Going My Way

ファイルの同期をしてくれます。
かなり便利です。

クライアント／サーバーとして使用し、
「xinetd」が、導入されていることを前提に説明を。

サーバー側
/etc/xinetd.d/rsync
disable = yes
↓
disable = no

/etc/rsyncd.conf
なければ、つくります。

hosts allow = 192.168.0.0/24
hosts deny = *
exclude = .svn
log file = /var/log/rsyncd.log
pid file = /var/run/rsyncd.pid

[www]
path = /var/www/html
read only = yes

xinetdを再起動します。
/etc/init.d/xinetd restart

クライアント側
crontab -e
0 * * * * rsync -aq --delete 192.168.0.***::www /var/www/html
１時間毎にサーバーと差分同期をします。

昨日まで、お盆休みを頂いておりました。
実家の清水と河口湖方面へ。

久能街道にバイパスが出来ていて、びっくり。
かなり便利になりました。
妹達に連れて行ってもらった、その街道沿いにある「Gradevol2」は、料理も美味しかったのですが、店からの景観がよく気に入りました。

河口湖はまさに避暑地。最高気温でも30度いかないし、夜は18度でエアコン要りませんでした。名古屋暑すぎです。

富士急で「ええじゃないか」「ナガシマスカ」等等等、疲れ果てて帰ってきました。

今回は帰りがけに「焼津魚センター」に寄っていくタイミングがなかった・・・。

iptables関連。
sshdのポートが開いてると、大抵辞書アタックをされ、ログがすごいことになっているのですが。

対応策。
iptableで1分間に8回以上sshdポートへ接続しようとした場合、そのパケットを拒否する。

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m recent --dport 22 --set --name SSH
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m recent --dport 22 --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP
上記を
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
の前に記述。

そもそも、sshdのポートを22から変更しろと・・・。

結局iptablesをごちゃごちゃとしたので、覚書き。

/etc/rc.d/init.d/iptables save
で出力されるファイルで説明。

iptablesを設定するサーバー：192.168.0.22（eth0：外向け、eth1：内向け）
NAT先のサーバー（SMTPサーバー）：192.168.0.171（eth0：内向け）
一部解説できないところ、公開できないところは割愛・・・。

# Generated by iptables-save v1.3.5 on Wed Aug 13 17:07:40 2008
*nat
:PREROUTING ACCEPT [27:9008]
:POSTROUTING ACCEPT [9:924]
:OUTPUT ACCEPT [4:604]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.171:25
-A POSTROUTING -o eth0 -j MASQUERADE
eth0の25番ポートに送信されてくるパケットは、192.168.0.171:25に転送してくれ。
eth0経由で送信するパケットはマスカレードしてくれ。（いらんかも・・・。）
COMMIT
# Completed on Wed Aug 13 17:07:40 2008

# Generated by iptables-save v1.3.5 on Wed Aug 13 17:07:40 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [159:22824]
:RH-Firewall-1-INPUT - [0:0]
一旦全部許可。

-A FORWARD -j RH-Firewall-1-INPUT
-A INPUT -j RH-Firewall-1-INPUT
INPUT、FORWARDは、RH-Firewall-1-INPUTで設定されたルールを適用する。

-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
まあ、おまじない。

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 873 -j ACCEPT
許可するポートを設定。

-A RH-Firewall-1-INPUT -p vrrp -m state --state NEW -j ACCEPT
vrrpを許可。

-A RH-Firewall-1-INPUT -d 192.168.0.171/255.255.255.255 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
eth0で受信、eth1で送信する25番ポートを使用する宛先が192.168.0.171のパケットを許可。

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
上記までに設定したルールに当てはまらないパケットは全て却下。

COMMIT
# Completed on Wed Aug 13 17:07:40 2008

Ubuntuでcrontabを編集しようとすると、nanoエディタが起動する。
デフォルトみたいです。

nanoエディタ使ったことないので使い方が分かりません・・・。
なので、普段使い慣れたviを使いたい。


以下で対応。

export EDITOR=vi
crontab -e

以上。

Ubuntuはデフォルトでは全てのポートが閉じているので、開放が必要なポートはiptablesで設定するっぽい。

iptables自体の設定はcentosと変わらない。
あまり詳しくないので、iptablesの設定は割愛。

そのままだと再起動で設定が消えるので、設定後の手順。

mkdir /etc/network/iptables
iptables-save > /etc/network/iptables/iptables

vi /etc/network/if-pre-up.d/iptables
>iptables-restore < /etc/network/iptables/iptables

chmod 700 /etc/network/if-pre-up.d/iptables

vi /etc/network/if-post-down.d/iptables
>iptables-save > /etc/network/iptables/iptables

chmod 700 /etc/network/if-post-down.d/iptables

reboot

ドラゴンズファンが集う「ピカイチ」での餃子の会。久しぶりの参加でした。
行って見ると、まあだいたい同じメンバーかな。
特に名刺交換することもなく、たんたんと食べ飲んでました。

いつもの辛いラーメンでなく、辛い冷やし中華だったことがいつもとの違いかな・・・。

次回は年内に最低もう一回は行いたいとのこと。
ドラゴンズ、クライマックスシリーズで優勝してると盛り上がりそうですね。

いや、大変だった気がする。
なんせUbuntuのこと知らんから・・・。

VMWareServerインストール前の準備
sudo apt-get install linux-headers-`uname -r`
sudo apt-get install build-essential

VMWareServerインストール
tar zxvf VMware-server-[version].tar.gz
cd vmware-server-distrib
./vmware-install.pl

あとは指示に従うだけ（よく分かってません・・・。）

Ubuntuでは、基本的にルートになることは許されていない。

すべて「sudo」コマンドでルート権限を与えながら一般ユーザーで作業を行う。

だけどやっぱりrootになりたいので以下・・・。

sudo su -
パスワードを求められるのでインストール時に作成したユーザーのユーザー名を入力する。

ルートになれたら、
passwd
でルートパスワードを設定しなおす。

sudo apt-get install openssh-server
これだけ。

※
ubuntuは、デフォルトで全てのポートが閉じている。
インストール直後では、rootになれないようになっている。