作業履歴2006年

 
 
 
  • 12/25
    • 2ちゃんねるビューア年間登録
      DAT 落ちしたスレを rep2 で取り込む為に年間登録をした

    • PHP を CURL サポート付きでリコンパイル
      rep2 で 2ちゃんねるビューアにログイン出来ない問題を受け、CURL 付きでリコンパイル 
      多くの異なったプロトコルで様々なサー バーと接続し、通信することが可能になります。
libcurl は現在 http, https, ftp, gopher, telnet, dict, file, ldap プロトコルをサポート

    • Dolphien Internet に Bフレッツ移行届け提出
      回線切り替えによる停止は発生せず。
      プロバイダ側では新しい接続設定を追加しておくだけらしい。
 
  • 12/24
    • Bフレッツ移行届け
      NTT東日本に移行届けを提出。
      予定工事日は 2007年1月15日(月)
 
  • 12/01
    • sudo 設定変更 (全ホスト) 
      キャッシュを利用せず、sudo実行時に毎回パスワードを聞く
Defaults timestamp_timeout = 0

パスワードプロンプトを変更する
Defaults passprompt = "%u@%h Password: "

visudo に使うエディタを指定する
Defaults editor = /usr/local/bin/vim

以下の変数のみを含むように環境をリセットする
HOME, LOGNAME, PATH, SHELL, TERM, USER
これらのうちで TERM だけが以前の環境からコピーされる。
他の変数はデフォルトの値に設定される
Defaults env_reset
 
  • 11/30
    • 通知メール(periodic)の変更 (FW.月桜)
      /usr/local/etc/periodic/daily に下記2つのスクリプトを追加。
      410.portversion 420.ports_updating
 
  • 11/16
    • 下記をアップデート (www)

      bind (9.3.3rc2 -> 9.3.3rc3)

      openssh (4.4p1 -> 4.5p1)

      courier-imap (4.1.0 -> 4.1.1)

      squid (2.6STABLE3 -> 2.6STABLE5)

      postfix (2.3.3 -> 2.3.4)

 
  • 11/04
    • DHCP 固定IP発行
      PRIVATE セグメント上に接続する thinkpad (MAC Address base) のアドレスを固定にした。
      また PF ルールにおいて、月桜ネット内の MS ファイル共有 (netbios-ssn) のルールの誤りを訂正した。

    • SPF レコード変更(ns.月桜)
      ドメインから送信されるメールホストの指定を変更。
      SoftFail?(それ以外からあるかもしれない)から Fail(指定ホストのみ)に変更。

    • pf のルール変更(fw.月桜)
      TCP & 外部から来るパケットも含まれるルール(TO www.月桜)は、
      keep(modulate) state から synproxy に変更。

      が、駄目駄目。
      NAT 環境では synproxy は動作しないぽい。drop されるので keep state に戻した。 
      ・synproxy
PF が対象ホストに代わり TCP ハンドシェイクを行う。
クライアントがハンドシェイクを終わらせるまで、対象ホストへパケットを送信しない。
詐称された TCP SYN flood の脅威を取り除くことが出来る。

・modullate
送出される接続の初期シーケンス番号 (ISN: Initial Sequence Number) がランダム化される。
ISN を選択する際に、単純に決定してしまうようなある種の
オペレーティングシステムから開始した接続を保護する上で役に立つ機能


  • メモリ増設(fw.月桜)
    ○○さんからまわしてもらった廃棄(?)メモリを増設。
    PC100 64MB x 2, PC100 128MB x1
    相性の問題から fw.月桜のみ増設。
    128 x 1 + 64 x 1 → 計392MB

    CPU pen3 700MHz → ディスクトップ
 
  • 10/21
    • Mail Virus & spam 対応開始
      amavisd, clamAV & spamassasin を mx.月桜 に導入。
      現在はデフォルト設定で、spam は通している。
 
  • 10/15
    • apache /cgi-bin/ 配下でのエラー(www.月桜)
      apache で /cgi-bin/ ディレクトリに setHandler cgi-script を設定していた為に、
      /cgi-bin/ 無いのファイルがすべて cgi プログラムとして扱われていた。
      その為 HTML や PHP が読めずエラーとなっていたので設定を解除した。
      また併せて通常ユーザスペースでも .htaccess を使用可能とした。

    • AWStats でメールログの解析を開始 月桜スクリプトに maillog 用のスクリプトを追加。
      logrotate (1) 用設定ファイル /etc/logrotate.d/mail-config を作成。
      また、mail.* をシステム標準の sysklogd パッケージでの管理から logrotate でのローテートに変更。
      併せてログの保存期間を1年に変更。 
      ○DAILY
# cat /etc/cron.daily/sysklogd
do
  if [ -s $LOG ]; then
     savelog -g adm -m 640 -u root -c 365 $LOG >/dev/null
  fi
done 


○WEEKLY
# cat /etc/cron.weekly/sysklogd
for LOG in `syslogd-listfiles --weekly -s mail`
do
  if [ -s $LOG ]; then
     savelog -g adm -m 640 -u root -c 48 $LOG >/dev/null
  fi
done

    • 交換したハードディスクを SAMBA 領域のバックアップディスクにした
      linux 基本領域として1パーティションのみを XFS で作成。
      基本的に SAMBA のバックアップとして使用する。
      # cat /etc/fstab
/dev/hdb1       /home/data2     xfs     rw,nouser,noauto       0       2

      また併せて backup_samba.sh スクリプトを cron に登録した。
 
  • 10/09
    • www.月桜 の ハードディスク交換
      新たに 132GB のハードディスクに交換し、OS 再インストール。
      様子を見て問題ないようなら、IBM 80GB HD をバックアップ用にする。

    • アドレス検証による spam 対応(mx.月桜)
      エンブローブ部の rcpt to: 時に実際のアドレスデータを保持するサーバに smtp でアドレスの存在を確認しにいく。 
      * main.cf

smtpd_recipient_restrictions =
   permit_mynetworks
   reject_unverified_recipient
   reject_unauth_destination

address_verify_transport_maps =
  hash:/usr/local/etc/postfix/tables/unverified_domain

unverified_recipient_reject_code = 550


* /usr/local/etc/postfix/tables/unverified_domain

tukizakura.org  :[postman.tukizakura.org]
.tukizakura.org :[postman.tukizakura.org]
hizum.net       :[postman.tukizakura.org]
.hizum.net      :[postman.tukizakura.org]
soulhack.net    :[postman.tukizakura.org]
.soulhack.net   :[postman.tukizakura.org]
 
  • 10/08
    • Secondary DNS の登録
      舞浜ネットへ、月桜と歪を登録。
      DNS の更新待ち。
 
  • 10/07
    • fw.月桜 の apache のエラー対応
      Apache2.1 の起動時に以下の警告が出ることがある.ただし Apache 2.1 そのものは見かけ上問題なく動く. 
      [warn] (2)No such file or directory: Failed to enable the 'httpready' Accept Filter

対処法は以下の通り.

/boot/loader.conf で下記を有効にする
accf_http_load="YES"

もしくは手動で読み込ませる。
# kldload accf_http.ko
       
  • openssl, openssh をアップデート及び関連品をリコンパイル (www)

    openssl (0.9.7k -> 0.9.8d)

    openssh (4.1.0 -> 4.1.1)

    apache, coulier, squid をリコンパイル

 
  • 10/01
    • debian kernel security update
      作業に伴い www をリブート。
      orz.tukizakura.org の切り替え用として fw.tukizakura.orz に
      www の orz と rsync で同期させたデータコピーと、apache をインストール。
 
  • 09/21
    • kernel の設定変更(リブート後も有効かどうかは未調査) (www)
      参照記事:日経LINUX 2006/10

      受信バッファメモリ
      /proc/sys/net/ipv4/tcp_rmem
4096    87380   174760
        ↓
8192    174760  349520

      ソケット用メモリ
      /proc/sys/net/ipv4/tcp_mem
49152   65536   98304
        ↓
98304   131072  196608

      I/O 要求キュー長 
      /sys/block/hda/queue/nr_requests(I/O キューの最大長)
128
↓
256

      ライトバック処理(ページキャッシュを後から HD に書き込み)をし、メモリ開放の準備をする 
      /proc/sys/vm/dirty_ratio(ライトバックされていないページキャッシュの割合の上限値)
40%
↓
30%

      ページ回収修理を早める(実際にキャッシュを開放する)
      /proc/sys/vm/min_free_kbytes(空きメモリ容量の下限値)
723  (実メモリ  32MB 相当)
↓
2896 (実メモリ 512MB 相当)

デフォルト値を出す計算式: 4x√マシンの総メモリ(KB)

      メモリー関連の変更/テストする場合は、/proc/meminfo 等もチェックすると良い。
 
  • 09/07
    • 下記をアップデート (www)

      bind (9.3.2 -> 9.3.3rc2)

      openssl (0.9.7j -> 0.9.7k)

      courier-imap (4.1.0 -> 4.1.1)

      php (4.4.2 -> 4.4.4)

      squid (2.6STABLE1 -> 2.6STABLE3)

      postfix (2.2.10 -> 2.3.3)

 
  • 09/06
    • Apache の設定変更 (www)
      内部からのみ参照されるページのログを "SetEnvIf? Request_URI" を使用し、 本ログから切り離した。
 
  • 08/10
    • 下記をアップデート (www.月桜)

      apache (2.2.2 > 2.2.3)

      php は pear バイナリが作成されないのでアップデートは据え置き

 
  • 07/15
    • PC 温度と FAN Speed を Cacti で監視開始。
      mbmon を使用し、取り合えずローカルの値としてデータ取得できるようにした。
 
  • 07/8
    • 夏季熱&省エネ対策に FW を停止&切り離し。涼しくなるまで単一セグメントのままで運営。
 
  • 06/28
    • 2ch 閲覧用に rep2 を導入。(www.月桜)
      rep2 用に php pear をインストール。合わせて php4.4.2 の pear のバグ(必要なデフォルト pear がインストールされない)を修正。
# lynx -source http://go-pear.org/ | php
# pear install Net_UserAgent_Mobile-beta
# pear install File
# pear install PHP_Compat
# pear install Net_URL
# pear install HTTP_Request
 
  • 06/07
    • 存在しないメールアドレスへの応答を 550 に変更。
      unknown_local_recipient_reject_code=550 (default は 450)
      これにより存在しないアドレスへの送信は即エラーが返される。
 
  • 06/06
    • PF ルール適用(要:調整)
    • router 撤去 & ルータセグメント廃止
    • mpd による PPPoE 接続開始(要:設定ファイル変更)
 
  • 06/02
    • FW.月桜 OS アップデート (6.1Prerelease > 6.1 STABLE)
    • PF 導入 (ルールセットは作成中:現在 all pass)
    • IPFW 廃止
 
  • 06/01
    • postgresql をアップデート (7.4.12 > 7.4.13)
      日本語の扱いに大幅な変更あり。
    • apache (extra/httpd-userdir.conf) の設定変更
      ユーザ CGI の権限設定が抜けていた。
 
 

05/31

  • named.root を最新な状態にアップデート
  • 上記を自動実行するスクリプト作成 & 月の初日に cron で自動実行
  • DNS に sortlist 設定を追加。
    クエリ元のクライアントによって優先的に返答するアドレスを定義する。 
     sortlist {
   {192.168.0.0/24; 192.168.0.0/24; };
   {192.168.1.0/24; 192.168.1.0/24; };
   {192.168.2.0/24; 192.168.2.0/24; };
   {192.168.3.0/24; 192.168.3.0/24; };
   {127.0.0.1/8;    192.168.0.0/24; };
 };

  • 上記変更に伴い、FW.月桜に対する FW ルール変更
 
 

05/30

  • Cacti の監視項目に誤りがあったのを訂正。(FW の HD 容量)
  • {送信ドメイン認証} 送信者側の設定(SPF)
    DNS の各 Domain に下記内容を設定。
    tukizakura.org.               IN TXT "v=spf1 mx ~all"
mx.tukizakura.org.            IN TXT "v=spf1 a -all"
ns.tukizakura.org.            IN TXT "v=spf1 a -all"

    $ dig TXT tukizakura.org
tukizakura.org.         86400   IN      TXT     "v=spf1 mx ~all"

    また合わせて、月桜.jp ドメインにおいてドメイン名で正引き出来る設定を追加。
    xn--7ovn3a.jp.                IN  A     211.132.31.38
 
 

05/23

  • robots.txt の設置 エラーログに robots.txt が取得できないエラーが大量に吐かれていて迷惑なので、 top ディレクトリに robots.txt を設置。
    User-agent: *
Disallow:
    上記のように記載すると制限せずに通常通り巡回してくれる。

  • 下記をアップデート (www.月桜)

    openssl (0.9.7i > 0.9.7j)

    postfix (2.0.9 > 2.2.4)

    proftpd (1.3.0rc2 > 1.3.0)

    bind (9.3.2rc1 > 9.3.2)

    apache (1.3.34 > 2.2.2)

    php (4.3.9 > 4.4.2)


    mysql は php4.4.2 が mysql の 5.0.20 以上に対応していない為に据え置き。

 
 

05/09

  • ukiwiki を pukiwiki から pukiwiki plus! に変更。
 
 

05/06

  • 外部からの DNS クエリーに対してのリカーシブ設定を解除。
  • セカンダリ DNS 指定を削除。
 
 

04/29

  • システムメッセージキューの変更 (FW.月桜)
    squid が以下のようなログを吐き、再起動を繰り返した後に落ちるようになった為、メッセージキューサイズを変更した。
    store.log 
    storeDiskdSend: msgsnd: (35) Resource temporarily unavailable
storeDiskdSend UNLINK: (35) Resource temporarily unavailable

    /var/log/messages
    kernel: pid 68944 (squid), uid 100: exited on signal 6 (core dumped)
squid[15364]: Squid Parent: child process 68944 exited due to signal 6
squid[15364]: Squid Parent: child process 68949 started

    OS デフォルトのキューサイズが diskd が使うキューサイズより小さかったらしい。
    /boot/loader.conf に下記を追加してリブート。
    # for squid diskd
#kern.ipc.msgmni=40
kern.ipc.msgmnb=8192
kern.ipc.msgtql=2048
kern.ipc.msgssz=64
#kern.ipc.msgseg=2048

    暫く様子を見るようにする。
 
 

04/28

  • skype 用 FW ルール追加
    from udp 37000 to any keep-state を追加。
    スーパーノードへの TCP 接続は、ランダムTCP ポート→ http → https ポートを経て、
    ブラウザの proxy 設定されているホスト&ポートに遷移していく模様。
 
 

04/23

  • blog のカスタムテーマ(Quiet Evenig)作成と適用
 
 

04/22

  • Coppermine(Web アルバム)設置
  • Apache に Coppermine 用の設定を追加
 
 

04/21

  • オンラインブックマーク(Sitebar)サービス開始を通知。
 
 

04/20

  • FW ルール変更 ステートフル(動的)ルールが正常に動作しない為、ステートフルルールを削除し、接続が確立したパケットは全て通すようにした。
    X→${IPFW} add deny tcp from any to any established
    ○→${IPFW} add allow tcp from any to any established

    合わせて TCP に対する keep-state を削除。

    tcp setup keep-state にマッチするが、その帰りが deny されるパケットが多く発生し通信に不具合を引き起こしていた。
    sysctl にて syn パケット等の応答時間を延ばしても効果が見られず、その原因は不明。
 
 

04/19

  • SiteBar のインポートバグの修正
    inc/loaders/netscape.inc.php 142行目を編集した。
 
 

04/18

  • FW ルールの適用
    IPFW のパケット処理に問題があるのか、通信は出来ているが完全に意図する通りの動作になっていない。
 
 

04/16

  • portaudhit (ports セキュリティチェック) コンフィグの編集
    データベースを proxy 経由で取得する
 
 

04/10

  • fw.月桜の vim の入れ替え
    ports インストールで思い通りに変数が渡せなかったので、LITE でインストール
  • ssh, telnet, ftp のアクセス制限の変更
    tcpwrapper と組み合わせ、内部・管理ドメイン・JPドメイン以外からのアクセスを拒否。
    また、各コンフィグファイルでアクセス出来るユーザ制限を設定した。
  • FTP デーモンをスタンドアロンから inetd 経由に変更した。
 
 

04/05

  • 新規 FW をネットワークに組み込み、ネットワーク構成を変更した。
    • OS は FreeBSD6.1 prerelease (CVSup 後の buildworld)
    • 4つのプライベートネットワーク構成
    • 各セグメントのアドレス変更
    • NIC の MTU を 1500 で統一(ルータと Intel NIC の相性が悪かった為)
    • 内部 DNS の設定から抜けてた ルータ用の ACL 変更
    • 内部 DNS の ACL 変更と正引き/逆引き変更
    • main リレー 構成を戻した (postman 〜 mx)
    • Cacti に FW 監視項目の追加 (HD とプロセス周りの取得が変?)
    • Squid の移設 (www から proxy.月桜(FW)に設置変え)
  • SiteBar をアップデート (3.3.7 > 3.3.8) - www.月桜
  • webalizer と cron の設定から squid を除去 - www.月桜
 
 

03/29

(www.tukizakura.org)

  • RRDtool と Cacti をインストール
  • Apach に CActi の設定を追加
  • MYSQL に Cacti の DB を作成
  • Cacti でのサーバ監視開始
  • fw.tukizakura.org が先日の停電の影響で(ほぼ確実に)お亡くなりに。
    長年お疲れ様でした。(ー人ー)
 
 

03/26

  • fw.tukizakura.org を ネットワークから切り離した。(OSアップデートの為)
  • 月桜内部のネットワークをプライベートネット一つのみに変更
  • ルーターの アドレス/NAPT の変更および、スタティックルートの削除
  • postman → mx へのメールリレーの設定を解除
     

    上記はFWのアップデートが終了後、元に戻す予定

 
 

03/25

  • www.tukizakura.org
    • Net-SNMP 5.3.0.1 をインストール
    • syslog に Net-SNMP 用のエントリを local ファシリティとして追加
  • fw.tukizakura.org
    • ports のアップデート
 
 

03/19

(www.tukizakura.org)

  • SiteBar をインストール
  • Apache に SiteBar の設定を追加
  • MYSQL に SiteBar の DB を作成
  • Service Uptime.com のサーバーモニタリングサービスに登録。
    フリーコースでは30分に一回のチェックのみ。
 
 

03/17

下記をアップデート (fw.tukizakura.org)

zlib (1.2.2 > 1.2.3)

openssl (0.9.7g > 0.9.7i)

openssh (4.1p1 > 4.3p1)

 
 

03/13

(全て www.tukizakura.org)

  • 月桜 domain からホスト名 nol.tukizakura.org を削除
  • Apache のヴァーチャルホストから nol.tukizakura.org を削除
  • Apache の directory Aliasと月桜 Virtual Host の設定を整理
  • Serendipity Blog 用に php.ini の設定を変更
    • magic_quotes_gpc (On > Off)
    • register_globals (On > Off) *昔のPHP スクリプトが動かなくなっている可能性有り
    • post_max_size (8M > 10M)
    • upload_max_filesize (2M > 10M)
 
 

03/11

下記をアップデート (www.tukizakura.org)

MYSQL (4.1.18 > 5.0.18)

 
 

03/05

PUKIWUKI 設置

 
 

03/04

下記をアップデート (全て www.tukizakura.org)


apache (1.3.33 > 1.3.34)

mod_ssl (2.8.22-1.3.33 > 2.8.25-1.3.34)

courier-imap (4.0.3 > 4.1.0)

courier-authlib (0.56 > 0.58)

MYSQL (4.1.12 > 4.1.18)


PHP は、4.4 がリリースされているが、apache のビルドに失敗した為に、4.3 のまま据え置き

 
 

03/03

下記をアップデート (全て www.tukizakura.org)


openssl (0.9.6g > 0.9.7i)

zlib (1.2.2 > 1.2.3)

squid (2.5.STABLE1-20021010 > 2.5.STABLE12)

bind (9.3.1 > 9.3.2rc1)

proftpd (1.2.10 > 1.3.0rc4)

openssh (4.1p1 > 4.3p1)

postfix (2.2.4 > 2.2.9)

postgresql (7.4.8 > 7.4.12)


openssl は 0.9.8 がリリースされていたが、courier-imap のビルドに失敗した為、0.9.7 でのアップデート

 
トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2009-05-28 (木) 22:41:46 (5454d)