
　　　　　　　　　　／ / / 　 /　　/　 /　　　　　　　　　　　　ヽﾊ
　　　　　　　　　く　 / /! 　 | 　〃 _/__　l|　　 | | 　 |　　|　 | | ||ヽ
　　　　　　　　　　＼l//　/ |　 /|'´ ∧　 ||　　 | |ｰ､||　　|　 | l　| ヽ
　　　　　　　　　　　　/ハ/　|　 | ヽ/　ヽ | ヽ　 | ||　/|ヽ/!　 |/　|　ヽ
　　　　　　　　　　　 /　|　　||ヽ { ,r===､　　＼| _!V　|//　//　 .! 　 |
　　　　　　　　　　　 |　|| 　 |l　|ヽ!'´￣｀ﾞ　 ,　　==ミ､ /イ川　　|─┘
　　　　　　　　　　　 | ﾊ||　 ||　|　"""　┌---┐　　｀　 /　//　 |
　　　　　　　　　　　 V　!ヽト! ヽ､　　　 | 　　 !　　　　/　//|　/
　　　　　　　　　　　　　　ヽ! ＼ハ`　､ヽ､__ノ　　 ,.イ/ // | /
　　 ┌/）/）/）/）/）/）/）/）/）/）lｰ/　` ー‐┬ '´ レ//l/　|/
　　　 |（/（/（/（/（/（/（/（/（/（/│||　　　　 |＼　〃
　　r'´￣ヽ.　　　　　　　　　 | | ト　　　 /　　＼
　 /　￣｀ｱ　設定したことを　 | | |　　⌒/　　　　入
　〉　￣二)　知ってるが　　　 | | |　　／　　　／/ ヽ
　〈! 　 ,. -'　　　　　　　　 | | ヽ∠-----',　'´　　 ',
　 | ＼| | 　 .お前のルールが | |<二Z二￣　／　　　 ',
　 | 　 | |　　　　　　　　　　 _r'---|　　[ ｀`ヽ､　　　　　 ',
　 | 　 | |　　　気に入らない　>-､__　　　 [　　　ヽ　　　　!
　　＼.| l.　　　　　　　　　　　ヽ､　　　 [　　　　ヽ　　　　|
　　　ヽ|　　　　　　　　　　　　　　＼　　 r'　　　　　ヽ､　　 |
391 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/07(火) 01:31:16 ID:nL6stT2T]: 上記の通りなので、設定は存在するが一切apacheに対してルールが適用されていない状態。
既に動いているWebアプリケーションもあるし、一旦ApacheにAppArmorをかけることを中断。
で、しぶしぶローカルにVMWareでテスト環境を構築中です…
392 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/07(火) 02:09:40 ID:nL6stT2T]: 今気がついたんだが…

ufw(iptable)　の　デ　フ　ォ　ル　ト　拒　否　を　忘　れ　て　た

$ sudo ufw default deny incoming
前にresetした後、defaultのdenyするのし忘れてたよ…
我ながら氏ねじゃなくて死ねって感じだ…orz
393 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/07(火) 03:04:32 ID:nL6stT2T]: AppArmorを試しにphpsysinfoにかけてみたら上手くいったのでメモ

sudo aptitude install apache2 libapache2-mod-apparmor php5
sudo aptitude install apparmor-utils apparmor-profiles
sudo aptitude install phpsysinfo

sudo vi /etc/apache2/site-available/default
# 以下のディレクティブを適切な位置に追加する
<Directory /var/www/phpsysinfo/>
AAHatName phpsysinfo
</Directory>

sudo aa-enforce /etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2
sudo a2enmod apparmor
# この時点でsudo aa-statusをすると「設定は存在するけど保護してないよ★」なメッセージが出る

sudo service apparmor restart
sudo service apache2 restart
# この時点でsudo aa-statusをすると保護してるリストにapacheが入ってる
394 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/07(火) 03:06:32 ID:nL6stT2T]: ・動作テスト方法
試しに以下の内容のphpファイルを/var/www/phpsysinfo以下にtest.phpとして置く
----
<?php
echo "Hello World";
if ( ! ($fp = fopen ("/home/(ユーザディレクトリ)/test.txt", "r"))) {
echo "can't open file...><";
　　　die("ファイルが開けません。");
}
?>
----

自分のホームディレクトリに適当にtest.txtを作っておく
ブラウザでhttp://(IPアドレス)/phpsysinfo/test.phpにアクセス、すると「can't open file...><」と表示される。
逆にこのメッセージが表示されない場合、AppArmorが効いていないってこと。
AppArmorがブロックをすると/var/log/messageにその旨が残るのでその点も確認しておくこと
395 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/07(火) 03:15:11 ID:nL6stT2T]: phpsysinfoにapparmorを適用する手順については、以下のファイルの中に記載有り
/etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2

なお、AppArmor＋Apacheの構成についての文献は非常に少ない。
開発元のSUSEが出してる以下の文書は日本語で書かれており、結構充実しているのでオススメ。
ftp.hosteurope.de/mirror/ftp.opensuse.org/discontinued/SL-10.1/inst-source/docu/ja/apparmor-admin-guide_ja.pdf
※PDF注意
396 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/08(水) 16:49:38 ID:JX0Mipy1]: ヤター！公開サーバでもAppArmor＋Apacheが出来た―!!＞＜

原因：間違えて sudo service apache2 reload してた…
正しくはrestartです…orz
apparmorの方は設定書き換え後reloadでおｋだけど、
Apacheの方はrestartしないと適用されません。ぐぬぬ…

さて、公開サーバの自分のWordPressに適用したところ、早速問題が。
トップや管理画面は問題なく開けるんですが、
個別の記事ページがpermissonがねえと403されてしまいます。
どうやらmod_rewrite関係の様子。
complainモードで動作させてみるか～
397 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/08(水) 17:24:55 ID:JX0Mipy1]: WordPress＋AppArmorが上手くいった予感。

----
^mc_wordpress {
#include <abstractions/apache2-common>
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/php5>

owner /(WordPressのディレクトリ)/** rw,
owner /(WordPressのディレクトリ)/ r,

/（ログディレクトリ）/mc_access.log w,
/（ログディレクトリ）/mc_error.log w,
}
----

owner /(WordPressのディレクトリ)/** rw,
当初↑この行とログの分だけで全て上手くいくかと思ってたら、
↓の行もないとうまく行かない。
owner /(WordPressのディレクトリ)/ rw,

WordPressでmod_rewrite使わないのであれば、**の行だけでも上手くいくのかも。

参考までにAppArmorをかけたWordPressを晒してみます。
もし問題があったら教えて下され＞＜
www.moving-castle-on-the-web.net/
398 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/12(日) 15:46:13 ID:3KTWIWwv]: httpdのログ見てると百度がウザイ件。
どうせ百度から人来ないし、/etc/hosts.denyに追加してみる。

www.baidu.jp/spider/
↑のページに
IPアドレスの範囲: 119.63.195.0/24（119.63.195.1-119.63.195.254）
となっているので、このIPをはじく

sudo vi /etc/hosts.deny
ALL: 119.63.195.

以上で糸冬
399 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/12(日) 16:48:39 ID:3KTWIWwv]: >>398でこう書いているけど…

ぶっちゃげhost制御とiptablesでのフィルタリングとどっちが良いかわからない件orz
wiki.nbj.co.jp/devel/index.htm?TcpdVsIpTables

現在の所自分のサーバはiptablesによるフィルタリングのみ。
しかし色々見て回ると
「/etc/hosts.denyでALL:ALLで拒否して、必要なのを/etc/hosts.allowで許可すべし!!＞＜」
みたいな意見がちらほら。

denyhostsみたいなソフトの存在から考えると
「一概にhosts.denyでALL:ALLしなくてもいいんじゃね？」と悩んだが、
結局denyで全部はじいて必要なのをallowするように変更しました。

/etc/hosts.allowの内容
----
ALL: 自宅のIP 自分のVPSサーバのIP 127.0.0.1
sshd: 自宅のIP
httpd: ALL
----

※denysoftsについての参考URL
denyhosts.sourceforge.net/
400 名前：カミナリ桃 ◆hzkudVaLnM [2010/12/12(日) 17:02:24 ID:3KTWIWwv]: そんなワケで百度のIPをufwで弾くようにしてみました

現在のufwの設定
----
sudo ufw default deny incoming
sudo ufw allow from 自宅IP to any port (SSHのポート)
sudo ufw allow Apache
sudo ufw deny from 119.63.195.0/24
----

$ sudo ufw status
Status: active

To Action From
-- ------ ----
3022 ALLOW 自宅
Apache ALLOW Anywhere
Anywhere DENY 119.63.195.0/24
401 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/12(日) 22:50:57 ID:3KTWIWwv]: ・manを日本語で表示するには
現在稼働中のubuntu x86@さくらVPSはLANG=en_US.UTF-8になっている。
この状態で日本語manページをインスコしてman manしても英語のmanページが出てくる。
LANGを変えるのも手だが、何となくイヤｗなので、対処法をメモってみる。

まず以下のやり方でLANGに関わらず日本語のmanのマニュアルを閲覧可能
$ man -L ja man

そこで~/.bash_aliasesにでもaliaseを書いておく
alias man='man -L ja'

後は設定を反映させるだけ
$ source ~/.bash_aliases

以上でおｋ
402 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/12(日) 22:52:36 ID:3KTWIWwv]: あ、あと事前に日本語manページのインスコ必須です。

$ sudo aptitude install manpages-ja manpages-ja-dev
403 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/12(日) 23:09:42 ID:3KTWIWwv]: ちょっち今後の目標など色々書いてみる。
※LinuxだけでなくWeb制作関連も有り

これから行う事
・WordPressの複数ブログ機能を使い、Linuxの情報に特化したサイトを立ち上げる
　→ここ最近の自分の投稿を整理/まとめたページを作りたい
・WordPressカスタマイズその1
　→親族のサイトのデザインカスタマイズ
　→いくつか「これプラグイン自作してどうにかした方がよくね？」な部分を作る
・WordPressカスタマイズその2
　→自分のWordPressのデザインカスタマイズ
　→運用に必要と思われるプラグインの導入

継続して実施するモノ
・セキュリティの向上
・サーバ監視ツールの導入
・mailutilsをインスコしたが、使い方に関するページをググっても見あたらない…orz

是非とも行いたい事
・Webサービスの作成
・VPSサーバ再インストール
　→現在32bit版を利用中のため、64bit版へ移行したい
　→某所で「64bit版はメモリの利用量が増える」と聞いたが、ぶっちゃげ微々たるもののような…

夢のまた夢(または、きっとやらないだろうリスト)
・VPSサーバを追加契約
　→syslogdなどでログサーバ動かすとか
　→DBサーバにしてしまうとか
　→リソースをケチるためにDNS動かしてないので動かしてみるとか
　→メール鯖にするとか
404 名前：カミナリ桃 ◆hzkudVaLnM [2010/12/12(日) 23:30:08 ID:3KTWIWwv]: * お知らせ *
★Linux関係で日記書いてくれる人募集中★

一時期のLinuxブームは終わり、良い感じで枯れてきた昨今のLinux界隈。
みなさん如何お過ごしでしょうか？

このスレッドではLinuxに関わる日記を書いてくれる方を常時募集しています。
「日記として残すほどではないけど、このソフトの設定手順をどこかに書き込んでおきたい」
そんな単発でのご利用もOKです＞＜

Linuxに関することであれば、初心者でも玄人でもハードでもソフトでも
家庭用でもサーバ用でも動画用途でも開発用途でも何でもOK！
正直過疎過ぎるのでBSDに関する日記も有りかも…
(かくいう自分はWebプログラムな日記がチラホラあったり…)

是非是非、よろしくお願いいたしますm(_ _)m
405 名前：login:Penguin mailto:sage [2010/12/13(月) 00:16:27 ID:VSimQkEX]: >>404
うるせーよ

今日DEB_BUILD_OPTIONS=nostrip,nooptでdpkg-buildpackageしたら共有ライブラリとか
ステップインできることを初めて知った。ありがとうありがとう。
406 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/13(月) 01:24:18 ID:Bkejmetp]: >>405
うるさくしてすいません＞＜

linuxに関する書き込みありがたやありがたや
407 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/13(月) 01:28:01 ID:Bkejmetp]: WordPressのマルチサイト構築完了。
若干はまって時間食ったyo…orz

www.moving-castle-on-the-web.net/
linux.moving-castle-on-the-web.net/

設定変更などはまた後日。
408 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/14(火) 17:25:59 ID:H8fmEKy4]: ただいまWordPressのプラグインを作成中。

作りたいもの：
色んなサイトのトップページによくある「更新履歴」「最新情報」を表示する。
既存の投稿と連動するタイプではなく、自分で「○○を更新しました」とかURLとかを管理画面で入力してもらう

現状：
プラグインｲﾝｽｺ時のデータベースのテーブル作成部分とｱﾝｲﾝｽｺ時のテーブル削除部分完成。

ぼやき：
テーブル削除がなかなか上手くいかなかった件。
間違っていた所をdiff風に抜粋すると…

-$wpdb->query("DROP TABLE IF EXISTS $table_name");
+$wpdb->query("DROP TABLE IF EXISTS {$table_name}");

こんなのでこけてたのかよ…
とほほ…orz
409 名前：今年のまとめ mailto:sage [2010/12/18(土) 00:08:02 ID:uNhNJH/0]: PCルーターを作ろうと思ってそろそろ1年。おおむね良好だが、よく分かってない部分も多い。
整理をかねて、分かっていないものの中からいくつか書いてみようと思う。

FORWARDでのESTABLISHEDなパケットの許可（内側[eth1]→インターネット側[eth0]）に
"! --syn"を念のためと加えてみたところ、

iptables -A FORWARD -i eth1 -o eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　↓
iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

以下のようなDROPログ（途中でマッチせず、デフォルトポリシーで弾かれるもの）が出るようになった。
[FORWARD DROP] : IN=eth1 OUT=eth0 SRC=192.168.0.3 DST=207.29.226.25 LEN=48 TOS=0x00
PREC=0x00 TTL=127 ID=61849 DF PROTO=TCP SPT=21610 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 OPT …
192.168.0.3 : クライアントPC（WindowsXp SP3）
207.29.226.25 : tiger3556.maido3.com 2ちゃんねる yuzuru.2ch.net

上のは一例で、似たようなのは他にいくつかあるが、いずれも
iptables -A FORWARD -i eth1 -o eth0 -p tcp -m state --state ESTABLISHED -j LOG
にて、"! --syn"を足さなければESTABLISHEDとして許可されることを確認している。

「ESTABLISHEDかつSYN」なパケット。何故このようなものが生じるのだろう。
発生頻度は低く、再現性も無いが、たま～にポツリ…と発生する。

RFC793には、ESTABLISHEDステートでSYNビットが立っているのはエラーだと書かれているようだが？
英語能力も含め、いろいろスキルが足りないので原因が分かっていない。
410 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/20(月) 00:30:17 ID:06Ck40yW]: AppArmor+Apache+php覚え書き

phpを使うとき、以下をincludeして除外しないといけない
#include <abstractions/user-tmp>

phpがファイルアップロードなどで/tmpを使っているため、
これをしないとアップロード自体出来ない。

ついで自分がWordPressにかけてるAppArmorの設定。

----
^mc_wordpress {
#include <abstractions/apache2-common>
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/php5>
#include <abstractions/user-tmp>

owner (WordPressのディレクトリ)/** rw,
owner (WordPressのディレクトリ)/ r,
/var/log/apache2/mc_access.log w,
/var/log/apache2/mc_error.log w,
}
411 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/20(月) 00:33:53 ID:06Ck40yW]: この前Ubuntu10.04でapparmor関連のパッケージが更新されたんだけど、
どうやらその後からaa-logprofをするとエラーがでる。

$ sudo aa-logprof
Reading log entries from /var/log/messages.
Updating AppArmor profiles in /etc/apparmor.d.
Use of uninitialized value in pattern match (m//) at /usr/share/perl5/Immunix/SubDomain.pm line 2745, <$LOG> line 4.
Use of uninitialized value in split at /usr/share/perl5/Immunix/SubDomain.pm line 2748, <$LOG> line 4.
Use of uninitialized value in pattern match (m//) at /usr/share/perl5/Immunix/SubDomain.pm line 2745, <$LOG> line 5.
Use of uninitialized value in split at /usr/share/perl5/Immunix/SubDomain.pm line 2748, <$LOG> line 5.
Use of uninitialized value in pattern match (m//) at /usr/share/perl5/Immunix/SubDomain.pm line 2745, <$LOG> line 6.
Use of uninitialized value in split at /usr/share/perl5/Immunix/SubDomain.pm line 2748, <$LOG> line 6.
Use of uninitialized value in pattern match (m//) at /usr/share/perl5/Immunix/SubDomain.pm line 2745, <$LOG> line 7.
Use of uninitialized value in split at /usr/share/perl5/Immunix/SubDomain.pm line 2748, <$LOG> line 7.
※以下、上記のエラーがひたすら繰り返し…

ちょっとUbuntuスレで質問してみるか…
412 名前：今年のまとめ、その2/3 mailto:sage [2010/12/20(月) 00:46:36 ID:j4rBj8iP]: ループバックの許可は、"iptables -A OUTPUT -o lo -j ACCEPT"とすることが多いようだ（INPUTも）。
それを次のようにしてみた。
iptables -A OUTPUT -p all -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT （INPUTも同様に）

すると、icmpがマッチできなくなった。送信元や送信先アドレスが"127.0.0.1"ではないためだ。
許可には、あえて細かく書くと、例えば次のものが必要になる（発生頻度は非常に低い。）。
iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $WAN_IP -d $WAN_IP -m state --state RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $LAN_IP -d $LAN_IP -m state --state RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $WAN_IP -d $CLIENT_IP -m state --state RELATED -j ACCEPT

また、PCルーターのeth1（LAN側）にクライアントがsshで接続中に、次のようなパケットが発生することがある。
iptables風に書くと、OUTPUT -o $WAN_IF -s $LAN_IP -d $SSH_CLIENT_IP --sport 22
"OUT=eth0"だが、"SRC=eth1のアドレス"になっている。ESTABLISHEDで、ネットワークの再起動時に発生する。

Linuxをさわり始めた頃は、インターフェイスとアドレスは必ず一致するものと思い込んでいた。
"OUT=eth0"なら"SRC=eth0のアドレス"というふうに。だが、実際には違った。
かといって、IPスプーフィングの発信元になるような許可はできない。

なぜ、インターフェイスとアドレスが一致しないのだろう。
そう疑問に思う一方で、上のloのような挙動は当然ではないのか？とも思う。
何にせよ、基本が理解できていないんでしょうな。
413 名前：今年のまとめ、その3/3 mailto:sage [2010/12/20(月) 00:52:07 ID:j4rBj8iP]: その2/3にも出てきたicmpのtype3だが、そのステートフル性についても分かっていない。
icmpのtype3の受信で、INVALIDと判定されてしまうものがあるのだ。
（外部からのパケットのみ。その2/3に書いた、loがらみのものは全てRELATED。）

中継してくれたルーターからの返答が、ごく一部とはいえ、どうしてINVALIDとなるのだろう。
こちらにも原因があると思うのだが、分からない。
とりあえず今は、icmp（3・4・11・12番）はステートフル性を用いずに運用し、
他のもの、例えば、いきなりの0番はINVALIDで弾いている。

…と、発生頻度が低いので後回しにしたものの中から3つばかり。

おわりに
・週末たまにちょこっと弄る程度じゃ、1年かけてもこんな程度しか勉強できんかった。
　Linux自体初めてだし、しゃーないか。弄るのは楽しいからいいけど。
・type8に対するtype0がRELATEDでなくESTABLISHEDなのに気づいたときは、「へー」と思った。
　そりゃそうですよね。なんでRELATEDだと思ったんだろう。
414 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/20(月) 01:07:28 ID:06Ck40yW]: iptableかぁ…自分もよくわかってない（汗
>>400で百度のIPを弾いたんだけど、logwatch見てたらアイツらさらに別のIPから来てやがった。
ググる＆whoisで以下のIPが百度のものと判明。

119.63.192.0/24
119.63.193.0/24
119.63.194.0/24
119.63.195.0/24
119.63.196.0/24
119.63.197.0/24
119.63.198.0/24
119.63.199.0/24

早速ufwでdeny
sudo ufw deny from 119.63.192.0/24
※行数が多いので以下略

その後logwatchを見たところ…

Attempts to use known hacks by 3 hosts were logged 6 time(s) from:
150.70.75.166: 4 Time(s)
119.63.198.123: 1 Time(s)
119.63.198.89: 1 Time(s)
A total of 3 sites probed the server
119.63.198.123
119.63.198.89
150.70.75.166

あれ？deny出来てなくね？
※なお、150.70.75.166は日本のトレンドマイクロのスパイダーです。
　logwatchに自動的にhack扱いされる凄いスパイダーだよ。
415 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/20(月) 01:15:43 ID:06Ck40yW]: うちはiptableじゃなくてufw使ってる。
結局中身は一緒っつーかufwはiptableのラッパーらしい。
現在かけているufwは↓
----
sudo ufw default deny incoming
sudo ufw allow from ※自宅IP to any port ※ssh
sudo ufw allow Apache
# baidu
sudo ufw deny from 119.63.192.0/24
sudo ufw deny from 119.63.193.0/24
sudo ufw deny from 119.63.194.0/24
sudo ufw deny from 119.63.195.0/24
sudo ufw deny from 119.63.196.0/24
sudo ufw deny from 119.63.197.0/24
sudo ufw deny from 119.63.198.0/24
sudo ufw deny from 119.63.199.0/24
----

どっかのサイトで「ufwとiptableはかける順序が違う部分があるから注意」みたいなのを読んだんだが、どこだったか失念。
英語読めんとmanが読めないので涙目。
頑張ってufwの情報探すか、それとも.htaccessで逃げるか…はぁ
416 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2010/12/20(月) 01:33:26 ID:06Ck40yW]: ググり直したらufwの順序に関する情報見つかった＞＜
gihyo.jp/admin/serial/01/ubuntu-recipe/0077?skip

↑の情報を元にufwの設定を書き直し
----
sudo ufw default deny incoming
sudo ufw allow from ※自宅IP to any port ※ssh

## apache
# baidu deny
sudo ufw deny from 119.63.192.0/24
sudo ufw deny from 119.63.193.0/24
sudo ufw deny from 119.63.194.0/24
sudo ufw deny from 119.63.195.0/24
sudo ufw deny from 119.63.196.0/24
sudo ufw deny from 119.63.197.0/24
sudo ufw deny from 119.63.198.0/24
sudo ufw deny from 119.63.199.0/24

# apache allow
sudo ufw allow Apache
----

これで上手くいってくれ～＞＜
417 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2010/12/31(金) 03:00:11 ID:T8Q0RGRv]: >>398
そういうのはiptableでやるもんじゃないのか？
baidu.jpではじく書式もあったような記憶あるけど
host.denyは基本全部拒否だろ多分
必要なものだけ開ける
侵入されたりトラブルが起きたときの障害切り分けの負担を減らす

>>409
www.atmarkit.co.jp/flinux/rensai/security05/security05a.html

>>411
答え返って来た？
418 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2010/12/31(金) 03:04:17 ID:T8Q0RGRv]: >>412
icmpは必要か？
普段はコメントアウトして
#iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $WAN_IP -d $WAN_IP -m state --state RELATED -j ACCEPT
#iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $LAN_IP -d $LAN_IP -m state --state RELATED -j ACCEPT
#iptables -A OUTPUT -p icmp --icmp-type 3 -o lo -s $WAN_IP -d $CLIENT_IP -m state --state RELATED -j ACCEPT

必要な時だけsshから繋いで#消して
iptables reloadしてから icmp有効にするとかはダメなのか？

＞なぜ、インターフェイスとアドレスが一致しないのだろう。
centosでもよく言われるが　NetworkManagerでインターネットに繋いでるんじゃないのか？
NetworkManagerを無効化
netlog.jpn.org/r271-635/2009/06/ubuntu_81networkmanager.html
記事が古いからあとは自分で確認して
CentOS　だと
service NetworkManager stop
service network start

vi /etc/sysconfig/network-scripts/ifcfg-eth0で
IPADDR=192.168.0.X
HWADDR=xx:xx:xx:xx:xx:xx # xx:xx:xx:xx:xx:xxにはNICのMACアドレスを設定

でIPアドレスとNICを固定させる　たしかこれで固定できた
うぶんちゅも似たような設定で出来たと思う

https://wiki.ubuntulinux.jp/UbuntuTips/DedicatedServer/OverSSHbyDebootstrap
419 名前：login:Penguin mailto:sage [2010/12/31(金) 17:52:04 ID:3dAmzO86]: >>418 レスありがとうございます。
> icmpは必要か？
いえ、icmpが必要かどうかではなく、"iptables -A OUTPUT -o lo -j ACCEPT"の時と同じにするためには、
以下のようなものが必要になる、という事を述べただけです（汗。

> centosでもよく言われるが　NetworkManagerでインターネットに繋いでるんじゃないのか？
いいえ、使っていません。
eth0とeth1が入れ替わるような事態も経験ありません。

>>412で言いたかったのは、「"-o lo"なのに"-s 127.0.0.1"ではない」、
「"OUT=eth0"なのに"SRC=eth0のアドレス"ではない」ことがあるが、何故だろう？ということです。
すいません、書きようが悪くて。

「Linuxをさわり始めた頃は、インターフェイスとアドレスは必ず一致するものと思い込んでいた。」
「なぜ、インターフェイスとアドレスが一致しないのだろう。」
これらの表現が間違ってますねorz。はしょりすぎです。

「『"SRC="に記されるアドレス』は、『"OUT="に記されるインターフェイスのアドレス』と必ず一致するものと思い込んでいた。」
「なぜ、"SRC="に記されるアドレスが、"OUT="に記されるインターフェイスのものと一致しないのだろう。」
と、それぞれ書くべきでした。
eth1のアドレスは変化せず、常に固定です。
eth0のアドレスはdhcpクライアントによって、ネットワーク再起動時に再取得されるので、固定ではありません。
（eth1のアドレスが振られるようなこともありません。）

ただ、発生頻度でも触れましたが、かなり特殊な状況なのだろう？と思っています。
とくに後者は「ESTABLISHEDで、ネットワークの再起動時に発生する。」と書きましたが、
言い換えると、ssh接続中にネットワークを再起動させない限り発生しません。

eth1とクライアントPCとのssh接続は、ネットワークの再起動後も継続されます。
（ネットワークを再起動させているので、実際には一旦切れているのでしょうが。）
420 名前：419 mailto:sage [2010/12/31(金) 18:16:40 ID:3dAmzO86]: > また、PCルーターのeth1（LAN側）にクライアントがsshで接続中に、次のようなパケットが発生することがある。
> iptables風に書くと、OUTPUT -o $WAN_IF -s $LAN_IP -d $SSH_CLIENT_IP --sport 22
> "OUT=eth0"だが、"SRC=eth1のアドレス"になっている。ESTABLISHEDで、ネットワークの再起動時に発生する。
これなんですが、
ssh接続中にネットワークを再起動させてますから、一旦接続は切れているでしょう。
そこで、sshサーバーが一度見失ったクライアントをあちこち捜している。
だから、"-s $LAN_IP -d $SSH_CLIENT_IP --sport 22"なパケットを、全てのethから飛ばしているのでは？

…などと妄想しています。もちろん、"OUT=eth0"はDROPしています。

「"SRC="に記されるアドレスが、"OUT="に記されるインターフェイスのものと一致しない」例をもう一つ。
最近見つけました。試しに実験したら、思い通りでした。

[IPTABLES BAD_IP] : IN= OUT=eth1 SRC=eth0のアドレス DST=クライアントPCのアドレス LEN=60 TOS=0x00 PREC=0x00
TTL=64 ID=3159 PROTO=ICMP TYPE=0 CODE=0 ID=512 SEQ=3840

見ての通り、pingの返答です。ESTABLISHEDなパケットですが、
一致しないOUTPUTはBAD_IPチェインで弾いているので、このログが残ります。
eth1側にぶら下がっているクライアントPCが、eth0に対してpingを打ったときのものです。

eth0がクライアントPCに返事をするためには、eth1を通るしかありませんから、
これはこれで当然なのだろうと考えてます。

長文失礼しました。
421 名前：login:Penguin mailto:sage [2010/12/31(金) 19:04:56 ID:3dAmzO86]: すいません、もう一つありました。

>>417
そこのリンク先は私が参考にしたサイトの一つです。
あらためて「通すべきではないパケット」であることの再確認は出来ます。

ですが、読み直しても
PCルーターのLAN側にあるクライアントから、「ESTABLISHEDかつSYN」なパケットが生じる理由については、
分かりませんでしたorz
もちろん、不正アクセスなど考えていません。
422 名前：ヽ(´▽｀)ﾉ mailto:sage [2010/12/31(金) 19:21:54 ID:4gYdm2tF]: よいお年を
423 名前：デムパゆんゆん＠冬眠前線炎上中 !omikuji !dama mailto:sage [2011/01/02(日) 01:13:37 ID:5537oach]: >>421
＞PCルーターのLAN側にあるクライアントから、「ESTABLISHEDかつSYN」なパケットが生じる理由については、
＞分かりませんでしたorz

ぐぐってたらここがヒットした
www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/newnotsyn.html
原因は　認識しておかなくてはならないのは、～　から書いてる

はしょって書いているというより
数行の中に疑問がいくつもあるからまづは文の解読から笑

>>412は>>409とは別の所に原因があると思う
icmpがマッチしなくなったのは
www.shitomi.jp/ubuntu1004/iptables.html
www.nina.jp/server/redhat/iptables/iptables.html
www.atmarkit.co.jp/flinux/index/indexfiles/iptablesindex.html
arisonsvr.org/web/maincontents/serverset/iptables/iptable.html

ネットワークの再起動したとき前回の設定が残ってるんじゃないか
スクリプトなり走らせて
最初に iptables -F でポリシを初期化してみる

>>413
icmpが弾かれるのもまた別の原因なんかな
www.atmarkit.co.jp/flinux/rensai/security05/security05b.html
www.forwhom.jp/mtaiptables.html
linux.kororo.jp/cont/security/iptables.php

icmpあんまり弾くばかりもだめなんだな　知らなかった
424 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 01:31:01 ID:5537oach]: ＞ネットワークの再起動したとき前回の設定が残ってるんじゃないか
もう少し書けば
前回LAN側eth1がネットワーク再起動したとき
設定が残っててeth1を使用済と判断してeth0をLANに割り当てたり
ネットワークのスクリプトがeth1をLANかWANかまで判別してないんだろ　多分

>>413は神経質にならなくてもいいんじゃないか？
www.atmarkit.co.jp/fnetwork/netcom/netcom01/netcom01.html
icmp type 3はビーコン見たいなもので
ルータAからパケット受けたルータBが送信元にエラーを送るみたいだ
送信元パケットがルータAからルータBなのか　発信元のPCなのかいまいちよくわからんけど
気になるならtype 3で捨てられたパケットの中身を調べるんだ笑

iptableの挙動が変わるのはTOMOYO Linux　学習モードで使えばどこで変わってるかわかりそうだな
ふむ
新しい使い道を発見した。
425 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 01:37:18 ID:5537oach]: >>421
＞PCルーターのLAN側にあるクライアントから、「ESTABLISHEDかつSYN」なパケットが生じる理由については、
www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/newnotsyn.html

リンク先の　この仕様が存在するのは、場合によっては、～　から読めばいいんでねか
一時的に必要な場合があるからそういう仕様になっているのでござる
ということらしい
426 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 01:39:08 ID:5537oach]: おまけ　うぶんちゅの簡単な設定
tobysoft.net/wiki/index.php?Ubuntu%2Fiptables%28firewall%29
427 名前：login:Penguin mailto:sage [2011/01/02(日) 02:29:25 ID:Ab3/z3Kq]: >>423
> はしょって書いているというより
だから日記スレにいるわけでしてｗ
まるで何も分かってない人間が書くとどうなるか、少しは自覚があります。
くだ質などへの質問は、もっと分かってからと考えております。

最初にお詫びしておきますが、以下の文章には条件の後出しも出てきます。
このレスのきっかけになった文章は全て、質問スレに書くつもりで書いたものではありませんので、ご容赦を。

> 原因は　認識しておかなくてはならないのは、～　から書いてる
これは「NEWステートでありながらSYNビットの立っていないパケット」の説明ですよね。
私のは「ESTABLISHEDステートでありながらSYNビットの立っているパケット」なのですが。

また、この「NEWステートでありながらSYNビットの立っていないパケット」を弾く条件式は
iptables -A FORWARD -p tcp ! --syn -m state --stat NEW -j STEALTH_SCAN
の形で実装しており、問題となった以下の式より前にあります。
iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

よって、同じものとは思えませんが、等価なんでしょうか。
そうだすると、まだまだ理解が足りないようです。
428 名前：login:Penguin mailto:sage [2011/01/02(日) 02:30:09 ID:Ab3/z3Kq]: > 最初に iptables -F でポリシを初期化してみる
初期化はしております。
現在、Debian lenny を使っていまして、初期化スクリプトを
/etc/network/if-pre-up.d/ に置いています。

該当部分はこんな感じです。
# すべてのルールをクリア。
iptables -F
iptables -X
iptables -Z

for table in filter nat mangle
do
iptables -t $table -F
iptables -t $table -X
iptables -t $table -Z
done

# デフォルトルールの設定。
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
429 名前：login:Penguin mailto:sage [2011/01/02(日) 02:30:55 ID:Ab3/z3Kq]: icmpについては、ステートフル性を用いない方がいいのかなと、思うこともあります。
>>413に書いたように、実際今そうしています。
示してくださったurlも全てステートフル性を用いておりませんし。

別に神経質になってるつもりはないですよ。疑問に思っているのは確かですが。
それにぶっちゃけicmpのtype3ですし。実用上、どうということはないです。

いろいろありがとうございます。
実は、正月早々のセントスレ214の発言を見て、レスするの止めようかとも思いました。
ところで、なんでうぶんちゅ？
一言も書いていないはずですがｗ
430 名前：login:Penguin mailto:sage [2011/01/02(日) 02:41:16 ID:Ab3/z3Kq]: 返事を書いている間に追加が

>>425
それは、「SYNビットの立っていないパケット」の話なのでは？
431 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 04:18:28 ID:5537oach]: >>430
netfilterのバグのような気もする
「NEWステートでありながらSYNビットの立っていないパケット」を弾く条件式
ソースコードの　endifで切り分けしてなかったり
くだ質ではソース嫁とか言われそうだが一番の近道

他の環境で試してみるとか
カーネルが古いせんとすとかカーネルが新しいFedoraとか　でぶあんsqueezeとか

くだ質は質問の内容が高度なのが多いけど実質あのスレしか機能してないから
あそこに質問が集中する
マ板もム板もほとんどスルーだし

icmpは常にセッション維持する必要はほとんどないんじゃねの？
パケットが相手の存在確認するくらいだけだし

>>427
＞よって、同じものとは思えませんが、等価なんでしょうか。
NOだな
432 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 04:26:59 ID:5537oach]: というか
>>409
何度も読み返して気になってたんだが
www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/newnotsyn.html
よく読んで
>>409でクライアントはウィンドウズ
ウィンドウズ以外でも同じ現象が出るかテストする
マイクロソフト製品は時としてコネクションが切れNEWステートになり
iptables -A FORWARD -p tcp ! --syn -m state --stat NEW -j STEALTH_SCAN
で弾かれてるんじゃないか　とか
気になるならルールの最後に--log-tcp-options つけろとも言ってるでござる

＞「ESTABLISHEDかつSYN」なパケット。何故このようなものが生じるのだろう。
＞発生頻度は低く、再現性も無いが、たま～にポツリ…と発生する。
iptablesをすり抜けるため意図的に作られたパケット
パケットキャプチャで監視
どこから来てどこへ行くか
iptables入れた鯖外部に公開してるなら　狙われてるんかもな
ハカーは少しずつこういうイレギュラーなパケット流して進入経路作るし
あるいはNSAに送信されるバックドア！

>>409のDROPログは正常じゃないの？
iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
eth1からeth0のSYNビットがついていないコネクション継続中のTCPパケットを許可
DROPログはSYNビットがついているから弾かれた
SYNビットは開始要求パケットで継続中のパケットにはそんなものいらない

「ESTABLISHEDかつSYN」なパケット。はNSAがバックドアを仕掛けるために作られたのだ！
433 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 04:29:29 ID:5537oach]: なんでうぶんちゅとか言われても環境全然書いてないんだもん　わがんね
うぶんちゅ使いが多いからなんとなく
今日はiptablesの勉強をした
434 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 04:35:19 ID:5537oach]: >>431
間違えた
netfilterのバグのような気もする
×「NEWステートでありながらSYNビットの立っていないパケット」を弾く条件式
○「ESTABLISHEDステートでありながらSYNビットの立っているパケット」を弾く条件式
ソースコードの　endifで切り分けしてなかったり
くだ質ではソース嫁とか言われそうだが一番の近道
435 名前：login:Penguin mailto:sage [2011/01/02(日) 06:38:29 ID:Ab3/z3Kq]: > ウィンドウズ以外でも同じ現象が出るかテストする
Windowsだからこんな現象が出るのでは？って疑念は持ってます（>>366も私です。）。
今使ってる本番用の他に、同じ設定のPCルーターとDebianのクライアントの組み合わせもありますが
そちらでは、今のところ出ていませんから。
ただ、実験用で、そんなに使用時間は長くないんです。

発生頻度が低いと書いたように、滅多に出ないので、Windowsだけに出ても今は不思議ではありません。
もう一台のWindowsマシンでも出ませんが、これも使用時間的に、今は何とも。

> >>409のDROPログは正常じゃないの？
> SYNビットは開始要求パケットで継続中のパケットにはそんなものいらない
仰るとおりです。
だからこそ何で「ESTABLISHEDかつSYN」なパケットが出てんの？と疑問に思ったわけです。

> 「ESTABLISHEDかつSYN」なパケット。はNSAがバックドアを仕掛けるために作られたのだ！
ﾏ
ｼﾞ　ﾊ ,,ﾊ
ﾃﾞ　(；ﾟ◇ﾟ)z
!?
436 名前：login:Penguin mailto:sage [2011/01/02(日) 06:40:24 ID:Ab3/z3Kq]: > icmpは常にセッション維持する必要はほとんどないんじゃねの？
> パケットが相手の存在確認するくらいだけだし
これも仰るとおり。
>>429でも書きましたが、実用上、ステートフル性なんか用いる必要はないかもしれません。

ですが、「中継してくれたルーターからの返答が、ごく一部とはいえ、どうしてINVALIDとなるのだろう。」
という疑問はあるのです。

どうしてそんな疑問を持つかというと、ログを見ながら一つずつ原因を探る。必要なものなら許可していく。
そんな勉強法をとっているからでしょう。
未解決事案に、icmpがINVALIDとして弾かれているログが、いつまでも残っているわけです。
実用上は問題なくとも。

勉強中なんで、それでいいだろうと思ってます。おまけに趣味でやってることなので。
いつかはソースが見られるようになれたらと思います。が、今は無理っす。
長々相手をしてくださり、ありがとうございました。
437 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 13:43:14 ID:5537oach]: ESTABLISHEDかつSYNなパケットを監視するために
パケットキャプチャする
どこから来てどこへ行く　みんなどこへ行った　見送られることもなく
クライアント　ウィンドウズ2台　linux1台
パケット監視用PC1台　ルータ
12時間連続稼働なら大丈夫だろ
朝起きてPCに電源入れて帰ってきて飯食って風呂入ったら23時くらいだろ

icmp がINVALIDで弾かれる　は別の所が原因なんかな

くだ質は　iptablesで　ESTABLISHEDかつSYNなパケットはどうやって弾いたらいいんですか

>>413
＞icmpのtype3の受信で、INVALIDと判定されてしまうものがあるのだ。
弾いたログと前後を見ないと何とも言えない
ルータは基本中継するだけ丸投げがデフォ
何があってもボキュは知らない　それっ　ボキュに投げられても困る　それっ

早めにくだ質で聞くんだな
pfではどうやって弾いてるのか気になったでござる
その昔自作ルータ運用してたら侵入されたしなwwwwwwwwwwwwwwwwwwwwww
セキュリティ気にし出すと頭ハゲるね　いづれOpenBSDにたどり着く
438 名前：login:Penguin mailto:sage [2011/01/02(日) 16:42:49 ID:p7DyIEOy]: >>437
> くだ質は　iptablesで　ESTABLISHEDかつSYNなパケットはどうやって弾いたらいいんですか
申し訳ありませんが、それはないです。
弾くのは簡単です。
知りたいのは「発生原因・理由」です。発生頻度は月に1度あるかどうかですが（だから後回しにしてきた（汗）。

キャプチャについては、やってみます。
24時間つけっぱなしにしても、それだけでは出ませんが（何度も実験済み）。

> icmp がINVALIDで弾かれる　は別の所が原因なんかな
全く別の事象かと。
icmpに関しては、今回のことでもう一度見なおしましたが、「ひょっとして、これが原因？」というのはありました。
まだ全く自信はありませんが。

まぁ、ESTABLISHEDかつSYNなパケットにしても、icmpにしても、いずれ分かると気楽に考えてます。
くだ質もそのうち利用させてもらうでしょう。
439 名前：438 mailto:sage [2011/01/02(日) 16:58:11 ID:p7DyIEOy]: 438は失礼な物言いになってますね。すいません。
なら、iptablesで　ESTABLISHEDかつSYNなパケットが発生するのですが何故でしょう
と、したらってことですな。

もう少し好きにやらせてくださいな♪
440 名前：デムパゆんゆん＠冬眠前線炎上中 mailto:sage [2011/01/02(日) 17:46:07 ID:5537oach]: 月に一度あるかないかなのか
アクセスする日が10日から15日前後に限定され発信元はウィンドウズ
それはあっぷでと鯖に要求しているにちがいない
好きにやるといいよ　もう戻れないし底なし沼に片足突っ込んでいる　ﾌﾌﾌ
侵入や追跡に特化したのがいくつかあるけど
BackTrack Part2
hibari.2ch.net/test/read.cgi/linux/1232971901/l50

fedora security
spins.fedoraproject.org/security/

TOMOYO　Linuxも使うといい
tomoyo.sourceforge.jp
底なし沼へいらっしゃい。
441 名前：login:Penguin mailto:sage [2011/01/02(日) 18:09:34 ID:p7DyIEOy]: BackTrackは何度か使った事があります
wepキー簡単に解析できちゃいますね
TOMOYOは名前の由来でどん引きして以来、使うの止めました
由来と中身は無関係と分かっちゃいるんですがね～
442 名前：login:Penguin mailto:sage [2011/01/04(火) 20:11:03 ID:NgtfqTX0]: >>412のloの件（3番目の"-o lo -s $WAN_IP -d $CLIENT_IP"）について
後回しにしていたログをじっくり見てみた。どうやらtorrentが一因。
再現も出来た。そりゃあ、滅多に出んわ。普段使ってないから。

[IPTABLES LO_ICMP] : IN= OUT=lo SRC=現在のIPアドレス DST=クライアントPC LEN=76 TOS=0x00
PREC=0xC0 TTL=64 ID=30102 PROTO=ICMP TYPE=3 CODE=1
[SRC=クライアントPC DST=以前のIPアドレス LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=10727 DF
PROTO=TCP SPT=1176 DPT=61256 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402) ]

どういう場合に出るかというと、以下の通り。
トレントで何かを共有→いったん中断→トレントを再開（ただし、IPアドレスが変わっちゃってた）

トレントのクライアント（トラッカーも）には前のアドレス情報が残っている。
そのため、前に使っていたIPアドレスに繋ぎに行っちゃう。
[]内の"DST="の部分がどういうIPアドレスであるのか。それに早く気付けば良かった。
（以前（直前とは限らない）に自分が取得していたアドレスなんて、覚えてない。）

私が解放したアドレスを、トレント再開時までに誰かが取得し、たまたま同じファイルを共有していたら、
また違った結果になるんだろうな。
443 名前：login:Penguin mailto:sage [2011/01/04(火) 20:12:08 ID:NgtfqTX0]: 他には、プロバイダのDNSサーバーへの接続に失敗したときに出てる（これも普段まずない）。
まとめると、なんのことはない、この2種類しかなかった。
いずれも同一プロバイダ内という、近い相手に接続できなかった場合ですな。

なぜ「"OUT=lo"で"SRC=現在のIPアドレス"」なのかについては不明のままだが、
また何かのきっかけで分かることもあるでしょう。

icmpのtype3が一部INVALIDとなるのも、torrentが関係ありそうな感じ。
こちらは、まだまだはっきりしたことは言えないけど。

追記
合法なファイルの共有なので誤解しないでくださいね。
ここを見ているよう方々なら、そんな心配はないとは思いますが。

おまけ
Windowsでpingを打つと、デフォルトだと4回type8を飛ばすが、2回目以降も全てNEWステート。
tracertコマンドの場合、ESTABLISHEDステートでもtype8を飛ばす。
どうでもいいことだけど、せっかく気付いたので日記にメモ。
444 名前：デムパゆんゆん＠冬眠する mailto:sage [2011/01/04(火) 22:25:17 ID:we42EjNx]: 一つは解決したんだな
パソコン数台ならDHCPでばらまかないで固定の方が楽だ
発信元あのPCからかと見当がつく
安心自己解決はソニー損保
不安な年金アリコでごじゅうはちじゅう喜んで
445 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2011/01/06(木) 22:01:10 ID:E+i8GAI0]: 皆様あけましておめでとうございます＞＜
今年もよろしこですm(_ _)m

>>417
やっぱhost.denyは全拒否で、個別の拒否にiptablesだよね…
ググると違う使い方してる人がﾁﾗﾎﾗ存在していたから、
自分の考えが特殊なのかと不安だったよ。ありがとう＞＜

aa-logprofの件、答え帰ってこなかったですorz
てか日本でAppArmor利用者一体どれだけいるんだｗ
ググっても日本語情報なかなか出てこないｗ
TOMOYOの方が日本語情報ありまくるとかある意味泣けるなぁ
446 名前：デムパゆんゆん＠速＋の聖戦士様 mailto:sage [2011/01/07(金) 01:05:19 ID:BK7f5D/I]: >>445
あっちにもこっちにも設定書いてるとあとでわからなくなったり
障害が起きたとき面倒だし
とりあえずIPはiptablesで弾く　host.denyとかで弾くときは紙にメモしておくとか
王道進むのが近道　変態道進むとハマったとき抜け出すのがしんどい

なんでtomoyoじゃなくてapparmer使おうと思ったんだ？
日本語ならtomoyoで使う方が楽だろ　tomoyoもapparmerもやること一緒だし
apparmerはメンテナが全員ノベルから解雇されたからな
一時停滞してた
何人かはカノニカルに雇われてプロジェクト再開した
採用してたopensuse自体日本では人気ないし　資料もほとんどない

apparmerさわりたいなら日本語で充実してるのは
毎日コミュニケーションズの　openSUSE 10.3 ビギナーズバイブル
ISBN-10: 4839926069

古すぎるけどこれくらいしかなかったと思う
他のopensuseの入門書でも多分apparmerはふれてると思う
本屋で確認して
447 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2011/01/09(日) 01:19:27 ID:vPsFkiBT]: >>446
AppArmorはUbuntuの場合、カーネル入れ替えなくてもデフォで利用可能だから利用しました（＞＜；
あとAppArmorを入れた時点でTOMOYOの現状をよく知らなかったから（汗

さてさて、うちのサーバにRuby+ruby on railsを入れたい。
入れたいがそもそも動かしたいRuby製のプログラムがない。
作らなきゃな…
448 名前：login:Penguin mailto:sage [2011/01/14(金) 22:54:17 ID:7FiWvwm7]: いえい
449 名前：カミナリ桃 ◆hzkudVaLnM mailto:sage [2011/01/15(土) 01:04:14 ID:wvcWLGHx]: >>448
ひゃっはー＞＜

ただいま業務の関係でRailsを勉強中。
お金貰いながら勉強出来るって最高ですYO!!＞＜
今度「俺のわんこ画像が火を噴くぜ！」みたいなサイトを作ってみたいお。

しかしRuby/Rails周りはバージョンによるトラブルが随分多いみたいだね。
十分気をつけないと涙目になっちゃうお＾＾；
450 名前：login:Penguin [2011/01/24(月) 10:48:38 ID:bjmxEWeE]: 凄い長寿スレだ。驚いた。

どさくさまぎれに宣伝を。

【心機】　rosetta@home　【一転】
kamome.2ch.net/test/read.cgi/volunteer/1295817634/
BOINCやFolding@homeのクライアントを実行(run)する人は多いですが、
意外と見落とされがちなのが、Rosetta@homeです。

Folding@homeはGPU版を使えば、グングンとスコアがあがりますが、
RosettaはCPU版のみでコツコツ計算することになります。
そこでせっかくBOINCをインストールしている人はロゼッタにも参加していただけませんでしょうか？

確かにSETIやMilkywayは夢があって面白いと思います。
しかし私は人々の日々の健康と病気治癒の医薬研究にCPU時間と電気を使いたいと思います。
健康は万人に関係するものです。どうか皆さんのお力を貸してください。

Rsetta@homeの実行法は実に簡単で、BOINCのクライアントをインストールしている人なら、
数クリックで参加できます。
そしてGPU版のFolding@homeと、CPUでのRosetta@homeの計算を同時に行うことができるのです。
これは大変都合の良いことだと思います。

なお実行するときにはTeam 2chへの参加も忘れないでくださいね！
451 名前：カミナリ桃＠代理レス [2011/02/03(木) 08:07:02 ID:NWv1k8lC]: rubyをローカルのテスト環境にインスコ中なんだが…
さすがにaptに全て投げるわけにはいかない様子。

現在の作業をレッツﾒﾓﾒﾓ
・Ubuntu 10.04にて作業、rvmでrubyを複数バージョンを入れちゃうYO!
・ひとまずruby自体をaptでｲﾝｽｺ
# sudo aptitude install ruby ri rdoc

・gemは手動でｲﾝｽｺ
# wget rubyforge.org/frs/download.php/74140/rubygems-1.5.0.tgz
# tar zxvf rubygems-1.5.0.tgz
# cd rubygems-1.5.0
# sudo ruby ./setup.rb
# sudo ln -s /usr/bin/gem1.8 /usr/bin/gem

・rvmをgitでゲットしてインスコ
# sudo aptitude install git-core curl libreadline-dev
# mkdir -p ~/.rvm/src
# cd ~/.rvm/src
# bash < <( curl rvm.beginrescueend.com/releases/rvm-install-head )

・パスを通す
# vim ~/.bashrc #末尾に追加
[[ -s "$HOME/.rvm/scripts/rvm" ]] && . "$HOME/.rvm/scripts/rvm"

・rvmで必要なソフトウェアを入れる
# rvm package install zlib
# rvm package install readline
# rvm package install openssl
452 名前：カミナリ桃＠代理レス [2011/02/03(木) 08:07:43 ID:NWv1k8lC]: ・rvmで1.9.2の最新を入れる
# rvm install 1.9.2 -C --with-zlib-dir=$HOME/.rvm/usr,--with-readline-dir=$HOME/.rvm/usr, --with-openssl-dir=$HOME/.rvm/usr

・1.9.2を使ってみる
# rvm use 1.9.2

・システムのrubyに戻す
# rvm reset
453 名前：login:Penguin mailto:sage [2011/02/03(木) 22:59:53 ID:5BqFtC6U]: rubyのパッケージ管理はカオス
454 名前：カミナリ桃＠代行 mailto:sage [2011/02/06(日) 00:40:07 ID:ZC7zQ+r5]: >>453
何よりgem先生がドSというか鬼畜すぎる
Ubuntuでgemが古いからsudo gem update --system したら
gemのディレクトリが変わるとかどういう仕様だよｗｗｗ
鳥の方で頑張って新しいgemを用意してくれYO!
sudo aptitude safe-upgradeさせてくれよ＞＜
そんなわけで鳥のgemは最初から入れずに公式のgem先生を入れてます。
でも公式のgem先生アンインストールしたいときとかどうするんだ…

前回の続き。
rvm入れたけどrvmに頼るとruby周りの管理が煩雑になりそうなので、
結局rvm resetしてaptitudeで普通にインスコ出来る1.8.7を使うことにしました。
てかrvm公式サイトに「これdevelopment用だから！」的なドキュメントを見たのが主な原因だけど…（－－；

さて、本来の目的であるrails環境を整えることを考える。
rvmやらgemやらいじってたら時間がかかって涙目。

・構成：Apache + Passenger(mod_rails)
　・Mongrelさんを入れたくないです…
　　昔JavaでTomcatの面倒を見てた経験があるんだけど、
　　アプリケーションサーバは色々と手間がかかるので正直鯖に入れたくない…
　・てか普通にPassengerの方が軽くね？
　　アレなバグが無いならこれでよくね？
455 名前：カミナリ桃＠代行 mailto:sage [2011/02/06(日) 00:40:26 ID:ZC7zQ+r5]: ・手元のUbuntu@VMWareで試してみた
# sudo aptitude install ruby1.8-dev
# sudo gem install passenger

# passenger-install-apache2-module
passenger-install-apache2-module を実行した際にｲﾝｽｺに必須のツールが無い場合、
必要なツールのapt-getでのパッケージ名まで出してくれる。
そいつらをsudo aptitude install してやる
※CentOSだとyumでのパッケージ名が出るらしい

インスコ後、「Apacheにこんな感じで設定してね★」ってメッセージが出るのでメモ。
自分は/etc/apache2の既存の設定を参考に以下のようにしてみた。
# sudo vim /etc/apache2/mods-available/passenger.load
LoadModule passenger_module /usr/lib/ruby/gems/1.8/gems/passenger-3.0.2/ext/apache2/mod_passenger.so

# sudo vim /etc/apache2/mods-available/passenger.conf
<IfModule mod_passenger.c>
PassengerRoot /usr/lib/ruby/gems/1.8/gems/passenger-3.0.2
PassengerRuby /usr/bin/ruby1.8
</IfModule>

# sudo a2enmod passenger
※この後、バーチャルホストの設定でrailsのpublicディレクトリを指定すればおｋ
456 名前：カミナリ桃＠代行 mailto:sage [2011/02/06(日) 00:40:42 ID:ZC7zQ+r5]: 通常はこれでApacheを再起動すればおｋ
自分はAppArmorをぶっ込んでて影響が出たので、一旦停止させた
# cd /etc/apparmor.d/
# sudo aa-complain usr.lib.apache2.mpm-prefork.apache2
# sudo service apparmor restart
# sudo service apache restart

なお、passengerは標準ではproductionモードになっている
なのでproduction用のDB作成＆マイグレーションを忘れないこと

※後でやることリスト
・rails用のapparmorの設定作り
・.htaccessでBASIC認証かけられるかどうかの確認

一時的に身内向けアプリを作成して身内のみに公開する予定なので、
basic認証＋apparmorが必須。
457 名前：カミナリ桃● ◆hzkudVaLnM mailto:sage [2011/02/06(日) 15:46:05 ID:occzWThI]: うぐぐ、規制でここに直接書き込めないから●買ってしまったよ…
なんかうちのプロバイダが永久規制らしい。
モリタポとかニダーランとかﾏﾝﾄﾞｸｾ…
悔しいけど頑張って日記書き込んじゃうYO!（；ω；｀）

AppArmor+Passengerな暫定設定が出来たYO！
何気にはまりポイントがあったので大変だったよ…（－－；

今回のポイント
現象：
通常新たなWebアプリケーションをApacheに配置する場合、
/etc/apparmor.d/apache2.d 以下に設定を記述する。
ところがそこに設定を書いてもpassengerが立ち上がらない。

詳細：
上記の通常設定はサイト訪問者が訪れたタイミングでAppArmorがアクセス制限を行う。
しかし今回はapache起動時にpassengerを立ち上げられず死んでいる。

原因：
passengerはApacheのモジュールである。
つまり、passengerを入れたことにより、Apache自体のAppArmor設定を修正する必要があった。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef