「コンピュータ」カテゴリーアーカイブ

AWS S3 Glacier deep archive

今年のre:Inventで発表されたGlacier deep archive
個人的には大変有り難いです。
私はQNAPのバックアップをGlacierに取ってます。
私のバックアップ量は340GB程度で毎月1回バックアップして月額$1.5程度です。
これが1/5になるということは1TB置いても$1程度という。
まだアナウンスのみですがおそらく今年の上期には使えるようになるのではないかと思います。とても楽しみです。今までは重要ファイルのみをバックアップしてましたが、これだけ安くなれば仮想マシンのイメージごと残しておいてもいい感じですよね。

Ubuntu 16.04.05 LTS to 18.04.01 LTS Upgrade

久しぶりにUbuntuのUpgradeしました。私はLTSで運用してるので、前回は 16.04 .05からのUpgradeとなりました。

Upgrade自体は do-release-upgradeを叩くだけ。

ただその後、何が起こるかが問題な訳ですが、今回は割と軽微な問題だけでした。

1. dovecotが起動しない。dovecot.keyが無いそうです。私は元々自分で取得した証明書を使っていたので、置き換えて無事起動。

Sep 30 20:12:30 abel systemd[1]: Started Dovecot IMAP/POP3 email server.
Sep 30 20:12:30 abel dovecot[17512]: doveconf: Fatal: Error in configuration file /etc/dovecot/conf.d/10-ssl.conf line 13: ssl_key: Can't open file /etc/dovecot/private/dovecot.key: No such file or directory

2.zabbix Serverが起動しない。zabbix_server.confが読めないそうだ。MySQLのユーザ、パスワードがべた書きしてあるので、600にしていたのですが、ダメなようで。とりあえず、zabbixに対して開けました。

Sep 30 20:53:27 abel systemd[1]: Started Zabbix Server (MySQL/MariaDB).
Sep 30 20:53:27 abel zabbix_server[22846]: zabbix_server [22846]: cannot open config file "/etc/zabbix/zabbix_server.conf": [13] Permission denied
Sep 30 20:53:27 abel systemd[1]: zabbix-server.service: Main process exited, code=exited, status=1/FAILURE
Sep 30 20:53:27 abel systemd[1]: zabbix-server.service: Failed with result 'exit-code'.

iTunes 12.9.0.167 (Windows App版)に上げたらBakupパスが変わった

iTunesでiPhoneのバックアップを取るとCドライブに数十GBを消費してしまうのでSSDにしている私には厳しく、シンボリックリンを使ってHDDのDドライブに逃がしていたのですが。
iTunesがバージョンアップせよと言ってきたので何気なく上げようとしたら、Windows App版を使えと言うので何気なくWindows版を使ったらバックアップが見えなくなりました(^^;
場所が変わったようです。たぶん、普通にCドライブのまま使っていれば移動してくれるんだと思うのですが、シンボリックリンクだと移動してくれず。
探してみたら、C:\Users\ユーザー名\Apple\MobileSync\Backup に移ってました。
というわけで再度シンボリックリンクを実施して見えるようになりましたとさ。

c:\>mklink /d "c:\Users\ユーザー名\Apple\MobileSync\Backup" "d:\Users\ユーザー名\AppData\Roaming\Apple Computer\MobileSync\Backup"
c:\Users\ユーザー名\Apple\MobileSync\Backup <<===>> d:\Users\ユーザー名\AppData\Roaming\Apple Computer\MobileSync\Backup のシンボリック リンクが作成されました

 

Kaspersky 2018でFirefoxが証明書エラー

Kaspersky 2017→2018に上げたらFirefoxで証明書エラーが出るようになった。
調べてみるとどのページを見ても証明書は「Kaspersky Anti-Virus Personal Root Certificate」になってる。。。SSLを解いて中身を見てまたSSLを掛けてブラウザに渡すようになったようです。
ただ、Kasperskyのページを見ると対象は2018,2017,2016となっているので、今に始まった事ではないと思うのだけど、なぜか今なった。。。
とりあえず、説明の通りルートCAの証明書をFireFoxに読み込んで無事HTTPSのページを見られるようになりました。これは全面的にKasperskyを信頼するってことに等しいのでちょっと嫌な感じですが。。。まぁ、ウィルス対策ソフトなんてその気になれば何でもできてしまうので深く考えないことにします(笑)

格安SSL証明書取得

Appleがアプリからの通信のHTTPS化を義務づけたり、chromeのオレオレ証明書への対応が冷たくなったり(笑)と、ちゃんとした証明書が欲しくなり安い証明書を探していました。
結果、年額3.65ドルでSSL証明書を手に入れるで紹介されているGOGETSSLで購入することにしました。2018年3月時点で全般的に先の記事よりは相場が上がっているみたいです。軽く検索したところ国内では1,500円/年くらいはしている感じでした。私の購入したGGSSL Domain SSLは$4.90/年でした。
ちなみにドメインの所有権の確認をするためにメールを送ってくるので取得したい証明書のドメインでメールを受け取れる必要があります。確認メールのあて先はpostmaster,webmaster,adminなどオフィシャルなアドレスしか選べないのでそれらを受けられるようにしておく必要があります。
バリデーションメールが来たらそこに書かれているURLに行き、メールに書かれているバリデーションキーを入力してバリデーション完了です。
あとは、証明書発行画面でにCSRを入れれば証明書がメールで送られてきます。(送られてくる先はドメインオーナー確認で使ったアドレスではなく、ユーザ登録に使ったメールアドレスになります)
CSRの発行方法はOpenSSLでキーペアやCSRを作成する手順などをご参照ください。
私の場合は、Ubuntuなので、以下の様にcrtファイルとkeyファイルを指定してHTTPSサイトに取得した証明書を反映して完了です。

/etc/apache2/sites-enabled/default-ssl.conf
 SSLCertificateFile /etc/ssl/certs/xxxxx.crt
 SSLCertificateKeyFile /etc/ssl/private/xxxxx.key

 

zabbixを使ってSPAMを送れる?

先日、このサーバからSPAMを送りまくられる事態が発生しました。SPAMが届いてしまった方申し訳ありません。
さて、原因はまだ調査中なのですが、どうもZABBIXのGUESTを有効にした状態で、全世界に開放していたことが原因じゃないかと思っています。
何でメールを送ったのか不明なのですが、ローカルのpostfixにローカルホストからメールを送り付けていました。
その時間帯にZABBIXへのダイレクトアクセスが複数観測されています。
ZABBIXの脆弱性も見つかっているのでもしかしたらこの辺りかもしれません。。。
zabbixへのアクセスをローカルからのアクセスに限定する設定を入れて以降はSAPMは発生していないので原因はほぼこれだと思っています。
詳細は調査中です。

QNAPのバックアップとしてAWS S3 to Glacierを使う

以前、QNAPのバックアップとしてAWS Glacierを使うという記事を書きましたが。。。
Glacierを誤解してました。GlacierはアーカイブIDというAWS側が払い出すIDとファイル名等の情報のマップを自分で保管する必要があります(AWSはやってくれません)しかも、AWSコンソールからはファイルの取り出しはおろか削除すらできません。。。
どいう事かというと。。。
QNAPが生きているときはQNAPがその情報を保持しているので全く問題ないのですが、そもそもなぜAWSにバックアップを作っているかというと、自宅の被災などでQNAPがもうないことを想定しているので。。。
戻せない!
というわけで、今回はS3に取ることにしました。ただしそのままS3に置いておくと$0.025 GB月とGlacierの$0.005 GB月のおよそ5倍!
個人ではちょっともったいない価格になってしまいます。
そこで登場するのが、S3のライフサイクルルールです。この設定をすることによって、例えばS3に置いてから1日たったら自動的にGlacierに送り出すといったことができます。しかもS3なので、フォルダ構造は維持されてAWSコンソールから操作可能です。ただしGlacierに送られたファイルを取り出すときはAWSコンソールから復元命令をしてS3に戻してからじゃないと取り出せません。

例は1日後にGlacierに移動する設定

Glacierに送られたファイルはストレージクラスの表示がGlacierになる

取り出すときは「復元の開始」でS3に戻す

ELBを使う時のあるある

Apache – ELB – Tomcat の構成で使うときのAWSあるある。
ELBは複数のIPで構成されており変わる可能性があるのでDNS名で書くのは知ってのことと思いますが、上記構成では
Apache側の設定でdisablereuse=onを付けとかないと、ELBのIPが変わったときにそっちに行きません。

ProxyPass /ap/ http:/hogehoge/ap/ disablereuse=on

参考)
https://httpd.apache.org/docs/current/mod/mod_proxy.html
 
ご注意あれ。

EeeBox EB1501Pにメモリを足してみた

今更ですが、EeeBoxをにメモリを足してみた。相性が結構あるという書き込みがあったが、Amazonでサムスン純正 PC3-10600(DDR3-1333) SO-DIMM 2GB 1.5V 204pin ノートPC用メモリ mac対応(2,000円)を買って入れてみたが問題ない模様。

p.s.
最初、開いてるスロットにそのまま挿したら起動せず。。。既存のメモリを外して買ったメモリだけで起動したら問題なく上がった。その後、既存のメモリを空いてるスロットに挿したら認識せず。。。何度か挿しなおしたら認識した。。。単なる接触不良かな。長らくほこりを被ってたスロットなのでエアブローくらいした方がいいかも。

AWSへのL2延伸はできない

AWSのDirect Connectは802.1Qをサポートしているのでてっきり、L2延伸できるのかと思っていたが。。。できなかった。技術的にはできるのかもしれないけど、AWSはそれを認めていない。まぁ、EC2はDHCPでアドレス振られるし、L2でオンプレに線を引かれたらそれはそれで色々もんだいがありそうなのは理解できる。仮に、EC2でL2TPとかを動かしたとしてもEC2はpromiscuous modeを許していないので他のEC2宛のパケットを受け取ることができないと思う(試してないけど)
なんかいい方法はないものだろうか。まぁ、IPを変えてルーティングするが正解な気がするけど。