管理人のヒトリゴト -もみんぎゅぅ-

続きを読む… »

この機能は監視対象のサーバーのベータベース接続のチェックやロードアベレージのチェックなどに使うことを目的としています。（つまりスクリプトによる動的コンテンツということ）

このバグになぜ気が付いたのかというとload averageが22を突破したという出来事があったので、自宅サーバーにロードアベレージをチェックしてステータスを返すスクリプトを設置して、このスクリプトをサーバー監視スクリプトで監視しようと思ったのです。

以下がロードアベレージをチェックするスクリプト

#!/usr/bin/perl -w

use strict;

$ENV{’LANG’} = ‘en’;

my $UPTIME = `uptime`;
$UPTIME =~ s/.*load average: ([0-9\.]+), [0-9\.]+, [0-9\.]+.*/$1/;
$UPTIME =~ s/\s+//g;

print “Content-type: text/plain\n\n”;

if ($UPTIME > 10) {
print “Load average is Unhealthy!($UPTIME)”;
} else {
print “Load average is Healthy”;
}

exit;

でサーバー監視スクリプトのHttpdChk.confは以下のように設定

www.example.jp/uptime.cgi hoge@example.jp Load average is Healthy

これで自宅サーバーのロードアベレージが10を超えると携帯にメールがくるようになりました。( ´ー`)

« 閉じる

続きを読む… »

■苦労したこと其の壱

whoisサーバーの収集

以下の3サイトから収集しました。
http://www.iana.org/root-whois/
http://www.nic.ad.jp/ja/dom/types.html
http://www.cman.jp/network/support/domein_list.html

完全に網羅することはできませんでした・・・(； ´ー`)

■苦労したこと其の弐

※google.comさんを例題として使わせて頂きます（スミマセンスミマセン

socketでwhoisサーバーに繋いだ後、検索ドメインを

print SOCK “google.com\r\n”;

としてあげれば基本的には情報が返ってくるのですが、comとかnetなどのドメインは管理している団体が多数に分かれているので、これだけだと簡素な情報しか取得できません┐(´д｀)┌
（com、netはInternicのwhoisサーバーです）

しかし自宅サーバーのwhoisコマンド（jwhois）でgoogle.comを検索するとちゃんと詳細な情報が取得できます。

きっとなにか方法があるに違いない！

とりあえずtelnetで直接whois.internic.netに繋いで文章を見てみると

To single out one record, look it up with “xxx”, where xxx is one of the
of the records displayed above. If the records are the same, look them up
with “=xxx” to receive a full display for each record.

と書いてあります。

詳しくは分かりませんが、検索ドメインの頭に「=」を付けろ！ということみたいです。

もういちどtelnetでwhois.internic.netに繋いで=google.comとすると今度はgoogle.comに関連するwhoisサーバー一覧がずらずらと出てきました( ´ー`)

で肝心のgoogle.comのwhoisサーバーはその一覧の最後にありました。

ここまでの動きさえ分かってしまえばあとはスクリプトに組み込むだけです！
・whois.internic.netの場合だけ検索ドメインの頭に=を付ける
・結果から一番最後のwhoisサーバーを取得する
・取得したwhoisサーバーへ再度問い合わせをする

#!/usr/bin/perl -w

use strict;
use Socket;
use FileHandle;

my $SearchDomain = ‘google.com’;
my $WhoisServer = ‘whois.internic.ner=’;

print “[Query] ” . $SearchDomain . “\n”;
print “[Whois server] ” . $WhoisServer . “\n”;

#最初の問い合わせ
my $Result = &WhoisAdd($SearchDomain,$WhoisServer);

#whois Server:文字列がある場合に再度問い合わせる
if ($WhoisServer =~ /=$/ && $Result =~ /Whois Server:/i) {
    #最後のwhoisサーバーを取得
    while ($Result =~ /Whois Server:/i) {
        if ($Result =~ /Whois Server: ([^\r\n]+)/i) {
            $WhoisServer = $1;
            $Result =~ s/Whois Server://i;
        }
    }

    print “[Redirect] ” . $WhoisServer . “\n”;

    #再問い合わせ開始
    $Result = &WhoisAdd($SearchDomain,$WhoisServer);
}

print $Result;

sub WhoisAdd
{
    my($Host,$Whois) = @_;
    my $Resp = “”;
    my $Port = 43;
    my $Redc = “”;

    if ($Whois =~ /^([^:]+):([0-9]+)$/) {
        $Whois = $1;
        $Port = $2;
    }
    elsif ($Whois =~ /([^=]+)=$/) {
        $Whois = $1;
        $Redc = ‘=’;
    }

    eval{
        local $SIG{ALRM} = sub{ die “Connection time out.\n” };
        alarm(10);

        my $Ip = inet_aton($Whois) or die “Host not found.\n”;
        my $Addr = pack_sockaddr_in($Port,$Ip);
        socket(SOCK,PF_INET,SOCK_STREAM,0) or die “Can’t create socket.\n”;
        connect(SOCK,$Addr) or die “Connection failure.\n”;

        select(SOCK);
        $|=1;
        select(STDOUT);

        print SOCK $Redc . $Host . “\r\n”;

        while (<sock>) {
            $Resp .= $_;
        }

        close(SOCK);
        alarm 0;
    };

    alarm 0;

    if ($@) {
        return($@);
    } else {
        return($Resp.”\n”);
    }
}

なんか疲れた・・・orz

« 閉じる

続きを読む… »

PerlじゃなくてPHPでいいじゃん！って思ったのですが、Perlの方がメールの取り込み関係のモジュールが標準でインスコされてたりするのでなにかと都合がいいのですよ。

Net::SMTP
Net::POP3
MIME::Parser

などが最初からはいっておるのです。

SMTP AUTHだけはAuthen::SASLを追加していれないとダメですけど・・・（ウチはSMTP AUTHしてないから関係ないんですけどね！

その他の機能としてアドレス帳、署名、スパムフィルタとかも組み込みたいな〜

一応私の頭の中では完成してます！（ぉ

っと夢は広がるばかりなのですが、あとは時間とやる気が足りません！・・・orz

« 閉じる

続きを読む… »

■主な機能
・Socketを使用したhttp接続のチェック（SSL非対応です）
・http接続時にGETしたソースの１行目の文字列の判定
・スクリプトの二重起動を防ぐ排他処理
・監視対象を複数設定可能
・エラー通知の宛先を複数設定可能

■設置方法

1.HttpdChkのダウンロード

→ダウンロード

2.HttpdChk.plの設定

————————————————————————
01：#!/usr/bin/perl -w
・
・
・
26：my $ScriptDir = ‘/PathTo/HttpdChk’;
28：my $SendMail = ‘/usr/lib/sendmail’;
30：my $MailFrom = ‘from@example.jp’;
32：my $Subject = ‘httpd alert’;
34：my $MaxCount = 3;
36：my $LockTimeout = 20;
38：my $ConnTimeout = 10;
————————————————————————

01行目：perlのパス
26行目：作業ディレクトリ（HttdpChkディレクトリまでのフルパス）
28行目：sendmailまでのパス
30行目：エラー通知の送信者メールアドレス
32行目：エラー通知の件名
34行目：何回エラーが出たらエラー通知を送信するか
36行目：前回の処理が終わっていない場合の待機時間（秒）
38行目：http接続が成功するまでの待機時間（秒）

3.HttpdChk.confの設定

以下のフォーマットに基づいて記述します。
[Host][:Port][/Path] [Space|Tab] [SendEmail1,2,3…] [Space|Tab] [SuccessfulMessage]

[Host]
監視対象ホスト。
[:Port]
監視対象ホストのポート（指定が無い場合は80で接続）。
[/Path]
監視対象ホストのファイル、ディレクトリ。
[Space|Tab]
設定の区切り（半角スペース若しくはタブ）。
[SendEmail1,2,3…]
エラー通知の送信先メールアドレス（複数指定する場合は「,」で区切る）。
[Space|Tab]
設定の区切り（半角スペース若しくはタブ）。
[SuccessfulMessage]
httpd接続に成功した場合にGETしたソースの1行目の文字列。
主に監視対象ホストのhttp接続以外のチェックに使用します。

例）
監視対象ホストにデータベース接続が正しくできるかチェックするスクリプト（dbcheck.cgi）を設置して
www.example.jp/dbcheck.cgi to@example.jp Database connection successful
と設定。

dbcheck.cgiは接続に成功した場合は
print “Content-Type:text/plain\n\n”;
print “Database connection successful\n”;
を出力
dbcheck.cgiは接続に失敗した場合は
print “Content-Type:text/plain\n\n”;
print “エラーメッセージ\n”;
を出力

※詳しくはHttpdChk.conf記載のサンプルをご覧ください。

4.サーバーに設置
HttpdChk.pl[700]/HttpdChk.conf[644]/HttpdChk.res[644]の入ったHttpdChkディレクトをサーバーに設置します。（※[ ]の数字はパーミッション）

最後にHttpdChk.plをcronに追加して完了です。

« 閉じる

続きを読む… »

で、たどり着いた.htaccessの記述が以下のとおりです。

[.htaccess]
-----------------------------------------------------------------------------
<FilesMatch "bbs.*.cgi$">
        <Limit POST>
                SetEnvIf Request_URI "/hogehoge$" Accept
                SetEnvIf Request_URI "/hogehoge2$" Accept
                Order Deny,Allow
                Deny from all
                Allow from env=Accept
                Allow from 192.168.10.0/24
                #ALLOW_CIDR_LIST_____#
                #_____ALLOW_CIDR_LIST#
        </Limit>
</FilesMatch>
-----------------------------------------------------------------------------

●<FilesMatch “bbs.*\.cgi$”></FilesMatch>
制限の対象となるスクリプトファイル名を記述します。
「.*」は0文字以上の任意の文字列にマッチした場合という意味です。
「$」は最後から検索してという意味になります。
したがって上記はスクリプトファイル名の文字列を最後から検索してbbs***.cgiにマッチした場合は真という条件になります。

複数のスクリプトファイルを対象とする場合は
<FilesMatch “(hoge|hogehoge|hogehogehoge)\.(cgi|php)$”></FilesMatch>
というように指定することもできます。

●<Limit POST></Limit>
POSTのみを制限する指定です。

<Limit GET POST></Limit>
とすればGETとPOSTを制限することができます。

●SetEnvIf Request_URI “/hogehoge$” Accept
レンタル掲示板はPOST時に環境変数PATH_INFOを付与しているのですが、SetEnvIfは環境変数PATH_INFOを参照できないのでREQUEST_URLで代用しています。
したがって上記はREQUEST_URLの文字列を最後から検索して「/hogehoge」にマッチした場合という意味になります。

●Order Deny,Allow
これは拒否をしてから許可するという定義になります。

●Deny from all
一度すべてを拒否するという意味です。

●Allow from env=Accept
これは「SetEnvIf Request_URI “/hogehoge$” Accept」の条件にマッチした場合は許可するという意味です。

●Allow from 192.168.10.0/24
これは単純にLAN内（私用）からのPOSTは許可するという意味です。

●#ALLOW_CIDR_LIST_____#・・・・・#_____ALLOW_CIDR_LIST#
これはこの後解説する国内ホスト一覧の自動取得スクリプト（getApnicCidr2HTA.pl）が国内ホスト一覧（CIDR方式）を記述する場所をスクリプトに示すための記述です。

■上記.htaccessを制限したいディレクトリ配下に設置します。

■次に国内ホスト一覧の自動取得を行うスクリプトを用意します。
> wget http://cmf.ohtanz.com/download/getApnicCidr2HTA.txt
> mv getApnicCidr2HTA.txt getApnicCidr2HTA.pl
> chmod 755 getApnicCidr2HTA.pl

※ちなみにPostfixのcidr_tableを自動更新、FTPに対する不正なアクセスを遮断に次ぐgetApnicCidrシリーズ第3段です。

■ダウンロードしたgetApnicCidr2HTA.plの下記の部分を編集します。

[getApnicCidr2HTA.pl]
-----------------------------------------------------------------------------
1：#!/usr/bin/perl
5：my @HTACCESS_LIST = ('/home/hoge/.htaccess','/home/hogehoge/.htaccess');
-----------------------------------------------------------------------------

5行目の@HTACCESS_LISTは対象となる.htaccessまでのパスを記述します。

※このスクリプトは.htaccess内の#ALLOW_CIDR_LIST_____#・・・・・#_____ALLOW_CIDR_LIST#の間のみを更新するので、それ以外の個所は自由にカスタマイズしても問題ありません。

■編集が終わったらgetApnicCidr2HTA.plを1度手動で実行します。
> perl getApnicCidr2HTA.pl

※.htaccessを開いて#ALLOW_CIDR_LIST_____#・・・・・#_____ALLOW_CIDR_LIST#間にホスト一覧が記述されていることを確認して下さい。

後はgetApnicCidr2HTA.plをcronに追加して終了です。

« 閉じる

続きを読む… »

実害はないから別にいいんですが、このクソ暑い中そんなログを見てしまうとついついイラッ！っとなってしまうもので、こりゃ〜そろそろちゃんと対策しといたほうが精神衛生上いいんじゃなかろうかと思い、
以前作ったPostfix用のcidr_tableを自動更新するスクリプトをちょこっと改良して、iptablesで21番ポートを国内ホストからのみアクセスできるようにしてみました。

■導入方法
> wget http://cmf.ohtanz.com/download/getApnicCidr2FTP.txt
> mv getApnicCidr2FTP.txt /usr/local/bin/getApnicCidr2FTP.pl
> chmod 700 getApnicCidr2FTP.pl
> vi getApnicCidr2FTP.pl

————————————————————————-
1:#!/usr/bin/perl
8:my @ACPT_LIST = (’127.0.0.1′,’192.168.1.0/24′);
9:my %DROP_LIST = ();
————————————————————————-

1行目：Perlのパス
8行目：LAN内や海外の特定ホスト等からFTPアクセスを許可するためのホスト
9行目：FTP以外でアクセスを拒否したい場合に使用

例：%DROP_LIST = (’192.168.4.1′=>’25′,’192.168.3.0/24′=>’110′);
‘IP（CIDRも可）’=>’ポート’
というように記述していきます。

あとはgetApnicCidr2FTP.plをCRONに追加して終わりです。

« 閉じる

続きを読む… »

それともうひとつpostfixのスパムメール対策についてもコメントがありました。

「regexに対してpostmapは不要ですよ」

Σｒ(‘Д‘ｎ）

PostfixのページQ&Aより
————————–
Postfix は 指定されたテキストファイル (regexp:/etc/postfix/regexp-file と 指定されている場合は /etc/postfix/regexp-file.db ではなく /etc/postfix/regexp-file) を直接読みます。
————————–

いやはやお恥ずかしい限りです。
普通に考えればわかりそうなものなのに、正規表現な評価をするのになんでDBM（DB)化するんだと（ｒｙ

たぶん他のaliasesやvirtualとかをnewaliases（postmap）してた流れでなにも考えずにやっちゃってたんだと思いますorz

どんまいオレ！

それとMonkey Tracksさん曰くpostfixのスパムメール対策を参考に設定した結果Googleからのメールが弾かれてしまったそうで、どの段階で弾かれたのかはわかりませんが、もしsmtpd_client_restrictionsで引っ掛かったのであれば、client_cidrに以下を追加すればGoogleからは受取れるようになると思います。

———————–
#Google network
72.14.192.0/18 OK
64.233.160.0/19 OK
209.85.128.0/17 OK
216.239.32.0/19 OK
66.102.0.0/20 OK
66.249.64.0/19 OK
———————–

ここを見るかはわかりませんが、ご指摘頂いたお礼代わりに。（お礼というほど大したことでもありませんが）

« 閉じる

続きを読む… »

APNICのIPv4 rangesは日々変更されているので、なんとか自動化したいなぁ〜と思っていたのですが、自動化するにはＪＰＮＩＣの管理しているＩＰアドレスを捨てないといけません。
（※ＡＰＮＩＣとＪＰＮＩＣで重複しているものを最後は目視で確認しないとＷａｒｎｉｎｇがでまくって大変なことになるからです。）

そこでＡＰＮＩＣとＪＰＮＩＣそれぞれが管理している日本のＩＰアドレスはどのくらいあるのかざっと見てみたところ、9割以上は重複していたので、この際だからＪＰＮＩＣは捨てよう！と決めたわけです。

最初に私が作成したipv4Jp.zipに同封されているclient_cidrはＡＰＮＩＣとＪＰＮＩＣをまとめたものなのですが、ＡＰＮＩＣのみで作成したものとの差があまり無かったのです。

東京大学のＩＰはＪＰＮＩＣのみでしか管理されていないようですが、client_cidrの定義はＲＥＪＥＣＴではなくＯＫなので仮に漏れたホストがあっても、逆引き設定等が正しく行われていれば無問題な訳で、且つ450で再送要求しているのでまぁ〜大丈夫なんじゃなかろうかという自宅サーバーならではの強気設定です(ﾟДﾟ)

すでに導入して2週間経っているので大丈夫でしょう！・・・たぶん・・・(ﾟДﾟ)

で、自動更新するにあたって、私は今までaccessテーブルを更新したら毎回Postfixをreloadしていたのですが、Postfix 検索テーブルの概要を読むと、reloadすべきなのかそうでないのかが、どうもはっきりしません。

で、試しに書いてあるとおり
> postmap access.in
> mv access.in.db access.db
を実行してみたらmaillogに大量のWarningがでましたよ！？(ﾟДﾟ;)

（postmapのマニュアルより引用）
——————————————————————————
テーブルの更新中は、シグナル配送は遅延され、検索に来たプログラムを驚 か
せないために、排他的 Advisory ロックがテーブル全体にかけられます。
——————————————————————————

ということなので、cidr_tableの自動更新スクリプトはclient_cidrのバックアップをとってそのまま上書きしてpotmapを実行しています。

cidr_tableの自動更新をしてみたいという方は既にPostfixのスパムメール対策(排除率は99.975%だった)の方も更新しているので、一度読んでみてください。

« 閉じる