えいとぴーくす トピックス http://111.68.180.102/blog/ えいとぴーくす オフレコ トピックス ja Nucleus CMS v3.64 © Weblog http://backend.userland.com/rss http://111.68.180.102/blog/nucleus/nucleus2.gif えいとぴーくす トピックス http://111.68.180.102/blog/ Netatalkで外部ストレージ http://111.68.180.102/blog/?itemid=124

Linuxサーバーを、Macintoshの外部ストレージに

Macintoshの共用フォルダと言えばNetatalk


サーバーでnetatalk を確認する。
# aptitude show netatalk
パッケージ: netatalk
状態: インストールされていません
バージョン: 2.1.2-2
優先度: 特別
セクション: net
メンテナ: Jonas Smedegaard

Netatalkをインストール

# aptitude install netatalk
以下の新規パッケージがインストールされます:
cracklib-runtime{a} libcrack2{a} libpam-cracklib{a} libreadline5{a}
netatalk rc{a}
更新: 0 個、新規インストール: 6 個、削除: 0 個、保留: 43 個。
1,834 kB のアーカイブを取得する必要があります。展開後に 5,210 kB のディスク領域が新たに消費されます。
先に進みますか? [Y/n/?]
..............................
..............................
..............................
netatalk (2.1.2-2) を設定しています ...
Starting Netatalk services (this will take a while): cnid_metad afpd.

以上でサーバー側(debian GNU/Linux -6.0.2.1 Squeeze)のインストールは終了。

Macintoshから接続する

... Mac mini G4 MacOS X 10.4.11
アップルメニューの「移動」から「サーバーへ接続」をクリック
MacOS X 10.4.11の画面。
サーバーに接続
MacOS X 10.6.8の画面。サーバーに接続


サーバーのアドレスを入力する。この場合は「afp://192.168.0.21」。
ついでに「よく使うサーバー」に登録。
MacOS X 10.4.11の画面。
サーバーを指定
MacOS X 10.6.8の画面。サーバーを指定


接続するユーザ名を要求される。
サーバーに登録してあるユーザIDとパスワードを入力する。
Netatalkで接続

「Home Directory」が表示されるのでクリックする。
Netatalkで表示

ユーザのディレクトリの中身が、Finderと同じように表示される。
MacOS X 10.4.11だと左の欄に、デバイスとして「Home Directory」が表示される。デスクトップにもアイコンが現れる。
MacOS X 10.6.8では、共有フォルダとしてウィンドウが開くだけ。ディレクトリの中身

フォルダの表示を「リスト」にしてみる。
リスト表示

ファイルをサーバーに入れてみる。
MacOS X 10.4.11の画面。
ファイルをサーバーに入れる
MacOS X 10.6.8の画面。
MacOS X 10.6の画面

これで、サーバーの「共有フォルダ」を、同じユーザIDで接続するMacintoshすべてで共有することができる。
個別のユーザIDを使えば、他人に覗かれないユーザ個別の外部ストレージとなる。

debian GNU/Linux -6.0.2.1 Squeezeでは、netatalk (2.1.2-2)のdefaultで Macintoshから接続できた。

debian GNU/Linux -6.0.2.1 Squeeze
MacOS X 10.4.11、10.6.8


同じフォルダを、sambaでwindowsの共有フォルダに指定すれば、WindowsとMacintoshの双方からアクセスすることができる。

Windowsの共用フォルダと言えばSamba


# aptitude install samba
以下の新規パッケージがインストールされます:
libavahi-client3{a} libavahi-common-data{a} libavahi-common3{a}
libcups2{a} libtalloc2{a} libwbclient0{a} samba samba-common{a}
samba-common-bin{a}
更新: 0 個、新規インストール: 9 個、削除: 0 個、保留: 43 個。
14.4 MB のアーカイブを取得する必要があります。展開後に 41.3 MB のディスク領域が新たに消費されます。
先に進みますか? [Y/n/?]

いつもながら、簡単この上なく...Debianの皆さんに感謝。

]]> ネットとサーバー http://111.68.180.102/blog/?itemid=124 Wed, 30 Nov 2011 18:38:28 +0900 Youtubeの1分 CM http://111.68.180.102/blog/?itemid=122

掲載料なしで流せる TV CM


百聞に勝る一見の映像宣伝

パチンコのCM満載になってその「権威」が落ち続けているテレビCMだが、一方インターネットでは、新たな動画CMが流され始めている。   


テレビを超えた Youtubeの1分 CM


最近増え始めているのが、Youtubeなどの動画サイトに企業宣伝の動画を流す動きである。

会社の設備や製造工程が流れ、社長がアップで「我が社の誇りは◯◯です」などと訴える映像は、今まではテレビCMでしか流すことはできなかった。

だがインターネットを利用すれば、こんなことは簡単に実現できるのである。
Youtubeを初めとする動画サイトに動画を掲載するだけでいいのだ。

「御社はどう行ったらいいですか」と会社の場所を聞かれ、
「Google Mapで会社名を検索してください。赤い風船がでますから」と応えるのは、もはや当たり前のようになっている。
昨今は、Google Mapに登録もできないようでは、21世紀の企業としてはいかがなものかということなのだろうか。

同様に、「どんな製品があるんですか」と聞かれ、
「Youtubeで社名を検索してください」と応える時代になって来ているのかもしれない。
Youtubeは、掲載料なしで流せる TV CM です。
制作費も極めて安価。抜群の企業宣伝力とコストパフォーマンスを誇ります。
ネットCMは、30秒から1分程度。Youtube向けCM の企業、製品・商品紹介は、1分前後が標準品。
目的は視聴者から、問い合わせ、引き合いをいただくことです。
もちろん訴求力があるCMを作るには、コツがあります。



]]> 映像・動画 http://111.68.180.102/blog/?itemid=122 Tue, 16 Feb 2010 15:52:28 +0900 LennyでGumblar対策 http://111.68.180.102/blog/?itemid=121

hosts.denyと hosts.allowで侵入阻止


ガンブラー(Gumblar)を門前払いする

ガンブラー(Gumblar)でFTPのパスワードを盗まれ、サイトに不正アクセスされて書き換えられる被害が目立っている。
Gumblarが関わる手口は、おおよそのところ
  • パソコンにTROJ_DROPR.GBが、潜り込む。
  • TROJ_DROPR.GBは、TSPY_KATES.SMOD(カテス)というプログラムを作り、レジストリを書き換えたあと消滅する。
  • TSPY_KATES.SMODは、ネットワークのトラフィックを盗み見て、webサイトの管理パスワードを 193.104.12.20、210.51.166.228、67.212.81.67、91.215.156.74などに送信する。
  • 盗んだパスワードでサイトにアクセスし、webページを改ざんしてウイルス(Gumblarというプログラム)を仕掛ける。
  • 改ざんしたwebページを表示するとウイルスに感染する。
といったものだ。
大手企業などのサイトの書き換え被害が明らかになっているが、パスワードを盗まれてもFTPでサーバーにアクセスできなければ、webページを書き換えられることはない。

TCP Wrapperの設定

TCP Wrapperの設定で FTPのアクセスを制限し、サイトの意図しない書き換えを防ぐことができる。

TCP Wrapperは、inetdで起動されるサービスに対するアクセスをportごとに制御したり、通信履歴をとることができるソフトウェアで DebianではDefaultでinstallされている。
inetdで起動されるサービスはinetd.confに記載されており、 hosts.deny、hosts.allowファイルにこれらのサービスのアクセスを許すドメインやホストを指定することで、危険なホストからのアクセスを遮断することができるようになる。

基本的な設定は、hosts.denyですべてのサイトのアクセスを不許可にし、hosts.allowで指定したホストだけアクセス可能にするというやり方だ。

hosts.denyの設定

ALL:ALL

hosts.allow の設定

ftpの接続許可を指定するなら次のようになる。
proftpd:      .sample.or.jp      EXCEPT PARANOID
      ↑ sample.or.jpからのftpのアクセスを許す
proftpd:      .sample.com      EXCEPT PARANOID
      ↑ sample.comからのftpのアクセスを許す
proftpd:      192.168.10.0/255.255.255.0      EXCEPT PARANOID
      ↑ 192.168.10.0-255からのftpのアクセスを許す

sshd: .plala.or.jp EXCEPT PARANOID
#in.telnetd: 202.414.256.456/255.255.255.240
      ↑ telnetを利用したい時はコメントを外す
telnetを、ネットワーク内だけでは許す設定もできるが、不要なサービスは少ない方が危険が少なくなる。メールサーバーのテストで使うこともあるが、Debianのパッケージの導入は aptitude install telnetd-sslでできるのだから、普段は消しておいたほうが確実だろう。

これらの設定はサーバーインストール時に接続するユーザのipアドレス、ドメインに合わせて行なう。ユーザのISPの変更があればそれに合わせて hosts.allowの記述を変える。細かい設定をすると運用が大変になるので、ドメインなど包括するような範囲で制限するのがいい。

上記の場合、sample.or.jp、sample.com以外からftpの接続できない。
たとえ正規のユーザ名とパスワードを使っても、sample.or.jp、sample.com以外からは、サーバーにアクセスできなくなるということである。

設定の確認は、tcpdmatch 、tcpdchkで行う。
sshdは inetd.confに記載されていないので TCP Wrapperの対象外になる。

この設定では、サーバーにアクセスしたとき接続を拒否されるが、ルーターでフィルタリングすれば、ネットワークに入る前に弾くことができる。

Gumblarの変異にも対策

サイトの書き換えはこの方法で対策できるが、FTPのパスワードを盗まれることを阻止できるわけではない。

今のところ Gumblar関係はサイトの書き換えでマルウェアを読み込ませる手口だが、パスワードを売り渡したり、セキュリティの甘いサーバーから重要なデータを盗み出して売ったりするケースも考えられる。
sslで送信される銀行やカードなどの情報を盗み、クラッキング辞書などで解析し、そのユーザに成りすます犯罪もありうる。

FTPのアクセスログ、syslogなどを定期的にチェックし、あやしいアクセスに注意する必要がある。



]]> ネットとサーバー http://111.68.180.102/blog/?itemid=121 Sun, 10 Jan 2010 18:57:19 +0900 phpメールが文字化け http://111.68.180.102/blog/?itemid=120

phpで送信するmailが突然文字化け

php scriptで送信していたメールが突然文字化けした。
最初に動かしたのは 6年ほど前で、以後メール送信部分に変更はなかった。scriptが動いているsystemは、昔は debian woody、debian sarge、debian etch、そして今は debian lennyだ。
メールが化けたクライアントの環境は、Windows XP、Outlook express 2006である。

文字化けは1台だけ?

文字化けとなるメールを開いた時のクライアントのメーラーのエンコードは「西ヨーロッパ言語(Windows)」になっていた。 「日本語自動選択」にエンコードを指定すると文字化けは解消される。
[ツール] -> [オプション] -> [読み取り] -> [フォント] のエンコードは「日本語自動選択」が指定されていた。

文字化けしているクライアントと同じ環境を用意し、文字化けメールを受信して開くと日本語で正常に表示された。エンコードは「日本語自動選択」となっている。
他のメーラーで同じメールを開けてみたが、すべて文字化けせずに表示された。

いろいろ試したが、以下をヘッダに記述することで解決した。
Content-Type: text/plain; charset="iso-2022-jp"
ダブルクォーテーションでくくるのがキモ。
さまざまな文字コードのページが動いているサーバーのため、phpなどの初期設定はセキュリティ関係を除いて defaultのまま。文字コードの指定は個別のページ側で行っている。

EUC-JPで記述している scriptのとき
mb_language('Japanese');
mb_internal_encoding("EUC-JP");

$subject = Mb_convert_encoding($subject,"JIS","EUC-JP,UTF-8,auto");
$subject = mb_encode_mimeheader($subject);

$body = Mb_convert_encoding($body,"JIS","EUC-JP,UTF-8,auto");

SEND_mail("user@examole.jp",$subject,"X-mailer: PHP Scrip001 ¥nContent-Type: text/plain; charset=¥"iso-2022-jp¥"¥n",$body);

UTF-8で記述している scriptのとき
mb_language('Japanese');
mb_internal_encoding("UTF-8");

$subject = Mb_convert_encoding($subject,"JIS","UTF-8,EUC-JP,auto");

$body = Mb_convert_encoding($body,"JIS","UTF-8,EUC-JP,auto");

SEND_mail("user@examole.jp",$subject ,"X-mailer: PHP Script002".chr(0x0A)."Content-Type: text/plain; charset=".chr(0x22)."iso-2022-jp".chr(0x22).chr(0x0A),$body);
関数SEND_mail()は自作のメール送信script。
    function SEND_mail($to,$subject,$headers,$message)
SMTPを載せていないサーバーでメールを送信するための fsockopenを使ったもの。


]]> ネットとサーバー http://111.68.180.102/blog/?itemid=120 Mon, 21 Dec 2009 17:38:00 +0900 Postfix メール転送 http://111.68.180.102/blog/?itemid=119

Postfix バーチャルとOB25

virtual userを記載したファイルを作り、main.cfで、 virtual_alias_maps = hash:/etc/postfix/virtualのようにファイルを指定する。
virtualuser1@example.jp
    realuser1
virtualuser2@example.jp
    realuser1,realuser2
realuser3@example.jp
    realuser3,realuser4@example.com
realuser3@mx2.example.jp
    realuser3,realuser4@example.com
実ユーザ名を書いて、実ユーザ本人と別アドレスの転送もできる。.forwardをユーザごとに書くより virtual_alias_mapsに一括して書いた方が管理が楽になる。

ファイルを更新したら、
# postmap /etc/postfix/virtual
Postfix 2.xでは、vmailbox、vuid、transportなどの指定を行わなくても、virtualが使えるようになった。


Submission OB port25

master.cfの 587に関する記述を確認する。
# =========================================
smtp inet n - - - - smtpd
submission inet n - - - - smtpd
-o smtpd_tls_security_level=may

-o smtpd_sasl_auth_enable=yes
      ↑ main.cfで指定する

main.cfに記述を追加する。
smtpd_client_restrictions =
     reject_unknown_client
     check_client_access hash:/etc/postfix/reject_client
     permit_mynetworks
     permit_sasl_authenticated
warn_if_rejectをつけてもよい。

設定を変えたら、
# /etc/init.d/postfix restart


端末 -> サーバー -> 中 & 外 587を使って送信テスト

接続、非接続をテストする。
$ telnet localhost 587

Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 host.example.jp ESMTP Postfix (Debian/GNU)
EHLO local
250-host.example.jp
250-PIPELINING
250-SIZE 10240000
250-VRFY

250-ETRN
250-STARTTLS
250-AUTH GSSAPI LOGIN PLAIN CRAM-MD5 DIGEST-MD5
250-AUTH=GSSAPI LOGIN PLAIN CRAM-MD5 DIGEST-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
VRFY 587username   <- 確認
252 587username

VRFY userNone587   <- 確認
550 <userNone587>: User unknown
quit
221 2.0.0 Bye
Connection closed by foreign host.
ISP等の別ネットワークからサブミッションポートを介して接続し、メール送信ができることを確認する。

実験で生まれたゴミメールを片付ける

メールキューの確認。
# mailq

-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
7E6FF35B57 314 Wed Oct 7 18:02:10 root@example.jp
(connect to lsean.example.jp[[257.088.500.600].400.500.600]:25: Connection timed out)
testuser@example.jp

A133635B60 305 Wed Oct 7 19:04:12 root@example.jp
(connect to lsean.e.example.jp[257.044.500.600]:25: Connection timed out)
いらないメールを削除する。
# postsuper -d 7E6FF35B57

postsuper: 7E6FF35B57: removed
postsuper: Deleted: 1 message
postsuper: A133635B60: removed
postsuper: Deleted: 1 message

設定が終わったら状況を確認する。
# postconf -n


Apacheの設定や、hostsallowの設定や、proftpd、sshや、そのほかの穴ふさぎの設定もしなければなりません。wordpressやnucleusの置き方もあるし。
さらに続く

]]> ネットとサーバー http://111.68.180.102/blog/?itemid=119 Mon, 14 Dec 2009 16:59:00 +0900 Postfix Spam対策 http://111.68.180.102/blog/?itemid=118

Open Relayと Spam対策の最初

Spamerの手口を知る

mail Headerからわかる情報
例 1     コソコソspamer
Received: from heatrace.net (unknown [113.20.174.65])by host.example.jp (Postfix) with ESMTP id for <authuser@example.jp>; Fri, 9 May 2008 01:55:56 +0900 (JST)
2001 03:17:12 +0900 (JST)

例 2     一応ごまかすspamer
Received: from ksbon.info (unknown [218.240.41.188])by host.example.jp (Postfix) with ESMTP id for <authuser@example.jp>; Mon, 11 Aug 2009 01:42:53 +0900 (JST)

例 3     確信犯spamer
Received: from ks2473.kimsufi.com (ks2473.kimsufi.com [91.121.25.168])by host.example.jp (Postfix) with ESMTP id for <authuser@example.jp>, 4 Jun 2009 12:17:12 +0900 (JST)
「Received: from」に続く「ks24736.kimsufi.com [91.121.25.168]」が送信ホスト名とIPアドレスとなる。
DNSに登録しないオレオレメールサーバーを勝手に接続すると(unknown [113.20.174.65])のようになる

/etc/postfix/main.cf

smtpd_sender_restrictions でメールの送り主、smtpd_client_restrictionsで SMTP接続を要求するクライアント、mtpd_recipient_restrictionsでメールの送り先の規制をする。
smtpd_sender_restrictions =
     reject_unknown_sender_domain
     check_sender_access hash:/etc/postfix/reject_sender
     permit_mynetworks
smtpd_client_restrictions =
     reject_unknown_client
     check_client_access hash:/etc/postfix/reject_client
     permit_mynetworks
smtpd_recipient_restrictions =
     permit_sasl_authenticated
     reject_unauth_destination
     permit_mynetworks
記述の順番に注意する。先に全部 rejectしたら後は許可されない。
warn_if_rejectをつけてもよい。

ファイルを更新したら、
# postmap reject_sender

拒否を行うためのリスト reject_sender、reject_clientは、
spamer.net.br     REJECT
adsl.spamer.pl     REJECT
spamer.co.th     REJECT
spamer.co.uk     REJECT
spamer.com     REJECT
spamer.net.tw     REJECT
spamer.com.ar     REJECT
spamer.net.il     REJECT
spamer..pl     REJECT
spamer.com.sg     REJECT
spamer.net     REJECT
などのように記述する。


さらに続く。

]]> ネットとサーバー http://111.68.180.102/blog/?itemid=118 Mon, 30 Nov 2009 01:10:00 +0900 debianで Postfix http://111.68.180.102/blog/?itemid=112

debian GNU/Linux Postfixのインストール

eximを追い出してPostfixを installする

# aptitude install postfix
インストールの途中で、「メール設定の一般形式の設定」を行う。

Etchまでは、exim4-config conflicts with postfix から始まって、exim4-base、exim4-daemonなどの依存関係やコンフリクトで結構面倒だったが、Lennyではaptitude一発でPostfixのインストールができるようになった。

Post Office Protocol server (POP3)

確認
# aptitude show qpopper
なければ導入する。
procmailもあるとよい。
IMAPを使うならば courier-imap、courier-imap-sslをインストールする。IMAPを使うと、Gmail、Yahoo! mailのようなブラウザで送受信するメールが扱える。

送受信テスト

hostから外部へのメール送信を行う。
user@debian:~$ mail somebody@example.com
Subject: test mail
~v  <-  viにはいる
Today it's fine.
<ESC>:wq  <-  viから抜ける
<control -d>  <-  mailを終了する
Cc:
途中で vi に行くと長い文を書くのが簡単。
unixの授業でみんな遊んだ mail。大概、学外にも飛ばせたもんだ。

端末、外部ネットワークから登録ユーザ、バーチャルユーザ(あれば)が、メール送受信できることを確認する。

popauth

APOPのための設定
# popauth -init   <- 認証データベースファイル(/etc/pop.auth)の作成

      username     : APOP  
外部のネットワークからAPOPで受信認証し、メール受信できることを確認する。

SMTP Auth

main.cfに追加
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname

sasl2認証テスト
# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 host.example.jp ESMTP Postfix (Debian/GNU)
EHLO local   <- 入れる
    EHLO localhost   <- これでも同じ
    EHLO host.example.jp   <- これでも同じ
250-host.example.jp   <- 以後の個別動作確認で問題になる
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS   <- TLSが動いている
250-AUTH DIGEST-MD5 CRAM-MD5 LOGIN PLAIN NTLM
        ↑ SMTP AUTHが動いている
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
Connection closed by foreign host.

認証用の文字列を用意する。
printf 'username¥0username¥0userpasswd' | mimencode
edgeyfhcskdielgqldcjhyecrdhseJHbsge-:-)
使用する端末の文字コードの設定で、文字の表示が異なる場合がある。

MacOS X tarminalの文字セットエンコーディングと表示の例

    dGVzdDgAdGVzdDgAa2l0YTgydHR0dA==   <- これが正解の文字列のとき
   dGVzdDjCpTB0ZXN0OMKlMGtpdGE4MnR0dHQ=  <- UTC−8のとき
   dGVzdDg/MHRlc3Q4PzBraXRhODJ0dHR0  <- EUCのとき
   dGVzdDhKXEIwdGVzdDhKXEIwa2l0YTgydHR0dA==  <- ISO2022-jpのとき
   dGVzdDgAdGVzdDgAa2l0YTgydHR0dA==  <- s-jis
作る時に端末のtarminalの文字セットエンコーディングを s-jisにするとよいようだ。

# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 host.example.jp ESMTP Postfix (Debian/GNU)
EHLO local
250-host.example.jp
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH DIGEST-MD5 CRAM-MD5 LOGIN PLAIN NTLM
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
AUTH PLAIN edgeyfhcskdielgqldcjhyecrdhseJHbsge-:-)   <- 入力する
235 2.7.0 Authentication successful   <- 認証成功
quit
221 2.0.0 Bye
Connection closed by foreign host.
外部のネットワークから、送信認証をしてメール送信できることを確認する。

さらに続く

]]> ネットとサーバー http://111.68.180.102/blog/?itemid=112 Thu, 22 Oct 2009 14:25:43 +0900 debian installer 後半 http://111.68.180.102/blog/?itemid=109

debian GNU/Linux Lennyをインストールする2

パッケージマネージャの設定

パッケージを読み込むサイトを指定する。
お勧め通り自国を指定すると、自国にあるミラーホスト ftp.jp,debian.org がアーカイブミラーのサイトに推奨される。どのサイトでも構わない。
プロキシサーバーを使っている時は、そのproxyのアドレスを入力する。
...aptの設定がはじまるのでしばらく待つ。

ソフトウェアの選択とインストール

配布CDの構成のために、パッケージの利用状況の統計をとる「popularity-contest」に参加するか聞かれる。
ここで「No」を選択しても、

を実行すると変更ができる。

ソフトウェアの選択

「デスクトップ環境」... GUI環境 GNOME 2.22
「ウェブサーバ」 ... apache2が入る。
「印刷サーバ」 ... 
「DNSサーバ」 ... bind9が入る。
「ファイルサーバ」 ... sambaとかnetatalkとかが入るかも。
「メールサーバ」 ... eximが入る。指定しなくてもeximは入るのだが...?
「SQLデータベース」 ... postgresqlが入りそう
「ラップトップ」 ... 

「標準システム」 

今回は実験用兼スペアサーバーとして「ウェブサーバ」を選択する。


ハードディスクへのGRUBブート・ローダーのインストール

システムの起動時に実行されるブート・ローダーの「GNU GRUB」をインストールする
Debianだけをインストールしているなら。「はい」を選択。
Windowsを先にインストールしているなら。「はい」を選択。/boot/grub/menu.lst の設定を直せば windowsの優先起動ができる。

/boot/grub/menu.lst

# menu.lst - See: grub(8), info grub, update-grub(8)



......略..................



timeout 16       <- default で指定した OS を起動するまでの待ち時間(16秒)
......略..................


title Debian GNU/Linux, kernel 2.6.26-2-686       <- GRUB の起動画面に表示される index
root (hd0,1)       <- hda2が起動する ... Debian Lennyが入っている
kernel /boot/vmlinuz-2.6.26-2-686 root=/dev/hda2 ro quiet       <- カーネルのBoot image
initrd /boot/initrd.img-2.6.26-2-686       <- Initial Ramdisk のimage file

title Debian GNU/Linux, kernel 2.6.26-2-686 (single-user mode)
root (hd0,1)
kernel /boot/vmlinuz-2.6.26-2-686 root=/dev/hda2 ro single
initrd /boot/initrd.img-2.6.26-2-686





title Other operating systems:
root




title Microsoft Windows 2000 Professional       <- GRUB の起動画面に表示される index
root (hd0,0)       <- hda1が起動する... w2kが入っている
savedefault       <- ここで起動したら次回の起動をここにする(# savedefault=falseと連動)

makeactive
chainloader +1



パッケージがインストールされたら、CDを出して Reboot する。

]]> ネットとサーバー http://111.68.180.102/blog/?itemid=109 Wed, 21 Oct 2009 19:55:00 +0900 debianのRAID復旧 http://111.68.180.102/blog/?itemid=114

debian GNU/Linux のRAIDから不具合通知メール

RAIDに不具合が発生すると、 /etc/mdadm/mdadm.conf の MAILADDR に設定したメールアドレスに通知が届く。

Debian のRAID不具合で届くメール

X-Original-To: raidadmin@example.jp
Delivered-To: raidadmin@example.jp
From: mdadm monitoring <root@debian.example.jp>
To: raidadmin@example.jp
Subject: DegradedArray event on /dev/md2:debian
Date: Fri, 23 Oct 2009 16:29:26 +0900 (JST)

This is an automatically generated mail message from mdadm
running on debian

A DegradedArray event had been detected on md device /dev/md0.   <- md0が異常

Faithfully yours, etc.

P.S. The /proc/mdstat file currently contains the following:

Personalities : [raid1]
md4 : active raid1 sdb7[1]   <- secondaryしかない
1349312 blocks [2/1] [_U]   <- primaryが動いていない

md3 : active raid1 sdb6[1]   <- secondaryしかない
29294400 blocks [2/1] [_U]   <- primaryが動いていない

md2 : active raid1 sdb5[1]   <- secondaryしかない
497856 blocks [2/1] [_U]   <- primaryが動いていない

md1 : active raid1 sdb3[1]   <- secondaryしかない
7815552 blocks [2/1] [_U]   <- primaryが動いていない

md0 : active raid1 sdb2[1]   <- secondaryしかない
248896 blocks [2/1] [_U]   <- primaryが動いていない

unused devices:
片側のHDDが動作不良になったときは、同内容のメールが不具合が生じたアレイの数だけ届く。

RAIDに不具合が生じたときの HDD交換

不具合が生じた HDDを、新しい HDDに入れ替えて稼働させる。
installのときスペアデバイスを用意しておくと作業が簡単になる。

片肺になったとき復旧できなければ RAIDにした意味がない。Hot Swapでコケたら泣くに泣けないので一度止める。
.....Cobalt Qube では入れ替えるだけでrebootすれば再構築してくれたのだが...。
交換手順
  1. 故障したHDDをアレイから外す。
  2. shutdown する。
  3. 不具合が生じた HDDを外す。
  4. 新しい HDD(スペアデバイス)を取り付ける。
  5. 起動する。
  6. 追加 HDD に、アレイに合わせた Pertitionを切る。
  7. 追加 HDDをアレイに組込む。
  8. 同期を確認する。
  9. 追加した HDDに GRUBの設定を行う。
primaryで不具合が発生したとき、primaryにスペアデバイスを取り付けても構わない。
master(primary)でのみ bootするハードウェアならば、動作している HDD を master(primary)に入れ替え、新しい HDDを slaveに入れる。BIOSの変更で起動ディスクを変更できればそれでもいい。

不具合が発生した状態で再起動すると起動メッセージに次のような警告が現れる。
madam:/dev/md0 has been stared with 1 drive (out of 2)
madam:/dev/md1 has been stared with 1 drive (out of 2)
スペアデバイスのアレイを装着し、デバイスを追加する。
# mdadm /dev/md0 -a /dev/sda2   <- デバイスを追加する

........略........
UUID : ccad581e:255c5ff1:6c782c16:d0cdbe79
Events : 0.1057

Number Major Minor RaidDevice State
2 3 2 0 spare rebuilding /dev/sda2   <- 構成に入った
1 3 2 1 active sync /dev/sdb2
同期の状態を確認する。
# cat /proc/mdstat

Personalities : [raid1]
md3 : active raid1 sda6[0] sdb6[1]
5855616 blocks [2/2] [UU]

md2 : active raid1 sda5[2] sdb5[1]
29294400 blocks [2/1] [_U]
[==>..................] recovery = 11.6% (340416/29294400) finish=3.5min speed=19394K/sec

md1 : active raid1 sda3[0] sdb3[1]
7815552 blocks [2/2] [UU]

md0 : active raid1 sda2[0] sdb2[1]
248896 blocks [2/2] [UU]

unused devices:
HDDの作動LEDの点灯状態で、同期の終了を知ることができる。watch コマンドを使うのもいい。
# watch -n30 cat /proc/mdstat   <- 30秒ごとに mdstatを表示

まっさらなHDDを組み込むときは、fdiskでパーティションを切ってからアレイに追加する。

]]> ネットとサーバー http://111.68.180.102/blog/?itemid=114 Wed, 21 Oct 2009 18:47:00 +0900 debianで RAID http://111.68.180.102/blog/?itemid=110

debian GNU/Linux LennyでRAID

クリーンインストールでRAIDを設定する

Debian Installer で「パーティションの設定」に進んでからの説明。

「パーティションの設定」で各パーティションのサイズを設定する。
異なる容量の HDD を使う場合、RAIDは容量の少ない HDD側の最大容量に合わせることになる。あまった容量をRAIDにせず、/local、/opt、/tmpなどにしてもよい。

   大ざっぱな進め方メモ

  1. RAID 1(ミラーリング)を使うときは、「手動」で2台のHDDのパーティションを対(アレイ)になるように同じ個数、同じサイズに切る。
  2. パーティションの「利用方法」を「RAIDの物理ボリューム」に指定し、その後「マルチディスク設定アクション」の「MD デバイスの作成」でアレイにするパーティションのペアを指定する。
  3. 「MD デバイスの作成」で作った「RAID1デバイス n」にマウントポイントを設定する。

パーティションの設定

最初にRAIDでない「パーティションの設定」と同じように、希望のパーティション構成に合わせてパーティションのサイズを決める。
RAIDにしないときと異なるのは、
  • アレイにするパーティションは、各々のHDDに同じサイズに切る。
  • 「利用方法」で「RAIDの物理ボリューム」を指定する。
    「ext3ジャーナリングファイルシステム」などは選択しない。
ことである。
サイズが異なるパーティションを指定すると、アレイは容量の小さいパーティションのサイズになる。一部だけ、例えば /homeだけをRAIDにすることもできる。RAIDにしないパーティションのサイズは好みで構わない。
「RAIDの物理ボリューム」を選んだパーティションは、「MD デバイスの作成」を行ないアレイを指定してからマウントポイントを指定する。

対象のパーティションの容量が不足すると、パッケージを読み込む過程でエラーが表示され、パーティションを切り直さないとインストールができなくなる。

「パーティションの設定」ではパーティションのリサイズもできる。
「マルチディスク設定アクション」で「MD デバイスの作成」を行なったパーティションは、一旦「MD デバイスの削除」でマルチディスクデバイスを削除したあとサイズを変更する。

「RAIDの物理ボリューム」を指定すると、「ディスクのパーティシニング」のメニュー上部に、「ソフトウェアRAIDの設定」の項目が現れる。

RAIDのアレイ設定

アレイのペアになるようにパーティションの切ったら「ソフトウェアRAIDの設定」に進む。
RAIDは、偶発故障期間中は心強い対策になるが、使用状況によっては片側のHDDに不具合が出たあと、数日をまたずもう一方に不具合が生じることがある。ペアにするHDDを異なるメーカの製品にする、同じロットにしないなど、摩耗故障の対策をしておく。
LennyのRAID設定は、sargeのころの RAID設定とは作業がかなり異なる。
「マルチディスク設定アクション」メニューで「MD デバイスの作成」さらに「RAID1」「RAID1アレイのアクティブデバイスの数」に 2(default)、「RAID1アレイのスペアデバイスの数」に 0(default)を指定。さらに「RAID1マルチディスクデバイス」でアレイにするパーティションを指定する。

不具合時に交換するスペアのための HDDを接続しているときは、「RAID1アレイのスペアデバイスの数」でその数を入力する。
スペアデバイスはアレイに組み込まれない。不具合発生時に # mdadm /dev/md0 -a /dev/hdd2 などでアレイに組み込む。

GRUBを入れるパーティションは、最初にMDデバイスの設定をする。
その後、ヘッドシークの合理性に合わせて順番に指定する。

アレイを指定すると「マルチディスク設定アクション」メニューに戻るので、すべてのアレイを指定するまでこの作業を繰り返す。指定が終わったら「マルチディスク設定アクション」メニューの「完了」をクリックする。

設定が終了すると「ディスクのパーティショニング」の初期画面に戻る。

アレイの削除は「ソフトウェアRAIDの設定」を進み「MD デバイスの削除」でマルチディスクデバイスを削除する。
アレイを削除すればパーティションの変更ができる。

マウントポイントの設定

「ディスクのパーティショニング」画面に 「マルチディスク設定アクション」で指定した「RAID1デバイス 0」から「RAID1デバイス n」が追加されるので、各 RAID1デバイスに、「パーティションの利用方法」、「マウントポイント」を設定する。

作業は、従来のパーティション設定とおなじように、「利用方法」->「ext3ジャーナリングファイルシステム」、「マウントポイント」->「/usr」などの設定を行う。

「パーティショニングの終了とディスクへの変更の書き込み」をすると、installerは構成を登録しパッケージの導入に進む。

RAIDの確認

installerのrebootの後、RAIDの確認を行う。
# df

RAIDの双方の md0から起動する改造

RAIDのすべての起動パーティションから起動するための設定を行う。

installerの最後のGRUB書き込みは、RAIDの起動ディスク側(primary)の/bootにのみ行われる。他方(secondary)の/bootを起動可能にするために、GRUBを書き込む。
md0に /bootがあることが前提。

# grub
grub> device (hd0) /dev/hdb       <- (hd0) を /dev/hdb とする
grub> root (hd0,1)       <- /boot があるパーティション(/dev/hdb1)は(hd0,0)、(/dev/hdb2)は(hd0,1)
Filesystem type is ext2fs, partition type 0xfd

grub> setup (hd0)        <- (hd0) に GRUB をインストール
Checking if "/boot/grub/stage1" exists... yes
Checking if "/boot/grub/stage2" exists... yes
Checking if "/boot/grub/e2fs_stage1_5" exists... yes
Running "embed /boot/grub/e2fs_stage1_5 (hd0)"... 17 sectors are embedded.
succeeded
Running "install /boot/grub/stage1 (hd0) (hd0)1+17 p (hd0,1)/boot/grub/stage2
/boot/grub/menu.lst"... succeeded
Done.

grub> quit
「/」の中に"/boot"があるときは"/boot/grub/stage1"。"/boot"でパーティションを切っているときは、"/grub//rub/stage1"になる。

RAIDに不具合が生じた時 mailで連絡する設定

片肺になっても不具合発生を知らなければ危機管理はボロボロである。
RAIDに不具合が生じたとき、警告を受け取れるよう設定する。
# cat /etc/mdadm/mdadm.conf
.......略........


MAILADDR username@example.com <-これ変更
不具合が発生すると次のようなメールが届く。
X-Original-To: raidadmin@example.jp
Delivered-To: raidadmin@example.jp
From: mdadm monitoring <root@debian.example.jp>
To: raidadmin@example.jp
Subject: DegradedArray event on /dev/md2:debian
Date: Fri, 23 Oct 2009 16:29:26 +0900 (JST)

This is an automatically generated mail message from mdadm
running on debian

A DegradedArray event had been detected on md device /dev/md0.   <- md0が異常

Faithfully yours, etc.

P.S. The /proc/mdstat file currently contains the following:

Personalities : [raid1]
md4 : active raid1 sdb7[1]   <- secondaryしかない
1349312 blocks [2/1] [_U]   <- primaryが動いていない

md3 : active raid1 sdb6[1]   <- secondaryしかない
29294400 blocks [2/1] [_U]   <- primaryが動いていない

md2 : active raid1 sdb5[1]   <- secondaryしかない
497856 blocks [2/1] [_U]   <- primaryが動いていない

md1 : active raid1 sdb3[1]   <- secondaryしかない
7815552 blocks [2/1] [_U]   <- primaryが動いていない

md0 : active raid1 sdb2[1]   <- secondaryしかない
248896 blocks [2/1] [_U]   <- primaryが動いていない

unused devices:


実際に RAIDが片肺で起動するか確認

RAIDにしたつもりでも、実際にRAID動作していない、不具合が出たとき shutdownしたら再起動できないでは意味がない。
RAID 1が設定され、いずれのHDDからでも bootできることを確認する。
稼働中に片肺になっても稼働すること、片肺状態で、生きている HDDで再起動できることを確認する。

hda(sda)の電源を外し起動することを確認する。
PCによっては primary/master HDDでしか起動しないものがある。
IDEなら hdbのモードを cable select(slave)から masterに変更し、起動できることを確認する。SCSIは ID か primary/secondaryの指定を変えて確認する。
HDDが1台では起動しないハードウェアもある。その場合は2台のHDDを接続してテストする。

RAIDに不具合が生じたときの HDD交換

片肺になったとき復旧できなければ RAIDにした意味がない。
不具合が生じた HDDを、新しい HDDに入れ替えて稼働を続けたい。

さらに debianのRAID復旧 に続く。
debian GNU/Linux Lenny

]]> ネットとサーバー http://111.68.180.102/blog/?itemid=110 Wed, 21 Oct 2009 17:00:00 +0900