Feb 112006
 

OpenSSH LDAP Public key patch
SSHの公開鍵をOpenLDAPのディレクトリに格納するためのパッチ。
OpenSSHにはこのパッチを適用してビルド、OpenLDAP側にはスキーマ定義を追加することで、objectclass=ldapPublicKey、attribute=sshPublicKeyに公開鍵を入れておけるようになります。
結構前から存在しているパッチだと思うのですが、本家には取り込まれないんでしょうか 😕

Oct 272005
 

以前も書いたと思いますが、Solaris 10からパケットフィルタリング用のソフトウェアはSunScreenではなくIP Filterになりました。
BSD系で経験済みなのでフィルタリングやNATの設定は簡単にできますが、Solarisでは「どのNICで有効化するか」する設定を忘れがちです(私だけ?)
具体的には/etc/ipf/pfil.apで、該当NICの行を有効にする必要があります。

:
#qe	-1	0	pfil
hme	-1	0	pfil
#qfe	-1	0	pfil
:

これをおこなっていないと、ipfilter起動時に

pfil not configured for firewall/NAT operation

と警告されます。

しかし、BSD系は軒並みIP FilterからPFに切り替わりつつあるというのに、なぜIP Filterになったのでしょうか。
Solaris 9ではそれまでLite版だったSunScreenが正式版になったんので、せっかく覚えたというのに 😥
なんて言ってるうちにSolaris 11ではPFになったりして 😐

Sep 082005
 

VALUE-DOMAIN.COMの2005.09.01付アナウンス。

私が真っ先に思いつく利用方法はKerberosのREALM指定ですが…。
/etc/krb5.confあたりで

[domain_realm]
  .example.jp = EXAMPLE.JP
   example.jp = EXAMPLE.JP

などと書くところを

_kerberos IN TXT EXAMPLE.JP

みたいな。
でも、イントラじゃないところで使う人いないよね。

Aug 142005
 

着々と開発が進行しているようです。
http://www.zabbix.com/より:

The release introduces monitoring of Windows Event Logs, support of host profiles, Italian and Spanish translations, and several bug fixes. The release can be used in production environments (with care).

ログ監視に続いてWindowsイベントログも監視できるようになりましたか!

Aug 122005
 

BINDのバージョンの問い合わせに別の応答文字列を返すにはにもあるように、任意も文字列を返答してバージョン情報を隠蔽する設定例はいろいろ見かけられます。
ところが最近応答しないように設定する情報(外国語)を見つけました。
そもそもバージョン番号の問い合わせというものは

% dig chaos txt version.bind
% nslookup -q=txt -class=chaos version.bind

といったコマンドからもわかるように、bindゾーンに対する問い合わせをおこなっていることになるので、それらのゾーンを用意し、allow-queryで拒否してしまえばよい、ということらしいのですがうまくいかないなぁ 😕

Aug 102005
 

先月postfix-jpのMLに投稿された情報によると、Solaris 10付属のIP Filterでkeep stateがうまく動作しないという人がいらっしゃるようです。
「keep stateがまともに動かない」とするともう少し騒ぎになると思うので、他にも何かしら条件があるのだろうと思ってるのですが、Solarisのバグデータベースを検索すると、それらしき情報が出てます(でもCloseしてるなぁ…)。

source port指定したときだけの問題なのでしょうか?
いずれにしても回避策は何かしらあるのでいいんですが、せっかく「Solarisでいってみよう!」と決意したのに出鼻をくじかれた気分です。

May 182005
 

ZABBIX 1.1alpha9がリリースされました。

The release introduces various improvements of active checks, basic support of monitoring of log files, and other functionality.

ログ監視がおこなえるようになったようで、今後がますます楽しみです。安定版がリリースされるのが待ち遠しく思います。

May 162005
 

Gentoo portageツリーにいつの間にかnet-analizer/zabbix-*が入りました。

今までは1.1alpha7を自前でインストールしていたので、あらためてemergeでインストールしました。alpha7は~x86等でマスクされているので、/etc/portage/package.keywordsに

net-analyzer/zabbix-agent    ~x86
net-analyzer/zabbix-frontend ~x86
net-analyzer/zabbix-server   ~x86

を追加しています。

Mar 312005
 

ZABBIXを使って監視を始めてみましたが、HTTPポートの稼動監視がうまく動いておらず、”WEB server is down on …”になってしまいます。
監視項目であるnet[listen_80]でgrepしてみると、src/zabbix_agent/sysinfo.cで/proc/net/tcpを読みだしてステータスチェックしていることがわかります。
ステータスに
"0050 00000000:0000 0A"
のような値がが含まれていればいいはずなのですが、目でみても確かにそんな行は確かにありません。
netstatで確認してみると80をListenしているのは:::80のIPv6アドレスだけ!
netstatレベルではIPv4での80をチェックしていることになるので、確かに非稼動扱いでおかしくありません(IPv6での同様の情報は/proc/net/tcp6から取らないといけない)。
試しにApacheの設定で

Listen :::80
Listen 0.0.0.0:80

としてみましたが、これでは起動時に

 * Starting apache2...
(48)Address already in use: make_sock: could not bind to address [::]:80
no listening sockets available, shutting down
Unable to open logs

というエラーになってしまいます。
Apacheのマニュアルによれば上の指定をLinuxでやるにはconfigureオプション変えないといけないらしいです。今まではNetBSDを使うことが多かったので全然気がつきませんでした。

結局ZABBIXでHTTPポート監視をおこなうのはあきらめました。他のプロセス監視やSimple Checkでのポート接続チェックで代用できると思われますので。

Mar 302005
 

Gentoo portageツリーにいつの間にかnet-analizer/midas-nmsが入っていました。
2ちゃんねるの「統合監視ツールどうよ?」に話題が出たときから気になっていて試しにインストールするぐらいはしていましたが、どうも活動が止まっていそうなのが気になります。freshmeat.netProject detailsでもVitality: 0.00%になっていますし。

せっかくなのでemergeして入れなおしたものの、今後本格的に使うことはないでしょう。

最近はZABBIXが気に入っています。監視テンプレートもあらかたのものは用意してあって、データ収集できるようにするまでは非常に簡単ですし、何よりドキュメントが充実しています。
MIDAS-NMSはドキュメンテーションが不足していて、監視項目をあれこれ設定するにもフォーラムから情報を漁らないといけなかったのがネックでした。ソースを読めってことなのかも知れませんが…

これから閾値超えたときのアラート送信とかできるようにカストマイズを進めていきたいと思います。