CentOS5の最近のブログ記事

bind queryログの意味

Hizumi (2009年2月13日 22:30) | コメント(0) | トラックバック(0)
bindで,キャッシュポイズニングの問題があり,それに関連して,DDoS攻撃もあって,まんまと私のサーバも踏み台にされていたようだ。

query: . IN NS +

クエリーのログを見るとこんなのが,沢山あった。DNSの問い合わせに対しての対策は何もしていなかったせいで,「DDoS攻撃」の記述を読みながら対策を行った。allow-queryオプションの設定などを行ったが,一部まずい点があり,コンテンツサーバとして動作しなかったりと,いろいろと試行錯誤したが,たぶん今は動作している。(たぶん)

そこで気になったのは,bindのログの見方がよく分からないということ。何となく読めば分かるログもあるが,queryのログに関してはフラグの説明や解説が無くて,ソースまで見ながら調べた。

続きを読む: bind queryログの意味

sid-milterのパッチ

Hizumi (2008年7月 7日 22:14) | コメント(0) | トラックバック(0)
TrueImageのサポートのメールが届かなかったので,調べてみると,ここのメールは,Senderフィールドが空になっていた。

困ったもんだ。dk-milterやdkim-milterは,ヘッダ異常と判断したようだが,sid-milterは,途中でメール異常となったようだ。

Jul  7 13:14:27 localhost dk-filter[1]: (unknown-jobid): can't parse From: header
Jul  7 13:14:27 localhost dk-filter[2]: (unknown-jobid): can't parse From: header
Jul  7 13:14:27 localhost sid-filter[3]: WARNING: sendmail symbol 'i' not available
Jul  7 13:14:27 localhost sid-filter[3]: <unknown-msgid> can't determine responsible domain from `'
Jul  7 13:14:27 localhost postfix/cleanup[4]: 0: milter-reject: END-OF-MESSAGE from watcher.proton.co.jp[192.168.1.1]: 5.7.1 can't identify domain in `'; from=<us@example.co.jp> to=<sample@example.org> proto=SMTP helo=<example.com>
sid-filterの-aオプションでpeerlistを指定したが,peerlistが有効にならなかった。

続きを読む: sid-milterのパッチ

プラットフォームを変えてみた

Hizumi (2008年7月 6日 22:31) | コメント(0) | トラックバック(0)
CentOS4.0をホストOSとしてVMWare Serverを動かし,ゲストOSで,CentOS5.1で自宅サーバを運用していたが,ホストOSをCentOS5.1にバージョンアップしてみた。

別にCentOS4.0で問題があったわけではないが,VistaからのSAMBAのファイル共用で,ホストのCentOS4.0のファイルをアクセスするとVista側がハングアップすることがあり,SAMBAのバージョンを上げたくなって,ついでにOSを入れ替えてみた。

今のところ,Vistaでハングアップすることは発生していない。
2年に一度なら,ホストも入れ替えても良いかも。

sid-milter 1.0.0の公開

Hizumi (2008年6月 8日 17:12) | コメント(0) | トラックバック(0)

βが取れて,公開されていた。

http://sourceforge.net/project/showfiles.php?group_id=112121&package_id=121294

 

早速,コンパイルして,インストールしてみた。

今のところ,問題なさそう。

saslauthdのログ

Hizumi (2008年6月 8日 14:00) | コメント(0) | トラックバック(0)

dkim-milterのログで思い出したが,デフォルトでは,saslauthdのログも一部,/var/log/messageに出力されている。

これは,/etc/syslog.confが以下のようになっているからだ。

 

 *.info;mail.none;authpriv.none;cron.none              /var/log/messages

 # The authpriv file has restricted access.
 authpriv.*                                            /var/log/secure

 

authprivファシリティは,/var/log/secureに出力するが,authファシリティの設定はない。/var/log/messageに出力されているのは,そのためだ。

続きを読む: saslauthdのログ

自宅サーバをCentOS5.1に戻す

Hizumi (2008年5月31日 01:35) | コメント(0) | トラックバック(0)

Fedora9にしたら、MovableTypeが正常に動作しない(DBの更新がうまくいかない。コアダンプする),PANICが発生する,CIFSでファイルコピーの最中にハングアップするなど,トラブル続きで,しかも,対策が見つけられなかったので,再び,CentOS5.1に戻した。

1つ1つの問題を追っかけていけば解決できるかもしれないが,出来立てはトラブルが多くて,運用に耐えられなかった。

rsyslogdとかを試すのは,CentOS5.2待ちだな。

dkim-milter 2.5.2 / dk-milter-1.0.0

Hizumi (2008年3月29日 11:07) | コメント(0) | トラックバック(0)

dk-milterは,放置状態かと思ったけど,1.0.0が上がっていた。修正もされていたし,ヘッダ表示も変更になっていた。

dkim-milterの方は,活発にパッチが出ていて,ちょっと目を離すとどんどんバージョンアップしていく。現時点で,2.5.2になっていた。

 

CentOS5用に,rpmを作って,運用してみた。設定やオプションの影響はなく,以前のバージョンの設定のままでも問題なさそう。

 

続きを読む: dkim-milter 2.5.2 / dk-milter-1.0.0

iptablesで特定IPをはじく

Hizumi (2008年3月23日 03:58) | コメント(0) | トラックバック(0)
特定のIPアドレスをブロックしたい場合は,どうするのが,運用的に良いか考えてみた。

  1. 自宅サーバで,ルータ経由でアクセスしており,ルータでもIPフィルタの指定は可能であるが,ルータの処理が重くなるので,自宅のPC全てのインターネットアクセスが遅くなる。ルータではIPアドレスのフィルタは行うべきではない。
    外からのアクセスは,ルータでIPマスカレードの指定で行っているので,公開しているサーバ上で,IPアドレスのブロックをすれば良い。
  2. RedHat系のiptablesのツールだと,デフォルトは全てブロックして,RH-Firewall-1-INPUTというチェインに許可するポート番号等を指定するようになる。あまり,system-config-securitylevelのツールなどに影響を与えたくないので,RH-Firewall-1-INPUTチェインをいじりたくない。
  3. RH-Firewall-1-INPUTチェインの前に,1つチェインを用意して,IPを指定していくのが良いのではないか。
  4. パケットは,state NEWだけ拾えば,良いだろう。(それ以外は,コネクションが無ければ無視される)。
FIL0-MYINPUTを作成するシェルとかを作ってみた。
続きを読む: iptablesで特定IPをはじく

VMware アップデート

Hizumi (2008年3月22日 16:54) | コメント(0) | トラックバック(0)

http://www.atmarkit.co.jp/news/200803/21/vmware.html

  • VMware Workstation (Windows)  6.0.3-80004
  • VMware Server (Linux) 1.0.5-80187
    • VMware-console (Windows) 1.0.5-80187

アップデートした。日付は,2008/3/14になっていた。ゲストOSのVMware-Toolsはよく使用しているもののみ,アップデートした。まあ,起動したときに気になったらアップデートすれば良いから,気にする必要もない。

VMware Server(Linux)のゲストOS CentOS5のVMware-Toolsのアップデートで以下のメッセージが出た。

VFS: busy inodes on changed media.

続きを読む: VMware アップデート

SenderID-Milterで,Amazonのメールの判定がおかしい。

Hizumi (2008年3月19日 22:08) | コメント(0) | トラックバック(0)

Authentication-Results: mail.aritia.org from=order-update@amazon.co.jp; sender-id=permerror; spf=permerror

amazon.co.jpからのメールが,permerror(不正なメール送信元)となる。

DNSを確認したところ,特に問題ないように見える。

# host -t txt amazon.co.jp
amazon.co.jp descriptive text "v=spf1 include:amazon.com ~all"
amazon.co.jp descriptive text "spf2.0/pra include:amazon.com ~all"
# host -t txt amazon.com
;; Truncated, retrying in TCP mode.
amazon.com descriptive text "spf2.0/pra ip4:207.171.160.0/19 ip4:87.238.80.0/21 ip4:72.21.193.0/24 ip4:72.21.197.0/24  ip4:72.21.196.0/24 ip4:72.21.208.0/24 ip4:72.21.209.0/24 ip4:194.154.193.200/28 ip4:194.7.41.152/28 ~all"
amazon.com descriptive text "v=spf1 ip4:207.171.160.0/19 ip4:87.238.80.0/21 ip4:72.21.193.0/24 ip4:72.21.197.0/24  ip4:72.21.196.0/24 ip4:72.21.208.0/24 ip4:72.21.209.0/24 ip4:194.154.193.200/28 ip4:194.7.41.152/28 ~all"

既に,調査している方がいらっしゃいました。(どさにっき)
sid-milterの不良と判断なさっているようです。たぶん,そうなんでしょう。しかし,sid-milterは,長いこと放置されているようで,パッチが出そうもないですし,かといって,自分でパッチを作る余裕もなし。

まあ,AMAZONのメールだけ,spfのチェックを外すことにした。

続きを読む: SenderID-Milterで,Amazonのメールの判定がおかしい。
« C3 800Mhz | メインページ | アーカイブ | Courier-IMAP »

検索

このアーカイブについて

このページには、過去に書かれたブログ記事のうちCentOS5カテゴリに属しているものが含まれています。

前のカテゴリはC3 800Mhzです。

次のカテゴリはCourier-IMAPです。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。