CentOS Archive

「ISPから電話があり、貴方のアカウントでメールが大量に送信されています」との一報

お持ちのPC＆携帯(iPhone除く)でのウィルススキャンを強要する旨を受ける。

実際に取り掛かったのはサーバー側のPostfix(メールサーバー)の確認。
まずはログを確認。
するも正直把握しきれない。

そんな時に探していて見つけることが出来たページにヒントというか答えがありました。
この場を借りてお礼申し上げます。

参考リンク

SMTP Authを何度も試みててくるIPアドレスをブロックする【postfix】

10Gbps対応について その2

本記事を書いているの現在(2021/09/21)時点では10GMbps(ISP代が+￥1,500前後/月)対応ルーターの市販品ではLANポートが4つくらいの物で￥277,000以上する為、建設的では無いのでまだしばらくは様子見になります。

よって、次期目処として携帯電話(スマートフォン)の5Gが市街地までも完全に浸透(馴染む)くらいまでは機器も慌てて購入する必要が無い(そもそも買えない…)と判断致しました。
ですので、当面の間は現在の1Gbpsで継続していきます。

利用者数も少ないFYAサーバーで、利用者様の声も聞かないのがまだマシなのでというのが大きいですが汗

と、ここまでは以前に書いた記事と似たりよったりです。
以上に加えて、FYAサーバーが不安定も診られる為に現在進行系でサーバー再構築を前向きに検討中です。
公言は難しいですが、改めてFYAホームページか公式Twitterにてお知らせしたいと想います。

2021/09/21

参考リンク

価格.com - ルータの有線ブロードバンドルーター 人気売れ筋ランキング (有線LAN速度:10000Mbps)

10Gbps対応について

本記事を書いている現在(2020/08/03)では10G(ISP代+￥1,500前後/月)対応ルーターの市販品ではLANポートが未だ1つと玄人(散財出来る方?)向けとなっており、追加でハブを購入するという煩わしい状況にあります。

よって、次期目処として携帯電話(スマートフォン)の5Gが完全に浸透(馴染む)くらいまでは機器も慌てて購入する必要が無いと判断致しました。
ですので、当面の間は現在の1Gbpsで継続していきます。

利用者数も少ないFYAサーバーで、利用者様の声も聞かないのがまだマシなのでというのが大きいですが汗

2020/08/03

/tmp 容量MAX..

「/tmp/magick-***」
に引き続き
「/tmp/magick-***」の容量激増で、「https(暗号通信[SSL])」が500エラー。

推測ですが、cgiやhtmlでは異常をきたしていない事を察するに、特定ページの「https」の場合に「/tmp」内に何かしらファイルを保存しようとしたものの、容量が無い事で発生した模様と考えられます。

なにわともあれ、「ImageMagick」の対策を打たないと同じ事が発生します..
対策を講じなければと改めて思えました。

メモ(備忘録): 2018/12/12

サブドメイン「www.fya.jp」追加方法

NG例:

# /usr/local/certbot/certbot-auto certonly --webroot \
> -w /home/httpd/html -m info@fya.jp -d fya.jp -d ftp.fya.jp -d mail.fya.jp \
> -w /home/www/public_html -m info@fya.jp -d www.fya.jp \
> --agree-tos
Upgrading certbot-auto 0.22.2 to 0.23.0...
Replacing certbot-auto...
Creating virtual environment...
Installing Python packages...
Installation succeeded.
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for fya.jp
http-01 challenge for ftp.fya.jp
http-01 challenge for mail.fya.jp
http-01 challenge for www.fya.jp
Using the webroot path /home/www/public_html for all unmatched domains.
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. www.fya.jp (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://www.fya.jp/.well-known/acme-challenge/uKhFxCNCND5XF7y1D923uECBY4Qmk-c5XioMlcaVCfU: "<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p"

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: www.fya.jp
   Type:   unauthorized
   Detail: Invalid response from
   http://www.fya.jp/.well-known/acme-challenge/uKhFxCNCND5XF7y1D923uECBY4Qmk-c5XioMlcaVCfU:
   "<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
   <html><head>
   <title>404 Not Found</title>
   </head><body>
   <h1>Not Found</h1>
   <p"

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

OK例:

# /usr/local/certbot/certbot-auto certonly --webroot \
> -w /home/httpd/html -m info@fya.jp -d fya.jp -d ftp.fya.jp -d mail.fya.jp \
> -w /home/www/public_html -m info@fya.jp -d www.fya.jp \
> --agree-tos
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for fya.jp
http-01 challenge for ftp.fya.jp
http-01 challenge for mail.fya.jp
http-01 challenge for www.fya.jp
Using the webroot path /home/www/public_html for all unmatched domains.
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/fya.jp/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/fya.jp/privkey.pem
   Your cert will expire on 2018-07-23. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

NG回避&OKにする追加方法

/etc/letsencrypt/renewal

こちらは勿論バックアップの意味でもリネームを施工
例: fya.jp.conf_OLD20180425

/etc/letsencrypt/archive

から該当ドメインをリネームなどを施工
例: fya.jp_OLD20180425

/etc/letsencrypt/live

こちらも一応施工
例: fya.jp_OLD20180425

※ココから以下はリネームなどのバックアップ後で、「サブドメイン追加」後に必要に応じて編集。
(そうしないと、追加時にエラーが出ていた。)

状況(https://サブドメインによる運用するの場合)により

/etc/httpd/conf.d/ssl.conf

も弄る(追加する[追加編集])。
最終的にApache再起動などで反映させる。

環境:
Apache 2.2系

いつも通り、実施に関しては自己責任!!

答えから書くと、ダウングレード(ロールバック)にて解決としました。
セキュリティ面から言えばNGですが、取り敢えず次期大幅改造?改良?されるまではコレで運用していくことにします。
もちろん下記施工に当たっては自動アップデートからの除外をお忘れなく!!

ダウングレード方法

まずはダウングレードが可能かを確認。

# yum --showduplicate list httpd*

ココに出ていれば可能の様です。
バージョンが上のものも出ているけど気にしない。

# yum --showduplicate list httpd*
インストール済みパッケージ
httpd.x86_64                                                  2.2.15-60.el6.centos.4                      @updates
httpd-devel.x86_64                                            2.2.15-60.el6.centos.4                      @updates
httpd-tools.x86_64                                            2.2.15-60.el6.centos.4                      @updates
利用可能なパッケージ
httpd.x86_64                                                  2.2.15-59.el6.centos                        base
httpd.x86_64                                                  2.2.15-60.el6.centos.4                      updates
httpd-devel.i686                                              2.2.15-59.el6.centos                        base
httpd-devel.x86_64                                            2.2.15-59.el6.centos                        base
httpd-devel.i686                                              2.2.15-60.el6.centos.4                      updates
httpd-devel.x86_64                                            2.2.15-60.el6.centos.4                      updates
httpd-manual.noarch                                           2.2.15-59.el6.centos                        base
httpd-manual.noarch                                           2.2.15-60.el6.centos.4                      updates
httpd-tools.x86_64                                            2.2.15-59.el6.centos                        base
httpd-tools.x86_64                                            2.2.15-60.el6.centos.4                      updates
httpd24.x86_64                                                1.1-5.el6                                   centos-sclo-rh
httpd24.x86_64                                                1.1-14.el6                                  centos-sclo-rh
（以下略

改めて、ダウングレードさせたいパッケージを指定して実行します。

# yum downgrade httpd httpd-devel httpd-tools mod_ssl

SSLは依存性解決エラーの為に入れました。
改めて確認すると、同時にアップデートされていましたので。

追記: 期間中は、 Logwatch からのメールも 「 was considered unsolicited bulk e-mail (UBE). 〜 Delivery of the email was stopped! 」 となり、届いていませんでした!!

参考リンク

http://hacknote.jp/archives/5946/

VMware で CentOS 6.7 でのお話。
VMware だからかもしれないけど、ちょっとはまっていたので書きとめておく日記です。

まずは、 VMware の 仮想マシンの設定を編集する(設定) から ネットワーク アダプタ が NAT: ホストのIPアドレスを共有して使用(N) になっていることを確認する。

次に VMware の 仮想ネットワーク エディタ を開きます。
それぞれ以下の様に設定します。
(テキストリンクは参考資料[おそらく不要?])

サブネット IP(I): を設定(適用)後に、以下の設定。
この時に ホスト仮想アダプタをこのネットワークに接続する(V) にチェックを入れないとSSH接続できず。
別の仮想ソフトに乗り換える要因になりそう苦笑

次は手動にて IP の設定を行います。

vi /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE="eth0"
HWADDR="00:0C:29:86:F7:C5"	# MACアドレス
TYPE=Ethernet
NM_CONTROLLED="yes"
ONBOOT="yes"
BOOTPROTO=static
IPADDR=192.168.1.24	# 固定IP
NETMASK=255.255.255.0
GATEWAY=192.168.1.2	# 
DNS1=192.168.1.2	# 
PEERDNS=no	# 

おそらく、不要な設定も混じっています!!

念のため、不要かもしれない設定も記しておきます。

vi /etc/resolv.conf

# Generated by NetworkManager
search jp
nameserver 192.168.1.2

以上で終了(苦笑
ハマると、大変なのでこうして保存。

InnoDB: Error: log file ./ib_logfile0 is of different size 0 5242880 bytes
InnoDB: than specified in the .cnf file 0 67108864 bytes!
151018 14:52:39 [ERROR] Plugin 'InnoDB' init function returned error.
151018 14:52:39 [ERROR] Plugin 'InnoDB' registration as a STORAGE ENGINE failed.

いつのまにか InnoDB が停止していたみたいで機能していませんでした。
MySQL 5.5 ではメインのストレージエンジンはInnoDBですけど、あえて MYISAM へ変更しています。
扱いやすいですしね。壊れやすいですけど苦笑

取り敢えず、下記ログファイル群を削除してからMySQLの再起動で回復しました。
MySQL自体には影響がないっぽい?
気になる方は mv で退避させておくといいかもしれないです。

/var/lib/mysql/ib_logfile0
/var/lib/mysql/ib_logfile1

参考リンク

http://tetsuyai.hatenablog.com/entry/20110418/1303133792

SNSの

ini_set('error_log', OPENPNE_VAR_DIR . '/log/php_errors.log');

※ファイルの場所: "/home/***/OpenPNE/var/log/php_errors.log"
が肥大化というか気づかずにいたら1Gオーバーしていた…。

2012～2014の間で2014/08/--～2014/09/08の再構築後から肥大化がピークに笑
ファイルは削除して以下のように記録しないようにした。

SNSのconfig.phpにある

define('OPENPNE_DEBUGGING', 0);

から

define('OPENPNE_DEBUGGING', 1);

の初期値へ戻した。

SNSの20分毎に施行されるCRONは

 2>&1

を末尾に追加して回避。
※他も含め私は計4カ所追加しました。

StartSSL で証明書を更新しました。

参考リンク

https://www.startssl.com/

以前は参照リンクを載せていなかったので、今回はちょっと見かけましたサイトを掲載します。

参考リンク

http://mo.kerosoft.com/0197

本当は翌年の記憶だけで9割方平気だったんですけどね。
ひっかかったのは… 翌年はクライアントを先に取り一日置いてサーバーの証明書を取得した為に、今年はちょっと苦戦しました涙
というのも、連続して取得しとうとしてもサーバー証明書はまだ有効なままなので取得できず…
来年の更新では2通のメールが来てから更新を行うようにします。
…でもきっと忘れていそうです笑

WebMail で件名が日本語の場合、クリックできない状態を確認しました。
英数字なら問題なく中身はみれます。
ですが、日本語の件名、本文の場合は白紙空間になっていました。

取り敢えず入れ直してみたものの解決には至りませんでした。

そこで以下のサイトからファイル一式をDL。
それを元に再構築。

すると今度は真っ白になりました。
SSLのエラーログを確認すると、ある関数が既に定義されているという重複によるエラーです。
その関数をコメントアウトすることで、期待値通りに戻せました。

参考リンク

http://taka2.info/20120705/squirrelmail-php54/

http://fedorasrv.com/squirrelmail.shtml

http://cro-pel.com/201209221289

PHPは5.5なのですけど使えたのでOKとしておきます。

これを解決するためにPHPのモジュールを一度全てOnにしてたり、辿り着くまでに余計な工程がいろいろありました…涙

Postfix というよりは SMTP かもしれませんね。
直ぐに受信は確認できましたし…
これまた直ぐに送信も…
後から思い出しても、どうして直ぐに送信できないのか…
SMTP の認証でコケていたみたいです。

かなり久方ぶりの再構築ですから、そのあたりはご愛嬌でお願いしますね。

そして改善した方法すら…今は思い出せないでいます涙
どうして改善したのでしょうね…

想い出しましたら編集しておきます涙
PAM認証かもしれません…謎

参考リンク

http://www.usupi.org/sysad/210.html

http://www.uetyi.mydns.jp/wordpress/postfix-setting/entry-465.html

関係ないですが、圧縮通信の可否確認サイトをご紹介しておきますね。
参考にしていたサイトが軒並み404なので…

参考リンク

http://www.gidnetwork.com/tools/gzip-test.php

覚えている範囲で記録しておきます。

PHPを更新する為に更新（なにをしたのかは忘れている）させた後、再起動させたところでカーネルパニック発生。
この時はテキストでカーネルパニックということを確認できる。
再び再起動してみると、テキストも表示されずにOSも起動しない。
BIOS設定を見てみるとRAIDになっているみたいなので、IDEにしてみる。
それでも起動しない。
もともとはどちらの設定なのかもこの時点で不明。
でもIDEが正しいはず…。

復旧以前にカーネルパニックが再び確認出来ない為、再構築を検討。
現時点では2個のHDDを使用していた為に、それぞれのHDDを確認してみる。
/home用HDDは確認できる。
それ以外を割り当てているHDD認識できず。
以上の事から再構築に至りました。
BIOSでも/home以外を割り当てたHDDを接続すると起動時に時間かかり過ぎる…
時間をかけすぎる上に認識できていないとか…
この経緯があり、HDDの片方がお亡くなりと判断。

カテゴリにある HXP はそのままHXPがらみな為。
PHP はPHPを更新しようとして発生した為。
原因に直接関係しているかは不明です。

以前に CentOS を入れた64bit機へ suPHP を導入

前提環境

Continue reading

StartSSL で証明書を頂きました。
前にも取得した記憶はあるんですが、詳しいことは覚えていません・・

ちなみに取得されたい方は、検索されれば大量にヒットしますから頑張ってください。

参考リンク

https://www.startssl.com/

今まで通りFTPは使えつつ、FTPSも使えるようにしました。
こんな使い方していていいのかな・・笑

参考リンク

http://tech.hitsug.net/?CentOS%2FProFTPD

http://landisk.kororo.jp/diary/34_proftpssl.php

http://triplesky.blogspot.jp/2013/02/proftpdsftpftps.html

http://safe-linux.homeip.net/other/linux-proftpd-02.html

http://lolipop.jp/manual/hp/w-ff-ftps/

今朝メールを確認すると、以下の内容が届いていました。

Searching for Suckit rootkit... Warning: /sbin/init INFECTED

調べていると、同様のケースに遭遇されている方が多いみたいです。
HXPもCentOSのアップデートをしていたので、このケースかなと考えました。

参考リンク

http://www.public-t.info/log/web/40/

Nov 26 10:22:47 vxi postfix/smtpd[12024]: connect from unknown[***.***.***.***]
Nov 26 10:22:47 vxi postfix/smtpd[12024]: setting up TLS connection from unknown[***.***.***.***]
Nov 26 10:22:47 vxi postfix/smtpd[12024]: Anonymous TLS connection established from unknown[***.***.***.***]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Nov 26 10:22:47 vxi postfix/smtpd[12024]: NOQUEUE: reject: RCPT from unknown[***.***.***.***]: 450 4.7.1 Client host rejected: cannot find your hostname, [***.***.***.***]; from=<> to= proto=ESMTP helo=
Nov 26 10:22:47 vxi postfix/smtpd[12024]: disconnect from unknown[***.***.***.***]

こんなエラーが出ていて、サブドメインのメールが使用できなくなっていました。
近いところまでは感じていたのですが、調べても中々答えにたどり着かず時間を浪費しました。
原因はコレでした。

reject_unknown_client

これは「逆引き出来ないホストは拒否」という苦行な代物です。

# vi /etc/postfix/main.cf
smtpd_client_restrictions =
                    permit_mynetworks,
                    #reject_unknown_client,
                    reject_rbl_client sbl-xbl.spamhaus.org,
                    reject_rbl_client all.rbl.jp,
                    permit

世界中に逆引き出来ないホストは、まだまだたくさん存在します。
そんな訳で「#」を用いて一時退避させました。
ついでに昔用いていた手法の外部ブラックリスト（RBL）でメール拒否を組み込みました。

参考リンク

http://www.kozupon.com/mail/postfix2.html

一つ以上のドメインで運営している場合、きっと役立つかもしれない情報。

Mail style

@sub.domain.jp

sample@sub.domain.jp

今回はMail styleで挙げた2点を実現する方法を解説いたします。

以下の設定を行います。（すでにあれば無用です）
バーチャルドメイン設定でよく見かけると思います。

# vi /etc/postfix/main.cf
virtual_maps = hash:/etc/postfix/virtual

サブドメインの設定にも使えるので使っちゃいます。

# vi /etc/postfix/virtual
# domain.jp                                  Domain
sub1.domain.jp                               Subdomain-1
sub2.domain.jp                               Subdomain-2
@sub1.domain.jp                              User
sample@sub2.domain.jp                        User

Subdomain-1とSubdomain-2は分かりやすい文字列なら何でも大丈夫だと思います。
Userは登録しているユーザーなら誰でも大丈夫です。
@sub1.domain.jpの@より手前の文字列は何でも大丈夫なので好きな文字をどうぞ、Userに配信されますから。

※ main.cfで使用しているドメインには # を付けよう（サブドメインは関係ないけどね[私的注意文]）。

DBファイルを構築する為に次のコマンドを実行します。

# postmap /etc/postfix/virtual

最後にpostfixに設定を反映するためにpostfixを再起動（リロードでも可）します。

# /etc/rc.d/init.d/postfix restart

Centos 6.3 にテキストモードでインストールしたところに、後からUGIデスクトップ環境にしたくなったので、調べてやってみました。

パッケージのインストール

# yum groupinstall "X Window System"
# yum groupinstall "Desktop"
# yum groupinstall "General Purpose Desktop"

ランレベル変更

vi /etc/inittab

id:3:initdefault: となっているところを、 id:5:initdefault: へ変更する。

参考リンク

http://nextjewel.blogspot.jp/2012/01/xcentos-62.html

http://piro791.blog.so-net.ne.jp/2010-10-15

試験用に CentOS 6.3 で 64bitを 構築。
いずれくるx64対策のメモでした。

移行テスト対策ともいう（？？

Continue reading

suPHPでエラー表記たくさん。

Error

Warning: strtotime() [function.strtotime]: It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Asia/Tokyo' for 'JST/9.0/no DST' instead in * on line *

原因はsuPHPが2012年4月7日現在suPHP 0.7.1のままであることが原因です。
対処法はPHPを5.2系に戻すことで対応することにしました。

PHP 5.3系に対応したsuPHPが早く出ると嬉しいですね。