nadare.net保守日記

ここはyamagが {powder|white|tdiary}.nadare.netと自宅のLinuxBoxをいぢくった時のメモを書いておく場所なので、見てもつまんないと思いまっせ ;-)

ツッコミランキング1.がうやん(3) 2.やまぐち(2)

Sat May 11, 2019 [長年日記]

#1 [自転車] 久々にワークアウト

久々にいつものコースを走りました。

三郷から北側は除草が済んでおらず、左右から雑草が伸びてきていて、道幅が半分くらいになっていました。

折り返しは玉葉橋です。

三郷駅の側にある流山橋から玉葉橋まで約10キロくらいの間には、常磐高速の橋があるだけで、一般道の橋が無かったのですが、常磐高速の少し南側に新しい橋ができるようです。

さて、本日の走行記録は、走行距離:55.71km、走行時間:2時間26分50秒、平均速度時速22.7キロでした。


Thu May 02, 2019 [長年日記]

#1 [自転車] 弘前城公園

20190502_0 20190502_1 20190502_2

一昨年走ったのとと同じコースを走りました。

往路では岩木山が良く見えました。

弘前城公園の桜はほとんど終わっており、花筏もほとんど残っていませんでした。それでも天守閣の側の堀に少しだけ花筏があったので、写真に収めましたが、言われてみないと分からない感じでしか撮れませんでした。

風が強く往路は向かい風で速度が上がりませんでしたが、帰りは追い風で楽に走れました。

さて、本日の走行記録は、走行距離:40.01km、走行時間:2時間7分44秒、平均速度時速18.7キロでした。


Mon Apr 29, 2019 [長年日記]

#1 [] 青森市合浦公園

20190429_0 20190429_1 20190429_2 20190429_3

実家の近所に在る合浦公園の春祭りに、散歩がてら歩いて行ってみました。

気温もそれほど低くは無く宴会日和で、多くの人がお花見を楽しんていました。

天気も良く海も遠くまで良く見えていました。


Sat Apr 20, 2019 [長年日記]

#1 [] 大森弾丸ツアー

20190420_0 20190420_1 20190420_2

何年か連続で参加している「大森弾丸ツアー」に、今年も参加しました。


Fri Apr 19, 2019 [長年日記]

#1 [映画] キラー・ハンター

20190419_0

面白そうだったので、仕事帰りに観てきました。

普通に楽しめる娯楽映画でした。車内映像用にDVD買ってもいいかな。


Thu Apr 18, 2019 [長年日記]

#1 [Linux] fail2ban 設定

https化のためにreverse proxy用の仮想サーバを構築しましたが、sshやSMTP-AUTHに対するBrute Force Attackが多いので、fail2banで防御することにしました。

で、手っ取り早く yum を使って epel から install。fail2ban.local と jail.local を作って起動してみましたが、fail2ban-client status で見ると不審な IP アドレスが記録されているのに、その IP アドレスからのアクセスがブロックされている気配がありません。

どうなっているのかと思ってググってみたところ、fail2ban と firewalld の組み合わせで、banaction に firewallcmd-ipset を使うと上手く動作しないという記事を見つけました。

この記事に従って、firewall-cmd-ipset-new を作ってみましたが、今度は ipset add コマンドの実行で、name: No such file or directory というエラーが出てしまいます。firewall-cmd-ipset-new の中で ipset add fail2ban-<name> と定義していて、<name> の部分が置き換わるはずなのに、それが置き換わらずにそのまま実行されてエラーになっているようでした。

どうすれば良いのか良くわからなかったのですが、jail.local の banaction を定義する際、name を指定したら正常に動作するようになりました。

あと、blocktype は firewall の zone に展開されるので、既存の drop zone に設定されるように定義しました。

以下に設定情報を載せておきます。

  • fail2ban.local
    [Definition]
    loglevel = NOTICE
    
  • jail.local
    [DEFAULT]
    bantime = 3600
    destemail = yamag@nadare.net
    sender = fail2ban@nadare.net
    mta = postfix
     
    [sshd] 
    enabled = true
    bantime = 3600
    banaction = firewallcmd-ipset-new[name=sshd, bantime=3600]
                sendmail-whois[name=SSH, dest=yamag@nadare.net, sender=fail2ban@nadare.net, sendername="fail2ban"]
     
    [postfix-sasl] 
    enabled = true
    bantime = 3600
    banaction = firewallcmd-ipset-new[name=postfix-sasl, bantime=3600]
                sendmail-whois[name=SMTP, dest=yamag@nadare.net, sender=fail2ban@nadare.net, sendername="fail2ban"]
     
    [recidive] 
    enabled = true
    banaction = firewallcmd-ipset-new[name=recidive, bantime=604800]
    
  • action.d/firewallcmd-ipset-new.conf
    [INCLUDES]
     
    before =
     
    [Definition]
     
    # actionstart = ipset create fail2ban-<name> hash:ip timeout <bantime>
    actionstart = firewall-cmd --permanent --new-ipset=fail2ban-<name> --type=hash:ip --option=timeout=<bantime>
                  firewall-cmd --permanent --zone=<blocktype> --add-source=ipset:fail2ban-<name>
                  firewall-cmd --reload
     
    actionstop = firewall-cmd --permanent --zone=<blocktype> --remove-source=ipset=fail2ban-<name>
                 firewall-cmd --permanent --delete-ipset=fail2ban-<name>
                 firewall-cmd --reload
                 ipset flush fail2ban-<name>
                 ipset destroy fail2ban-<name>
     
    actionban = ipset add fail2ban-<name> <ip> timeout <bantime> -exist
     
    actionunban = ipset del fail2ban-<name> <ip> -exist
     
    [Init] 
    blocktype = drop
    

    (追記) firewallの設定は、次のようになります。

    [root@rt1 ~]# firewall-cmd --info-zone=drop
    drop (active)
      target: DROP
      icmp-block-inversion: no
      interfaces: 
      sources: ipset:fail2ban-postfix-sasl ipset:fail2ban-sshd ipset:fail2ban-recidive
      services: 
      ports: 
      protocols: 
      masquerade: no
      forward-ports: 
      source-ports: 
      icmp-blocks: 
      rich rules: 
    	
    [root@rt1 ~]# firewall-cmd --info-ipset=fail2ban-sshd
    fail2ban-sshd
      type: hash:ip
      options: timeout=3600
      entries: 
    [root@rt1 ~]# firewall-cmd --info-ipset=fail2ban-postfix-sasl
    fail2ban-postfix-sasl
      type: hash:ip
      options: timeout=3600
      entries: 
    [root@rt1 ~]# firewall-cmd --info-ipset=fail2ban-recidive
    fail2ban-recidive
      type: hash:ip
      options: timeout=604800
      entries: 
    [root@rt1 ~]# 
    

Sat Apr 13, 2019 [長年日記]

#1 [nadare.net] https化

今更ですがhttps化を考えています。

Let's Encryptが無償でサーバ証明書を配布していて、これを使えばhttps化できるはずなのです。

だがしかし、nadare.netが動いているプラットフォームが古すぎて、証明書自動更新手順に上手く載せられないという問題があって、これをどう克服するかが問題です。

などと書きましたが、証明書自動更新手順が動作するプラットフォーム上でサーバ証明書を載せたリバースプロキシを動かし、その後段に今のサーバを隠してしまえば問題は解決すると考えています。まぁそれに付随して、pptpクライアントやDNSサーバもリバースプロキシ側に移動しないとダメなのですが。

ということで、nadare.net, ぱうもんアンテナ、ぱうもん日記アクセスの際、アドレスバーが緑になったら上手くいったな、と思って下さい。

本日のツッコミ(全5件) [ツッコミを入れる]

1 がうやん [どもです。https になって鍵マークが出ますが,日記の更新時に「500 Internal Server Error..]

2 やまぐち [>がうやん tdiaryのURL定義がhttpになっているのが原因でした。リクエストをhttpで受けることを期待して..]

3 がうやん [更新できました。 (^^v nadare.net の方もちゃんと表示されてます... あれ?昨日は何かおかしかったの..]

4 がうやん [どもです。そう言えば ぱうもんアンテナ に日記を更新した事が反映されない模様... リンク先の URL が http..]

5 やまぐち [報告有難う御座います。 調べたところ、アンテナ更新プログラムがhttpsを拒否していました。 なので、アンテナ更..]


2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|04|05|06|07|08|09|10|11|12|
2012|01|02|03|04|05|06|07|08|09|10|11|12|
2013|01|02|03|04|05|06|07|08|09|10|11|12|
2014|01|02|03|04|05|06|07|08|09|10|11|12|
2015|01|03|04|05|06|07|08|09|10|11|12|
2016|01|02|03|04|05|06|07|08|09|10|11|12|
2017|01|02|03|04|05|06|07|08|09|10|11|12|
2018|01|02|03|04|07|08|09|10|11|12|
2019|01|02|03|04|05|