• Google Notebook -> 長めのメモにはちょっと…
• blog -> 書き散らかすのはちょっと…

てことでプライベートなwikiとして家のネットワーク内にInstikiを設置することにした。 以前バイト先で、そして最近は職場で「メモどうしてる？　え、ないの？」みたいな 会話があったので。

で、今のところ外からカキコするのはport forwardingで済ましたりしてる。

ssh -N -L 1234:localhost:5678 katamayu.net

localhost:1234でプライベートネットワーク内のwikiが！　 初めてやったよこれ。なんかもうこれでいいや。大して頻度ないし。

できればこういうことしないで済むようにずっと家にいたいんですが。

毎日ではないんだけどときどき7:30ころlighttpdが止まってログ見ても エラーじゃないしなんだろうと思いながらここ2ヶ月を過ごしていたけど（サボりすぎ）、 lighttpd 1.4.11あたりバグだった。ログをローテートしたあと再起動しない、という。

This bug will make web server admin crazy bcoz you will never know if lighttpd will be still running tomorrow!

Bug #74458 in lighttpd (Ubuntu Dapper): “logrotate with lighttpd graceful shutdown and restart failed.”

この2ヶ月はまったくcrazyだったぜ！　サーバ監視サービスから サーバ停止のメールがね、オレが寝てるところに容赦なくくるもんだから、 携帯マナーモードにして寝てアラームが使えずに起きられない日々だった。

てか前はほっとんど起こらなかったのに、最近頻発してるのはログの流れが 早くなったってことですかね。アクセスあざーす。あ、スパマーか……。

この機会に、サーバのubuntuもdapperからedgyへあげておいた。 ちなみにここのサーバではないです。

以前サーバの調子が悪いと言っていたけども、 このブログがメモリを食いつくして他のプロセスが殺されていたようです。 どっかでメモリリークしてる。ブログはそのうちなんとかする。

まーそもそもkatamayu.netのサーバはRailsを動かすにはスペック的にあれだったんで、 新しくサーバを買いました。 HPのML110 G3、２万円で。 こいつでいっぱい遊ぶよ！(`･ω･´)　こいつもスペック貧弱だけど。

とりあえずこのブログを新サーバに移したので、katamayuサーバのほうには穏やかな日々が戻ったと思います。 これでなぜかことあるごとに殺されまくっていたmysqldも長生きするはず。 よくよく考えてみれば前の調子でsshdまで殺されたらいろいろ生活に支障が出るもんなぁ。 Webサーバも落とされたら困るし。Railsアプリがkatamayuから追い出されるのは必然だったわ。

今はkatamayuサーバでlighttpdが、新サーバでブログのプロセスが動いてます。 やり方はライド・オン・Railsに載ってるよ。 作業は非常にあっけなく終わった。いやー、良くできてるなー。

ライド・オン・Rails Ruby on Railsを徹底攻略

posted with amazlet on 06.11.01

吉田 和弘 馬場 道明
ソフトバンククリエイティブ

Amazon.co.jp で詳細を見る

期限が切れそうなので更新。

これからもkatamayu.netをよろしくお願いいたします。 ブログしかないけど。

最近気がつくとうちのサーバのMySQLが落ちてる。lighttpdも落ちてるときがある。

ここんとこ見てなかった/var/log/messagesに見慣れないログがあったので抜粋。 左の数字は8月10日から今日までのログに出現した数。

      1 kernel: VM: killing process X
     76 kernel: VM: killing process chasen
      2 kernel: VM: killing process crond
     13 kernel: VM: killing process dispatch.fcgi
      2 kernel: VM: killing process dns.pl
      2 kernel: VM: killing process gdm-binary
      6 kernel: VM: killing process gdmgreeter
      1 kernel: VM: killing process hddtemp
      8 kernel: VM: killing process lighttpd
      2 kernel: VM: killing process mysqld
     11 kernel: VM: killing process perl
      6 kernel: VM: killing process php
      1 kernel: VM: killing process postdrop
      1 kernel: VM: killing process prefdm
      1 kernel: VM: killing process proftpd
      1 kernel: VM: killing process rails
      2 kernel: VM: killing process rpmq
    158 kernel: VM: killing process ruby
      2 kernel: VM: killing process run-parts
     10 kernel: VM: killing process sh
      1 kernel: VM: killing process touch
      3 kernel: VM: killing process updatedb

落ちてたのはこれが原因かな？　lighttpdのほうは頻度的に説明がつきそうな数字かなーと思う。あとRubyの回数は嫌がらせだと思う。

"kernel: VM: killing process ..."についての適度に詳しい説明を見つけた。

VM = Virtual Memory. the kernel ran out of REAL and Virtual memory, and processes were still demanding more. To survive this, the kernel goes into lifesaver mode and begins "reaping" processes somewhat randomly in order to free memory so that it won't crash. (I think the only process safe from reaping is probably init). How to fix it?

1> Don't run more on your system than memory will allow.

2> find the software with the memory leak, kill it, and upgrade to a version without that leak...

3> Buy more memory or add another swap partition.

linux out of vm virtual memory -->Re: VM: Killing process ....

メモリを使い果たしてピンチだったからkillしたようだ。 オレの知らないところで戦っていたんですね。ファンがうるさいからって蹴ってごめんよ。 昨日は3人くらいに蹴られてたよね……(´･ω･｀)

うちのサーバ、こんな感じです。

$ free -m
              合計     使用済   空き領域   共有領域    バッファ キャッシュ
Mem:           233        175         58          0         17         45
-/+ バッファ:             112        121
Swap:          478         71        407

たまに様子を見ることにする。

最近ブログに書くこともないつまらない日々を送ってるんだけど、7月の更新回数はあまりにアレなので今月は書く。

研究室のメーリングリストの過去ログをWebで見れるようにした。

fmlがメールをhtml化したものも生成してくれるんで楽だったんだけど、ブラウザで見ると文字化けが。

Content-typeヘッダがcharset=utf-8な感じになってたんでapacheのhttpd.confを見ると確かこうなってた。

AddDefaultCharset utf-8

これ、レスポンスに追加される文字セットの名前を指定 するって話だけど、なんでutf-8決め打ちにしてあるんだ？　うちの研究室のサーバは。 RedHatイミフ

そういえば最近放置してたせいでup2dateの更新パッケージ数が200件以上あった。恐ろしいんで無視して帰った。

sshアタックがひどいので、うちのサーバも未熟なりにも対応をしてます。 sshがつながらないという ことにならないように、少し説明をしておきます。

sshのアタックは、1回1回ユーザ名を変えてアクセスしてきます。 だもんで同じユーザが何回失敗したら蹴るっていう方法は無効（もちろん正規ユーザ名での辞書攻撃に備えて設定はしてあります）なので、 ログに「Invalid user ○○」と残したIPアドレスをhosts.denyにかたっぱしから突っ込むスクリプトをcronで15分おきに動かしてました。 だからInvalidなユーザ名でログインしたら、もうそのIPは拒否されます。これが以前の対応。

昨日の朝方、これをiptablesに追加する方法（参照：sshdに対する不正アクセスを動的に防ぐ）に 変えてたんですが、これも30分で拒否が解除になることを除いて同じことです。 「Invalid user」というログを残したIPがiptablesによって蹴られるはず（iptablesについてはまだよく知らない)。

つまりユーザ名を1回間違えれば、どちらの方法でもそのあとのアクセスが拒否されます。

サーバ側で正規ユーザがタイプミスをすることを許容したりするよりは、初めからタイプミスのないようにするほうが 賢いと思うので、ミスらないようにしてください。〉katamayu.netのみなさん

具体的には、

alias ssh_katamayu='ssh user_name@katamayu.net'

としたり。

#pre export SERV='user_name@katamayu.net' scp $SERV:/home/user_name/xxx ./ #endpre としたり、まー工夫してくださいな。

しかしセキュリティ関係って本とか買う気にならないんですよね。 ネットにパソコンがつながっていくのはおもしろいけど、 つながらないようにする作業ってのはつまらない、とこれはLinuxサーバHacksにあった言葉。 まったく同感です……。そして学生さんはお金が無い！

でも「知識のある管理者がたくさんいたのが昔のネットなんだよな。今の新参は知識無いくせにサーバを立てるから困る」 ってよく言われるけど、サーバ立てなきゃ管理者育たないぞーというのがオレの主張なので、 少しは勉強しないと……。ホスティングサービスに逃げたら負けかなと思ってる。

Apacheのようにはいかないみたいなんで、どうしたもんか悩んでます。

うちのlighttpd(1.4.6)は/var/runにhttpd.pidみたいのは作らないんだろうか。ファイルないんですけど。

Apacheのlogrotateは次のようになってるんで

/var/log/httpd/access_log {
    missingok
    postrotate
        /bin/kill -HUP `cat /var/run/httpd.pid 2>/dev/null` 2> /dev/null || true
    endscript
}

lighttpdも同じようにやりたかったんだけどpidファイルが無い。

しかたがないからkillallで代用できないかと思って、前に

/bin/killall -HUP lighttpd || true

なんてやってみたけど、ダメだったような。

とりあえずlogrotateしとかないとログのサイズが大変なことになるので（今まではたまに手で再起動してました）、 こんな感じで。

/sbin/service lighttpd restart

とりあえずlogrotateはうまくいったみたいだけど、再起動しちゃうのはどうなんだろう。よくない気がする。 || trueはつけなくていいのかな。

/sbin/service lighttpd reloadってがあるのに今気がついた。これでもいいのかな？　よくわかんねーよー。 あれ？　他の人lighttpd.pidあるみたいじゃん。なんでうちだけ……。もうちっとググろう（眠いから今度）。

trueってコマンドは初めて見た。int main(){ return 0; }ってことかな？

pidファイルがないのはlighttpd.confのserver.pid-fileという設定がコメントアウトされていたせいだった。 コメントはずしたら/var/run/lighttpd.pidができました。でも、logrotate自体はreloadでよさげ

apache1.3やめて、うちのサーバも今流行りのlighttpdにしてみましたよ。 lighttpdってのはapacheより速いと評判のHTTPサーバ。

まーCGI使う分にはapacheもlighttpdも変わらないような気がしてたけど、 やっぱそんな変わってないようなw

lighttpd自体は結構軽い。restartが速いこと速いこと。

このブログもFastCGI化するかなぁ。 でもソース見たら多分0から書き直したくなるなぁ。Rubyで。

何か不具合あれば言ってください。

あ、PHP4.4.1に上げときました。セキュリティ・ホールが あったから。 なにか動かなくなるかも知れんw > jesel

前々から気になってたんだけど、うちのサーバのsshに辞書攻撃してくるやつがいる。 1秒間隔で数時間に渡ってやられるもんで、/var/log/messagesがすごいことに……。

こいつらいっつもIP違うからどうしようかと思ってたまに対処法を ぐぐってたりしてたんだけど、どれも/etc/hosts.denyに追加し続ける方法をとっていた。 改めてぐぐるとiptablesではじいてるみたい。記憶違いだった。iptablesはワカンネ。 なんかイタチごっこのように思うんだけど、結局うちもそうすることにした。

だってひどいんだもん。ほら。

# wc -l messages
  88235 messages
# grep ssh messages | wc -l
  88070

うちのmessagesはsshがらみのログで埋め尽くされてますw

良くわからないんだけど、こういう2種類のログのタイプがあるみたい。

Oct 30 04:02:05 localhost sshd[20372]: Invalid user kristine from 66.221.179.136
Nov  2 23:28:08 localhost sshd[8300]: Failed password for invalid user test from 203.232.183.98 port 43717 ssh2

どういう違いが……。

とりあえずmessagesから/invalid user/iでひっかけてIPをhosts.denyに突っ込むスクリプトを、 cronで20分置きに実行するようにしてみた。まったくもう（´Д｀;） これでいいのかな……。ほんとネットワーク関連の知識が足りんよー。勉強しないと。

そういえばスパムメールもうるさいので、今更ながらブログのメルアドを画像に置き換えた。 Thunderbirdの迷惑メールフィルタが結構とりこぼしてくれるもんでねー……。 「1万円分プレゼント」だの「ロリコン最新情報」だの、大きなお世話だ！ヽ（`Д´）ノ