2015.04.03

Fail2banを試す。

一年ぶり?ぐらいのLunuxネタ。
ここ最近一生懸命アクセスを試みる輩が増えている。今のところ単純な辞書アタック見たいだけど、ログにずらずらと残されるのは正直邪魔。

そんなこんなで巷で噂(?)のFail2banを入れてみたいと思います。もちろん色々面倒なんでyum様万歳です。
因みにOSはCentOS6.6
最近旧サーバーが壊れて入れ直したので7でも良かったんだけど、設定周りとか前のそのまま流用したかったので現状維持の6.6で再構築。

# yum install fail2ban.noarch

でインストール、次いでSSHに対するBanの設定

※2015/07/14編集
jail.confは将来のアップデートで上書き更新されてしまう可能性もあることから直書きではなく、jail.localに変更したい必要部分を記入することでデフォルトの設定を上書き出来るようです。

・/etc/fail2ban/jail.local

[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.0.0/24
bantime = 3600
findtime = 600

[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=you@example.com, sender=fail2ban@example.com, sendername="Fail2Ban"]
logpath = /var/log/secure
maxretry = 5

※赤字部分を適所変更。
ignoreip:BAN対象外のアドレス。複数の場合は半角スペース区切り。
bantime:BANしたときにブロックする時間。秒指定。デフォは600。
findtime:この時間内にmaxretry回数リトライでBAN。秒指定。デフォは600。
dest:通知メールを送るアドレス。
sender:通知メールの送信者に入るアドレス。
logpath:SSH接続ログの場所。OS等によって違うので注意。
maxretry:findtime指定秒数中に何回リトライしたらBANするか。

基本はこんなもん。
これで外で借りてるサーバーは問題無く楽々起動。起動しましたメールが設定したアドレスに飛んでくる。
ちなみに sendmail-whois はBANしたときに飛ばすメールに該当IPのwhois情報を記載するスクリプトなので /usr/bin/whois コマンドが必要。
無い場合はyumなんかで入れましょ。
スクリプトを見る限り /usr/bin/whois 決め打ちのようなので /usr/local/bin/whois とかな人はシンボリックで対応しましょ。

そしてその流れで家のサーバーにもインストールし、起動させるとこちらも問題無く起動して起動メールが来、、、ねぇ( ´Д`)
OSも全く同じでyumから入れたFail2banのVerも全く一緒なんだが、、、
確認すると起動はしている、ただ、起動してもブロックしてもメールが飛んでこない状態のようだ。

なんでログを確認。

fail2ban.actions.action[4345]: ERROR printf %b "Subject: [Fail2Ban] SSH: started on `uname -n`
Date: `LC_TIME=C date -u +"%a, %d %h %Y %T +0000"`
From: Fail2Ban <fail2ban@example.com>
To: you@example.com\n
Hi,\n
The jail SSH has been started successfully.\n
Regards,\n
Fail2Ban" | /usr/sbin/sendmail -f fail2ban@example.com you@example.com returned 7e00

なんか変なエラー出てる、、、( ´Д`)
しかしイマイチ当を得ない。
Google先生に聞いたりしたがこちらも実りがなく、これで丸一日ハマる。

ふと思い立ってエラーで出てるコマンドをそのまま叩いて見る。
、、、ちゃんとメールが飛ぶ。

もしやと思い、起動コマンドを直叩きしてみる。
、、、ちゃんとメールが飛ぶ。

この時点で起動スクリプトに問題があると判断。
だが別のサーバーで動いていると言う事は書式に間違いがあるとは思えない。
そうなるとPerlなんかで良く喰らったアレだ、

文字コード or 改行コード

原因は分からないがそこあたりでおかしい可能性が高い。
もうめんどくさいので起動スクリプトにnkfを噛ませて流す。

# /etc/rc.d/init.d/fail2ban stop
# cd /etc/rc.d/init.d/
# mv fail2ban fail2ban.org
# cat fail2ban.org | nkf -w > fail2ban
# chmod 755 fail2ban
# /etc/rc.d/init.d/fail2ban start

よし、動いたっメール飛んだっ(キリッ
UTF8の場合なのでそれ以外の文字コードの場合は nkf のオプションで指定ネ。

しかしよく見たらエラー文の中に改行コード \n がまんま出ちゃってるじゃんYO
まぁでもあれだけじゃ気付かなかったよ( ´・ω・)

※2016/03/08追記
どうやら悪いのは文字コードではなくSELinuxだった模様。無効にし忘れてた。
CentOS5ではインストール時に有効無効選べた気が済んだけどな、、、
なので上記みたいなエラーが出てメールが飛ばなかったり、fail2banとは関係無いですが「手動では動くのにcronに仕掛けると動かない」とか言う症状の場合はSELinuxが有効になっていないか確認しましょう。

あと起動スクリプトをいちいちフルパスで入れるのは癖なんで気にしないで下さい。

2013.08.14

ServersMan SIM 3G 100 が LTE にメガ進化

PS Vitaとサブスマホ用に契約しているDTIの ServersMan SIM 3G 100 が LTE対応になって ServersMan SIM LTE 100 になると言うメールがが7月末にあった。
LTE対応機種使ってないからいいやー、と思っていたらどうやら強制切替だったらしく、いきなり発送しましたメールが来てびびったw
そして昨日と一昨日別々に届いた。なぜか後から契約した方が早く届いたけどw

因みにLTE未対応で3Gのみの機器でもLTE対応SIMは問題無く使えます。
まぁそうで無かったら強制全交換なんて出来ないでしょうが。

そんなこんなでPS VitaにぶっさしてAPNが変更になってるので届いたカードの通りに設定していざネットワーク接続テスト。
PS Vita – DTI SIM速度2
何度か試したところ上りは相変わらず微妙ですが、下りはこの速度を割と出してる感じですね。あと事前に仕様をちょっと見たんですが、思った通りNATがタイプ2になっちゃってますな。まぁ、3じゃないだけいっか。

ついでに実効速度状況のグラフを見に行ったところどうやらまだLTEの方のグラフは準備中の模様。

■Today
DTI SIM トラフィック – 201308142000 Today
なんか、前に見たときより速度のブレが少ない気がする。

■Weekly
DTI SIM トラフィック – 201308142000 Week
weeklyで見ると多少下がってる日はあるがそれでも50kbps以上は保っている模様。LTEの方に移行したりして多少空きが出来たんだろうか。
グラフを毎日見てたわけじゃ無いから何ともだけどw

PS Vitaも3G版がもう在庫が無くなっていってる感じだしこのままWifiのみになっていくのかなぁ。テザリングが出来るわけだしGPSも現状そんなに有効活用されてない気もするし。
ここでまさかのLTE対応版の発表、、、とかまさかねー(´∀`*)

2013.07.21

SI CAPTCHA Anti-SpamのVerを上げたら

コメント投稿などの際にはスパム抑制のための画像認証に
SI CAPTCHA Anti-Spam
を使用しているのだが、この間Verを上げたら
Unreadable CAPTCHA token file
と出て認証出来なくなった。
どうやら認証用のディレクトリに書き込み出来ていないらしい。

特にパーミッションを変えたりはしていないので前の構成と見比べてみたところ、前までは認証画像用にtempディレクトリのパーミッションを上げておけば良かったのだが、どうやら新しいバージョンからtempではなくcacheディレクトリに変わった模様?

プラグインのディレクトリ内、
/si-captcha-for-wordpress/captcha/cache
のパーミッションを適切に設定したらちゃんと動作しましたとさ。

2013.04.29

Windows Live Messenger から Skype へ

そういえばとうとう Windows Live Messenger アプリではログインが出来なくなったようですね。今さらですけど。
私は Pidgin を使っているので全く気付きませんでした。
純正ソフトはダメで互換ソフトだとログイン出来るんですねw

Skype のアカウントも持ってはいるんですが、複数あるのでどれと紐付けようかなぁ、、、悩みどころ。

Pidgin もプラグインで Skype と連携できるから現状でも全く困ってないんですけどね。
もし Pidgin でもログイン出来なくなったらその時考えましょう。

2013.04.27

TVersityでNASのファイルを参照させる

うちではPS3やXbox360へのDLNA配信には TVersity を使っている。
前に取り上げた FUPPES は、当時サーバー機がLinuxしかなかったために使ってたけど、今はWindowsが居るのでこっそり TVersity に乗り換えましたw
で、TVersity が動作しているPCはXPだったのだが、最近Windows7のライセンスに余りが出たのでOSを入れ替えることに。

TVersity はVer2.xからライセンス登録が必要になってしまったので、完全フリーな1.9.7を使用。
取っておいて良かった。

設定なんかはインストールディレクトリにDBファイルで格納しているらしく、取り敢えず丸ごとコピーしてからインストールしたら問題無く設定が反映された。

しかし、いざ稼働させてみると、NAS側のファイルが全く登録されない。
以前にも同じ症状になった覚えがあったので、覚え書きファイル倉庫を漁ったらあったあった。
NASには一応、Windowsのログオンユーザーに対して認証をかけているため、それ以外のユーザーではアクセスが出来ない。TVersityはローカルスシステムユーザーの権限で動作しているためNAS内のファイルを読み取ることが出来なかったようだ。

これを回避するには
コントロールパネル-> 管理ツール -> サービス
から「TVersity Media Server」のプロパティを開き「ログオン」タブに移動。
アカウント」にチェックを入れ、NASにアクセス権限のある(ローカルやドメイン)ユーザーとそのパスワードを入力し、OKを押下。
これで TVersity Media Server を再起動すれば設定したユーザーでサービスが動作するため、NASへアクセスが出来るようになる。

ちなみにNASへのアクセス許可が Everyone ならこんな事しなくていいと思う。

PS3で確認したところ、ちゃんと反映されて再生も出来ましたとさ。

2012.12.08

イオンSIMとDTI ServersMan SIMをPS Vitaで比べる

DTI ServersMan SIM のSIMが届きました。
先週末に最短配送で申し込んで金曜に届いたので、概ね5営業日での到着ですね。

イオンSIMとDTI SIM

先に試したのはDTIですが、取り敢えずイオンSIMの結果から。
こんな時PS Vitaが二台あれば同時にテスト出来るのですが、残念ながらPSPが2台あるだけなのです。

(さらに…)

2012.12.05

【2重ルーター】無線LAN導入にありがちな罠【DHCP】

PS Vita周りのことを調べてると、ちょくちょく見かけるのが無線LAN接続がうまくいかないという話。NATタイプがどうしても3になってしまうとかありがちですね。
内容を見てるとその殆どが、後から無線LANルーターを追加導入した事による2重ルーター状態が原因のようです。

まぁ正直環境によりけりなので、これが正解!ってのは無いのですが、取り敢えず簡単にずらずら書いてみます。

(さらに…)

2012.12.04

【結局】ServersMan SIM 3G 100【契約】

そんなこんなでDTIの ServersMan SIM 3G 100 も申し込んでみた。
もちmicroSIMで。

イオンSIMとの違いとしては速度が100Kbpsって事の他に、ネットワークへの接続がどうも直接接続らしい(未確認)。いわゆるNATタイプが1と言う事(イオンSIMは3)。
プロトコルに関しても特に制限は無いようなので、Skypeや050Plus等の通信アプリも使用可能らしい。
VPNもいけるんだろうか?重すぎて使い物にならないかもだが。

もう結構検証動画が上がっているのである程度は把握してるつもりだけど、やっぱり実際に触ってみないと分からないよねー

ってことで契約したのよ。
無駄遣いじゃ無いのよ。
飽くなき探究心がスキルアップと仕事に繋がるんですのよ。

早く届かないかなー(ノ)・ω・(ヾ)ムニムニ

2012.12.03

イオンSIMの速度(REGZA Phone T-01C)

いくら何でも遅すぎるんじゃ無いかと、試しに昔使ってたスマホにイオンSIMを突っ込んでみた。
APNを設定し、取り敢えず適当なwebを巡回してみる。

おや、そんなに重くないぞ?
少なくとも30Kbpsとか言う低速の感じでは無い。

試しにWebの回線速度計測をしてみる。

1.NTTPC(WebARENA)1 : 129.58Kbps(16.1KB/sec)
2.NTTPC(WebARENA)2 : 141.17Kbps(17.55KB/sec)

( ´・ω・)?

何度やってもこれに近い数字が出ます。
これはひょっとしてPS Vitaか、PS Networkまでの回線が悪いんですかね。

うーん、DTIのSIMが届いたらこの辺りももう一度検証してみよう。

2012.12.02

イオンSIMの速度(PS Vita)

数回だけ50Kbps台を出したんだけど、概ねどの時間帯も下り25Kbps前後。
全く使えないと言うほどではないですが、ちょっと常用するには厳しい数字。まぁ試しに使ってみたかっただけなのでいいんですけどね。

でもさ、ベストエフォートって「最善努力」って意味で「最大の結果を得られるよう努力する」と言う事なので、通信事業の場合は若干意味合いは変わってくるがいくら遅くなっても構わない、という事でも無いんだがな。

さて、折角だからDTIの ServersMan SIM 3G 100 も試してみようかな。

実家のプロバイダがDTIだった気がするけど、アカウント情報知らないから新規契約でいいや。
こっちの具合が良かったらイオンSIMはひと月かふた月で解約だなwww

こんな事してるから金が無いんだな、きっと、、( ´Д`)

Next »