ラベル Linux の投稿を表示しています。 すべての投稿を表示
ラベル Linux の投稿を表示しています。 すべての投稿を表示

2014/02/13

ntpdに気をつけれ、と さくらVPSからメールが来た の巻。

一応JPCERT/CCから1/15にメールが来てて個人的には対策済みなんですが、
念の為のチェック&啓蒙ということで。

■問題の概要

詳細は下記の情報を見ると良いですが、
ntpdの一部バージョンには状況確認用コマンド(monlist)が用意されていて、
これが外部から呼ばれると、かなりのトラフィックを発生させるので
DDoSに使われるよ、という話。

ふだん利用している さくらインターネット 様からも注意喚起メールが今日届きました。


■何が問題なのか

monlistの機能的には、対象ntpサーバが最近通信をした相手をリストアップする機能。

試しにmonlistを有効にした状態で以下のようなコマンドを叩いてみる。

# ntpdc -c monlist

remote address          port local address      count m ver rstr avgint  lstint
===============================================================================
ntp-b3.nict.go.jp        123 4x.xxx.xx.xx3          6 4 4    180      1       1
ntp-b2.nict.go.jp        123 4x.xxx.xx.xx3          6 4 4    180      2       2
ntp-a3.nict.go.jp        123 4x.xxx.xx.xx3          6 4 4    180      2       3
ntp-a2.nict.go.jp        123 4x.xxx.xx.xx3          6 4 4    180      2       4
うちのVPSではNICTのNTPサーバを見ているのでリストアップされます。
ntpdのrestrict設定(+Firewall)で他には通信しないようにしているので、
これ以外はリストされないようになってます。

ここで問題なのは、
  • 1コマンド&小さい通信量で簡単に取り出せる
  • 通信履歴がまるまる大公開
  • さらにリスト作成時にDNSで名前解決が走る(ntpdc -nなら抑制できるけど)
ということで、増幅率(きっかけコマンドに対して発生する無駄な通信量)が半端ねえ。

ぱないの!
…どころの話じゃないのです。忍ちゃんもびっくり。

■対策方法

ntpdのバージョンアップなんですが、影響を受けないバージョンは「4.2.7p26」。
しかし安定版は4.2.6であり、各distroでもまだ落ちてきてないバージョンかと。

そこで、monlist自体をストップしましょう。
ntpdの設定ファイルに「disable monitor」と1行追記。

※私の環境はDebian Wheezyです。

# vi /etc/ntp.conf
disable monitor    ←ファイル末尾にでも追記する

# /etc/init.d/ntp restart
 これで再度monlistを叩いてみると…
# ntpdc -c monlist
***Server reports data not found
問い合わせを無視するようになりました。これでOK。
外から確認したい場合は、 OpenNTPProject.org などを使用するといいかもです。


…というか、単発サーバで自前時刻合わせだったらntpd使わずntpdateを
slewモードを使ってcronで回すのも手です。


久々に奇声が漏れるレベルの増幅率ですので、早急に対処を。


2013/12/17

Ubuntu ログイン時のMotDを止める

Ubuntuのログイン時に出るMotD(Message of the Day)。
現在のステータスやaptパッケージのアップデート告知が出るようになってる。
便利なんだと思いますが、ちょっと重いのです。

マシンのステータスは別のリソースで監視してるし、
パッケージはapticronとかで監視してるしログインのたびに見てもらっても…という方用。


/etc/motd がその実体なわけだけれども、 /run/motd へのsymlink。
/etc/motdをrmすればとりあえずは出なくなりますが、
motdを作るプロセスは走ってしまうのでリソースの無駄。

探したところ、PAMに居ました。
sshdの認証が通ると pam_motd.so を呼んで、ここで/run/motdを作っている模様。

ので、コメントアウトさせていただきました。

/etc/pam.d/sshd
# Print the message of the day upon successful login.
#session    optional     pam_motd.so # [1]

【追記】
ツッコミいただきましたー。
部分的にカットしたい場合などは、 /etc/update-motd.d の下を見ると幸せになれるかも。
動的に出力する内容がスクリプトとして置いてあります。

パッケージアップデートがあるかどうかだけログイン時に知りたい時は
90-updates-available だけ有効にしておくとか、色々潰し効きますね。

Zabbixを試してみる。(2)

未解決事項あるんだけど、まあ奮闘記っつーことで。


前のフォローアップ記事に書いたとおり、
Zabbix公式のubuntuリポジトリから2.2.1を取得。

Ubuntu公式のuniverseにいるZabbix 1.8では初期テンプレートに色々詰め込まれすぎてて、
テンプレ一から作らなきゃならなかったのがよりシンプルになってた!
(Linuxテンプレを使うとhttpdは当然ながら、SMTPやFTP、果てはNNTPまで動いていると仮定されててenableにした途端ちょうエラー)


設定要素

ほぼ自分の備忘録としてまとめときます。

●ホスト

監視対象となる機器の設定。これには下記の要素が存在する。
 
・アイテム
監視するサービスや着眼ポイントの設定。
例えば、pingの打ち方とか、拾ってくるデータの定義なんかをする。

・アプリケーション
アイテムをまとめて1つのまとまりとして定義。
CPUのLoad average(1,5,15)の各アイテムをまとめてCPU Load Avgというアプリに、みたいな。
若干自信なし。

・トリガー
各アイテムの結果を元にして「状況が変化した」という判断をする閾値や条件の設定。
これで各レベルの警報をraiseする感じですな。


●アクション

で、raiseされたレベルによって「アクション」が発生する。
重要度の低いのは一般へメール、致命的なのは管理者にメール&Jabberみたいな。
アクション側では受けたトリガーレベルはもちろんのこと、元となってるテンプレや
ホストグループなんかも条件式に入れられるので、
「このシステムだけはこの人らにも」は容易に組めるわけですな。
NagiosでいうところのContactsあたりの設定。



んで、これらの設定を各ホストにいちいちやるのは面倒なので、
テンプレートという仕組みがある。

●テンプレート

要は上記のアイテムやアプリなんぞをまとめてひな形にしといて、
実際のホストを定義するときに使いまわしましょうや、という機構。

架空のホストを定義するような感じで設定しておいて、
実ホストを登録する際に「このテンプレートにリンク!」という感じ。

各ホストには複数のテンプレがリンクできるので、
「Linux基本監視」「Apache動かす用」「SQLサーバ動かす用」みたいに定義しておいて、
機能選択=テンプレ選択という感じにするのが解りやすいかと思われる。


●スクリーン

グラフとかの絵的な情報はグラフを各ホストに定義しても
Cactiのような一斉閲覧とかはできないっぽい。

じゃあどーするかというと、「スクリーン」というのを別途定義して
画面上に表示したいものを作るようだ。

スクリーンは
 ・表を作る
 ・各セルに突っ込みたいものを選択する
…という感じ。視覚的に非常に解りやすい。が、ちと重い。



▲現在の懸念(要追加調査)事項▲

・スクリーン設定時の縦横幅のデフォルト設定はないものか。
 (500×100がデフォのようだが、横1000はキツいので手打ちで400×100にしてる)

・ スイッチとかだと各I/Fのグラフをばばばばってスクリーンに自動登録してくれんもんやろか。

・各グラフのタイトルとか項目摘要名とかを手でいじれないものか。
 SWだと何がつながってるよーとかにしたい。あと、Unit/Slot/Portを短くしたい。

・他の設定項目はひとまずペンディングじゃー。



 ▲追加情報▲

SNMPホストを登録する際、もともと定義されているSNMP用テンプレの中身は
OID名が数字でなくてラベル名になっているので、snmp-mibs-downloader
パッケージをインストールしておかないと、「そんなOID知らん」って言われるかも。

# aptitude install snmp-mibs-downloader

2013/12/13

Zabbixを試してみる。(1) のフォローアップをしてみる。

昨日書いた Zabbixを試してみる。(1) の続きとゆーかフォローとゆーか訂正とゆーか。

コメントでいただき追記をした「Zabbix 2.x」の件。


なんで私がUbuntuのリポジトリに固執して
Zabbix公式から落とさなかったかとゆーと、
単にaptの管理下から離れちゃうのが嫌だったのです。

もちろんMLとかでpushをもらうようにはするんだけども、
セキュリティホールとかのアップデートのアンテナの張り出しは
ただでさえ多いのでできるだけ少なくしておきたかったの。

Zabbix公式のInstallation manual ですとwget & dpkg -iしろってことだったので
それなら自前debuildと変わらんやないかー、ということで。


これ、あくまで私の好みの問題でした。さーせん。



で、もうちょっと調べてみたらですな、
公式さんはちゃんとapt source repositoryになっとりました。

ので、早速ではございますが一度1.8をpurgeしました。

# vi /etc/apt/sources.list.d/zabbix2.0-precise.list

deb http://repo.zabbix.com/zabbix/2.2/ubuntu precise main

# wget http://repo.zabbix.com/zabbix-official-repo.key
# apt-key add zabbix-official-repo.key

# aptitude install zabbix-server-mysql zabbix-frontend-php


ちょっと幸せになりました。


# ただし、apt lineについて表立って書いてないってことは
# 突然のお取り潰しもあるかもなので、あくまで自己責任でー。



さて、構築しなおすー。


続き: Zabbixを試してみる。(2)

2013/12/12

Zabbixを試してみる。 (1)

いいかげん、NagiosとCactiに疲れてきた。
特にNagiosのコンフィグファイル修正が苦痛になってきた。UIでやりたい。

ので、 Zabbix を試すのであった。


私、最近はUbuntuとDebianを行ったり来たりしております。

以下はUbuntu 12.04 LTS Serverでのお話。
既に当該環境上ではApache2とMySQLが動作しております。


Zabbixインストール

aptitudeで簡単さん。
$ sudo aptitude install zabbix-agent zabbix-server-mysql zabbix-frontend-php
特に設定せず、 /zabbix/ でログイン可能。
初期IDは admin:zabbix 。
Cactiみたいに「初回ログイン時に強制パスワード変更」がないので注意。

[設定]-[ホスト]で監視対象となるノードを追加していく。

グラフの豆腐を何とかする

UIに関しては日本語ロケールが用意されているので楽。
が、グラフまわりで恐らく日本語を使用していて、文字化けというか豆腐が発生する。
豆腐解決前
とりあえず日本語フォント入れましょう。
今回はIPAフォントを選択。
$ sudo aptitude install fonts-ipafont
入れ終わったら、Zabbixに使用していただきたく設定。
/usr/share/zabbix/fonts に使用したいフォントのSymLinkを置く感じ。
root@test:/usr/share/zabbix/fonts# ls -al
合計 8
drwxr-xr-x  2 root root 4096 12月 12 13:05 .
drwxr-xr-x 10 root root 4096 12月 12 11:58 ..
lrwxrwxrwx  1 root root   46  4月 11  2012 DejaVuSans.ttf -> ../../fonts/truetype/ttf-dejavu/DejaVuSans.ttf

root@test:/usr/share/zabbix/fonts# ln -s /usr/share/fonts/opentype/ipafont-gothic/ipagp.ttf .

root@test:/usr/share/zabbix/fonts# ls -al
合計 8
drwxr-xr-x  2 root root 4096 12月 12 13:05 .
drwxr-xr-x 10 root root 4096 12月 12 11:58 ..
lrwxrwxrwx  1 root root   46  4月 11  2012 DejaVuSans.ttf -> ../../fonts/truetype/ttf-dejavu/DejaVuSans.ttf
lrwxrwxrwx  1 root root   50 12月 12 13:05 ipagp.ttf -> /usr/share/fonts/opentype/ipafont-gothic/ipagp.ttf
フォント設定は /usr/share/zabbix/include/defines.inc.php にある。
#       define('ZBX_GRAPH_FONT_NAME', 'DejaVuSans');  // font file name
        define('ZBX_GRAPH_FONT_NAME', 'ipagp');       // font file name
DejaVuをコメントアウトしてIPAゴシックを有効化。
リロードしてみると…
豆腐解消後
いえーい(横ピース)

ググったりするとalternativesを使えるらしいという話もあったのだが、
残念ながら現状Ubuntuのリポジトリにはalternativesはなかったです。



ひとまずここまで。
あとは使ってる間のTipsとかTrouble Shootingを随時書かせていただきやす。



【追記】
コメントで「ttf-vlgothicかotf-ipafont-gothicを入れておけば
defines.inc.phpの書き換え不要」という情報をいただいたので調査。

zabbix.com に置いてあるdebパッケージ(2.x)を使用する場合は、
ご指摘通りのフォントを突っ込んでおくとpostinstスクリプトで
ちゃんとsymlinkを作ってくれるので手間いらずの模様。

本日現在、Preciseのuniverseリポジトリでは1.8で、
残念ながらpostinstにはそのような仕組みは入ってなかったです。

zabbix.comから落としてきたdebパッケージを使用する場合は
aptitude install ttf-vlgothic(あるいは otf-ipafont-gothic)しとくと
幸せになれます。

# 既にzabbixをインストールした後で日本語フォントを入れた場合は
# dpkg-reconfigure zabbix-frontend-php で再設定を。

ご指摘ありがとうございました。


続き: Zabbixを試してみる。(1) のフォローアップをしてみる。

2013/11/08

Disabling IPv6 on Ubuntu

別にIPv6が悪いわけではなく。
環境の不一致による離婚。

IPv4な社内LANなんかでLinuxを使用していたりすると、
プログラムが勝手にIPv6でListenしたりして
ネットワーク上に見えなくなることがあったので、
残念ながら大元から無効化する。

/etc/sysctl.conf に以下2行を追記。
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
※古いバージョンだと2行目は要らないかも。当方12.04LTS。

登録後、
# sysctl -p
で無効化。

/sbin/ifconfig した時に
eth0      Link encap:イーサネット  ハードウェアアドレス xx:xx:xx:xx:xx:xx 
          inetアドレス:192.168.xxx.xxx  ブロードキャスト:192.168.xxx.xxx  マスク:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  メトリック:1
…という感じに、ipv6アドレスが表示されてなければ完了。


また会う日まで、ごきげんようIPv6。