EFSはNFS 4.0 or 4.1のみ対応な訳ですが。RHEL5もNFS 4.0自体は使えます。
が、EFSはidmapに対応してません。numeric uidのみ対応です。
そしてRHEL5のカーネルはidmapをdisableできません。。。
何が起こるかというと全てのファイルがnfsnobodyさんになるという。。。
回避策はないので泣く泣くEC2でNFSv3サーバを立てましたとさ。
ちなみに以下のサイトを参考にさせて頂きましたが、セキュリティグループの解放が少し足りないみたいです。
https://qiita.com/yonex_memo/items/c1bfdd0640ced605f7e1
まず、sunrpc(111)、mountd(892)はudpも使うのでtcp,udpが必要でした。
それからnlockmgrもボート固定して開けてあげないとflock掛けた瞬間固まる現象に悩まされてることになります。。。
「コンピュータ」カテゴリーアーカイブ
127.0.0.53の正体
Ubuntu 18.04 LTSに上げたら DNSが引けなくなって
/etc/resolv.confを調べたら 127.0.0.53という謎のDNS指定があり、 書き換えても再起動したら元に戻ってしまう。。。
どうやら、127.0.0.53は systemd-resolvedというのがサービスしてるらしい。まぁ、ローカルIPの逆引きやらを垂れ流さないようにするためにちょっと賢いレゾルバをローカルにってことかな。
ただ、これが悪いわけではなく、問題は一緒についている options edns0 でした。YAMAHAのRTX810をDNS参照先にしてるのですが、RTX810は edns0に対応していないのでエラーになっていたという。。。
YAMAHAさん、edns0対応してくれないかな。。。
ちなみに systemd-resolvedが動いてると /etc/resolv.confは自動的に書き換えられてしまうので変更しても無意味。DNSサーバ参照設定は /etc/systemd/resolved.conf に書きましょう。
p.s.
ubuntuは/etc/resolv.conf -> ../run/resolvconf/resolv.conf のようにリンクを張っているのですが、なんで /run/systemd/resolve/stub-resolv.conf にリンクしないんだろう。。。これがsystemd-resolvedが書き換えているファイルな気がします。 systemd-resolved を再起動すると、このファイルが書き換わっているのですが、なんせ、リンク先が違うので反映されない。OSごと再起動すると反映されるので起動スクリプトかなんかでやってるようですが。なんでこんなことしてるんでしょうねぇ。
AWS S3 Glacier deep archive
今年のre:Inventで発表されたGlacier deep archive
個人的には大変有り難いです。
私はQNAPのバックアップをGlacierに取ってます。
私のバックアップ量は340GB程度で毎月1回バックアップして月額$1.5程度です。
これが1/5になるということは1TB置いても$1程度という。
まだアナウンスのみですがおそらく今年の上期には使えるようになるのではないかと思います。とても楽しみです。今までは重要ファイルのみをバックアップしてましたが、これだけ安くなれば仮想マシンのイメージごと残しておいてもいい感じですよね。
Ubuntu 16.04.05 LTS to 18.04.01 LTS Upgrade
久しぶりにUbuntuのUpgradeしました。私はLTSで運用してるので、前回は 16.04 .05からのUpgradeとなりました。
Upgrade自体は do-release-upgradeを叩くだけ。
ただその後、何が起こるかが問題な訳ですが、今回は割と軽微な問題だけでした。
1. dovecotが起動しない。dovecot.keyが無いそうです。私は元々自分で取得した証明書を使っていたので、置き換えて無事起動。
Sep 30 20:12:30 abel systemd[1]: Started Dovecot IMAP/POP3 email server.
Sep 30 20:12:30 abel dovecot[17512]: doveconf: Fatal: Error in configuration file /etc/dovecot/conf.d/10-ssl.conf line 13: ssl_key: Can't open file /etc/dovecot/private/dovecot.key: No such file or directory
2.zabbix Serverが起動しない。zabbix_server.confが読めないそうだ。MySQLのユーザ、パスワードがべた書きしてあるので、600にしていたのですが、ダメなようで。とりあえず、zabbixに対して開けました。
Sep 30 20:53:27 abel systemd[1]: Started Zabbix Server (MySQL/MariaDB). Sep 30 20:53:27 abel zabbix_server[22846]: zabbix_server [22846]: cannot open config file "/etc/zabbix/zabbix_server.conf": [13] Permission denied Sep 30 20:53:27 abel systemd[1]: zabbix-server.service: Main process exited, code=exited, status=1/FAILURE Sep 30 20:53:27 abel systemd[1]: zabbix-server.service: Failed with result 'exit-code'.
iTunes 12.9.0.167 (Windows App版)に上げたらBakupパスが変わった
iTunesでiPhoneのバックアップを取るとCドライブに数十GBを消費してしまうのでSSDにしている私には厳しく、シンボリックリンを使ってHDDのDドライブに逃がしていたのですが。
iTunesがバージョンアップせよと言ってきたので何気なく上げようとしたら、Windows App版を使えと言うので何気なくWindows版を使ったらバックアップが見えなくなりました(^^;
場所が変わったようです。たぶん、普通にCドライブのまま使っていれば移動してくれるんだと思うのですが、シンボリックリンクだと移動してくれず。
探してみたら、C:\Users\ユーザー名\Apple\MobileSync\Backup に移ってました。
というわけで再度シンボリックリンクを実施して見えるようになりましたとさ。
c:\>mklink /d "c:\Users\ユーザー名\Apple\MobileSync\Backup" "d:\Users\ユーザー名\AppData\Roaming\Apple Computer\MobileSync\Backup" c:\Users\ユーザー名\Apple\MobileSync\Backup <<===>> d:\Users\ユーザー名\AppData\Roaming\Apple Computer\MobileSync\Backup のシンボリック リンクが作成されました
Kaspersky 2018でFirefoxが証明書エラー
Kaspersky 2017→2018に上げたらFirefoxで証明書エラーが出るようになった。
調べてみるとどのページを見ても証明書は「Kaspersky Anti-Virus Personal Root Certificate」になってる。。。SSLを解いて中身を見てまたSSLを掛けてブラウザに渡すようになったようです。
ただ、Kasperskyのページを見ると対象は2018,2017,2016となっているので、今に始まった事ではないと思うのだけど、なぜか今なった。。。
とりあえず、説明の通りルートCAの証明書をFireFoxに読み込んで無事HTTPSのページを見られるようになりました。これは全面的にKasperskyを信頼するってことに等しいのでちょっと嫌な感じですが。。。まぁ、ウィルス対策ソフトなんてその気になれば何でもできてしまうので深く考えないことにします(笑)
格安SSL証明書取得
Appleがアプリからの通信のHTTPS化を義務づけたり、chromeのオレオレ証明書への対応が冷たくなったり(笑)と、ちゃんとした証明書が欲しくなり安い証明書を探していました。
結果、年額3.65ドルでSSL証明書を手に入れるで紹介されているGOGETSSLで購入することにしました。2018年3月時点で全般的に先の記事よりは相場が上がっているみたいです。軽く検索したところ国内では1,500円/年くらいはしている感じでした。私の購入したGGSSL Domain SSLは$4.90/年でした。
ちなみにドメインの所有権の確認をするためにメールを送ってくるので取得したい証明書のドメインでメールを受け取れる必要があります。確認メールのあて先はpostmaster,webmaster,adminなどオフィシャルなアドレスしか選べないのでそれらを受けられるようにしておく必要があります。
バリデーションメールが来たらそこに書かれているURLに行き、メールに書かれているバリデーションキーを入力してバリデーション完了です。
あとは、証明書発行画面でにCSRを入れれば証明書がメールで送られてきます。(送られてくる先はドメインオーナー確認で使ったアドレスではなく、ユーザ登録に使ったメールアドレスになります)
CSRの発行方法はOpenSSLでキーペアやCSRを作成する手順などをご参照ください。
私の場合は、Ubuntuなので、以下の様にcrtファイルとkeyファイルを指定してHTTPSサイトに取得した証明書を反映して完了です。
/etc/apache2/sites-enabled/default-ssl.conf SSLCertificateFile /etc/ssl/certs/xxxxx.crt SSLCertificateKeyFile /etc/ssl/private/xxxxx.key
zabbixを使ってSPAMを送れる?
先日、このサーバからSPAMを送りまくられる事態が発生しました。SPAMが届いてしまった方申し訳ありません。
さて、原因はまだ調査中なのですが、どうもZABBIXのGUESTを有効にした状態で、全世界に開放していたことが原因じゃないかと思っています。
何でメールを送ったのか不明なのですが、ローカルのpostfixにローカルホストからメールを送り付けていました。
その時間帯にZABBIXへのダイレクトアクセスが複数観測されています。
ZABBIXの脆弱性も見つかっているのでもしかしたらこの辺りかもしれません。。。
zabbixへのアクセスをローカルからのアクセスに限定する設定を入れて以降はSAPMは発生していないので原因はほぼこれだと思っています。
詳細は調査中です。
QNAPのバックアップとしてAWS S3 to Glacierを使う
以前、QNAPのバックアップとしてAWS Glacierを使うという記事を書きましたが。。。
Glacierを誤解してました。GlacierはアーカイブIDというAWS側が払い出すIDとファイル名等の情報のマップを自分で保管する必要があります(AWSはやってくれません)しかも、AWSコンソールからはファイルの取り出しはおろか削除すらできません。。。
どいう事かというと。。。
QNAPが生きているときはQNAPがその情報を保持しているので全く問題ないのですが、そもそもなぜAWSにバックアップを作っているかというと、自宅の被災などでQNAPがもうないことを想定しているので。。。
戻せない!
というわけで、今回はS3に取ることにしました。ただしそのままS3に置いておくと$0.025 GB月とGlacierの$0.005 GB月のおよそ5倍!
個人ではちょっともったいない価格になってしまいます。
そこで登場するのが、S3のライフサイクルルールです。この設定をすることによって、例えばS3に置いてから1日たったら自動的にGlacierに送り出すといったことができます。しかもS3なので、フォルダ構造は維持されてAWSコンソールから操作可能です。ただしGlacierに送られたファイルを取り出すときはAWSコンソールから復元命令をしてS3に戻してからじゃないと取り出せません。
ELBを使う時のあるある
Apache – ELB – Tomcat の構成で使うときのAWSあるある。
ELBは複数のIPで構成されており変わる可能性があるのでDNS名で書くのは知ってのことと思いますが、上記構成では
Apache側の設定でdisablereuse=onを付けとかないと、ELBのIPが変わったときにそっちに行きません。
ProxyPass /ap/ http:/hogehoge/ap/ disablereuse=on
参考)
https://httpd.apache.org/docs/current/mod/mod_proxy.html
ご注意あれ。