linux – ページ 6 – Yuji Noizumi's blog

皇紀2681年11月10日2021年11月20日

【作業記録】fail2ban 再犯長期jail

fail2ban で ssh 不正ログインを試みる輩を接続拒否する運用をしているが、現状こんな感じ。

root@irc:~# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	63
|  |- Total failed:	1349
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	90
   |- Total banned:	241
   `- Banned IP list:	45.141.84.126 5.206.227.16 104.248.168.195 221.181.185.159 112.147.156.78 220.174.25.172 141.98.10.63 221.131.165.62 117.67.110.2 116.110.121.9 115.76.92.187 122.228.235.44 199.19.224.231 110.136.232.7 221.131.165.56 159.223.3.108 14.232.123.232 209.141.59.184 90.66.6.222 46.101.129.22 116.105.74.99 116.110.125.246 115.73.29.5 116.110.99.56 195.133.18.210 128.199.39.118 193.169.254.138 176.125.45.214 159.223.2.20 221.181.185.111 221.131.165.72 165.22.197.22 176.111.173.218 161.97.187.24 116.110.123.44 116.105.163.243 185.213.155.164 115.236.46.199 141.98.10.121 206.189.144.184 119.131.209.186 116.105.216.122 147.78.66.31 37.0.10.28 69.49.228.198 199.19.225.198 64.20.142.67 117.7.122.163 116.110.64.186 171.252.208.77 116.105.77.250 69.136.1.144 45.141.84.10 78.152.192.200 109.91.205.202 83.4.194.64 173.174.124.207 209.141.33.121 141.98.10.60 94.232.46.202 24.148.24.59 75.113.213.108 222.186.42.137 222.187.232.39 141.98.10.109 86.152.79.137 176.111.173.237 134.122.59.237 212.192.246.124 78.198.56.121 134.122.59.223 2.56.59.39 221.131.165.65 221.131.165.33 67.63.94.101 23.24.152.174 141.98.10.81 171.227.197.219 116.98.166.82 116.105.172.23 222.186.30.112 60.170.247.162 221.131.165.50 222.186.180.130 176.111.173.226 221.181.185.94 45.88.137.100 222.186.30.76 209.141.44.165 222.186.42.13

root@irc:~# fail2ban-client status sshd

Status for the jail: sshd

|- Filter

| |- Currently failed: 63

| |- Total failed: 1349

| `- File list: /var/log/auth.log

`- Actions

|- Currently banned: 90

|- Total banned: 241

`- Banned IP list: 45.141.84.126 5.206.227.16 104.248.168.195 221.181.185.159 112.147.156.78 220.174.25.172 141.98.10.63 221.131.165.62 117.67.110.2 116.110.121.9 115.76.92.187 122.228.235.44 199.19.224.231 110.136.232.7 221.131.165.56 159.223.3.108 14.232.123.232 209.141.59.184 90.66.6.222 46.101.129.22 116.105.74.99 116.110.125.246 115.73.29.5 116.110.99.56 195.133.18.210 128.199.39.118 193.169.254.138 176.125.45.214 159.223.2.20 221.181.185.111 221.131.165.72 165.22.197.22 176.111.173.218 161.97.187.24 116.110.123.44 116.105.163.243 185.213.155.164 115.236.46.199 141.98.10.121 206.189.144.184 119.131.209.186 116.105.216.122 147.78.66.31 37.0.10.28 69.49.228.198 199.19.225.198 64.20.142.67 117.7.122.163 116.110.64.186 171.252.208.77 116.105.77.250 69.136.1.144 45.141.84.10 78.152.192.200 109.91.205.202 83.4.194.64 173.174.124.207 209.141.33.121 141.98.10.60 94.232.46.202 24.148.24.59 75.113.213.108 222.186.42.137 222.187.232.39 141.98.10.109 86.152.79.137 176.111.173.237 134.122.59.237 212.192.246.124 78.198.56.121 134.122.59.223 2.56.59.39 221.131.165.65 221.131.165.33 67.63.94.101 23.24.152.174 141.98.10.81 171.227.197.219 116.98.166.82 116.105.172.23 222.186.30.112 60.170.247.162 221.131.165.50 222.186.180.130 176.111.173.226 221.181.185.94 45.88.137.100 222.186.30.76 209.141.44.165 222.186.42.13

3日間で、4回失敗で1週間アク禁。
11/1くらいから、241件アク禁にして、現在90件アク禁中。
151件を釈放。

ログを見てると、18時間間隔で 2回試行するとか、明らかに fail2ban を避けるパターンのやつがいるんだな。

ふと、再犯してるのどれだけだろう? と疑問に思い、調べると、再犯者を長期アク禁にできるとの事で、早速設定変更。

次のコマンドを実行

# vi /etc/fail2ban/jail.local

1	# vi /etc/fail2ban/jail.local

次の設定を追加

[recidive]
enabled = true
bantime  = 31536000 ; 1 year
findtime = 1209600  ; 2 weeks
maxretry = 1

[recidive]

enabled = true

bantime = 31536000 ; 1 year

findtime = 1209600 ; 2 weeks

maxretry = 1

fail2ban.logを調べて、再犯者は2週間以内に1回のログイン失敗でアウト、懲役1年(笑)

【追記 2681/11/20】
maxretry = 1 だと、fail2ban.log で、Ban 1回で作動してしまうので、 2 に変更した。
【/追記 2681/11/20】

root@irc:~# fail2ban-client status recidive
Status for the jail: recidive
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	33
|  `- File list:	/var/log/fail2ban.log
`- Actions
   |- Currently banned:	33
   |- Total banned:	33
   `- Banned IP list:	209.141.33.121 141.98.10.60 94.232.46.202 24.148.24.59 75.113.213.108 222.186.42.137 222.187.232.39 141.98.10.109 86.152.79.137 176.111.173.237 134.122.59.237 212.192.246.124 78.198.56.121 134.122.59.223 2.56.59.39 221.131.165.65 221.131.165.33 67.63.94.101 23.24.152.174 141.98.10.81 171.227.197.219 116.98.166.82 116.105.172.23 222.186.30.112 60.170.247.162 221.131.165.50 222.186.180.130 176.111.173.226 221.181.185.94 45.88.137.100 222.186.30.76 209.141.44.165 222.186.42.13

root@irc:~# fail2ban-client status recidive

Status for the jail: recidive

|- Filter

| |- Currently failed: 0

| |- Total failed: 33

| `- File list: /var/log/fail2ban.log

`- Actions

|- Currently banned: 33

|- Total banned: 33

`- Banned IP list: 209.141.33.121 141.98.10.60 94.232.46.202 24.148.24.59 75.113.213.108 222.186.42.137 222.187.232.39 141.98.10.109 86.152.79.137 176.111.173.237 134.122.59.237 212.192.246.124 78.198.56.121 134.122.59.223 2.56.59.39 221.131.165.65 221.131.165.33 67.63.94.101 23.24.152.174 141.98.10.81 171.227.197.219 116.98.166.82 116.105.172.23 222.186.30.112 60.170.247.162 221.131.165.50 222.186.180.130 176.111.173.226 221.181.185.94 45.88.137.100 222.186.30.76 209.141.44.165 222.186.42.13

その条件でも、33件該当。
1週間アクセス不能だったとしても、スクリプトでやり続けてんだろうなあ。

皇紀2681年10月24日2021年10月27日

【作業記録】fail2ban設定変更

【作業記録】fail2ban インストール

/var/log/auth.log を見ると、既定の fail2ban.conf を避けるようにアクセスしてる奴が居たので、そういう奴を締め出すように設定変更。

[DEFAULT]
backend = polling
banaction = iptables-multiport[blocktype=DROP]

[sshd]
# "bantime" is the number of seconds that a host is banned.
bantime  = 1w

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = 3d

# "maxretry" is the number of failures before a host get banned.
maxretry = 4

mode = aggressive

[DEFAULT]

backend = polling

banaction = iptables-multiport[blocktype=DROP]

[sshd]

# "bantime" is the number of seconds that a host is banned.

bantime = 1w

# A host is banned if it has generated "maxretry" during the last "findtime"

# seconds.

findtime = 3d

# "maxretry" is the number of failures before a host get banned.

maxretry = 4

mode = aggressive

blocktypeをDROPに、出入り禁止期間１週間、アクセス監視期間 3日、4回失敗でアウト。

情報源: iptablesはDROPすべきか、REJECTか。tcp-resetという手も – のめうブログ

注意すべき点は、これ、自分で sshのログインに4回失敗すると、セルフ出入り禁止になっちゃうので気をつけないといけない。

まあ、Kagoya VPSの場合、Webからアクセスしてコンソールからログインしたら回避できるので、特に問題は無いけど、会社の契約するサーバーなんかで maxretry = 3 とかになってて、アク禁喰らった事が何度かあったんだな。

【追記】

root@irc:~# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	48
|  |- Total failed:	326
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	51
   |- Total banned:	52
   `- Banned IP list:	199.19.225.248 209.141.60.103 209.141.55.232 165.232.73.255 141.98.10.60 211.220.60.139 83.197.11.156 84.39.185.25 45.141.84.126 222.187.232.39 221.131.165.65 141.98.10.81 117.68.2.93 68.183.180.46 88.198.43.118 209.141.47.39 222.186.30.112 185.73.124.100 222.186.42.7 185.73.124.253 198.98.48.67 64.92.16.242 199.19.224.76 222.186.42.137 60.170.247.162 199.195.253.199 64.20.142.67 222.186.42.13 141.98.10.82 222.186.30.76 199.195.251.49 221.131.165.50 222.186.180.130 209.141.59.184 211.196.226.37 221.131.165.33 202.29.214.13 2.222.115.231 209.141.53.99 205.185.116.163 217.229.50.210 159.223.2.20 221.131.165.75 205.185.119.4 221.181.185.151 221.163.103.143 209.141.36.13 198.98.52.12 221.181.185.94 222.187.254.41 209.141.33.121

root@irc:~# fail2ban-client status sshd

Status for the jail: sshd

|- Filter

| |- Currently failed: 48

| |- Total failed: 326

| `- File list: /var/log/auth.log

`- Actions

|- Currently banned: 51

|- Total banned: 52

`- Banned IP list: 199.19.225.248 209.141.60.103 209.141.55.232 165.232.73.255 141.98.10.60 211.220.60.139 83.197.11.156 84.39.185.25 45.141.84.126 222.187.232.39 221.131.165.65 141.98.10.81 117.68.2.93 68.183.180.46 88.198.43.118 209.141.47.39 222.186.30.112 185.73.124.100 222.186.42.7 185.73.124.253 198.98.48.67 64.92.16.242 199.19.224.76 222.186.42.137 60.170.247.162 199.195.253.199 64.20.142.67 222.186.42.13 141.98.10.82 222.186.30.76 199.195.251.49 221.131.165.50 222.186.180.130 209.141.59.184 211.196.226.37 221.131.165.33 202.29.214.13 2.222.115.231 209.141.53.99 205.185.116.163 217.229.50.210 159.223.2.20 221.131.165.75 205.185.119.4 221.181.185.151 221.163.103.143 209.141.36.13 198.98.52.12 221.181.185.94 222.187.254.41 209.141.33.121

3日間で51のIPアドレスをBAN。大漁や〜

【/追記】

皇紀2681年10月23日2021年10月26日

【作業記録】fail2ban インストール

Kagoya VPS の Ubuntu 20.04 で、ssh への攻撃が多数あり、色々試させない為にfail2banをインストール

root@irc:~# apt install fail2ban
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています                
状態情報を読み取っています... 完了
以下の追加パッケージがインストールされます:
  python3-pyinotify whois
提案パッケージ:
  mailx monit sqlite3 python-pyinotify-doc
以下のパッケージが新たにインストールされます:
  fail2ban python3-pyinotify whois
アップグレード: 0 個、新規インストール: 3 個、削除: 0 個、保留: 1 個。
444 kB のアーカイブを取得する必要があります。
この操作後に追加で 2,400 kB のディスク容量が消費されます。
続行しますか? [Y/n]

root@irc:~# apt install fail2ban

パッケージリストを読み込んでいます... 完了

依存関係ツリーを作成しています

状態情報を読み取っています... 完了

以下の追加パッケージがインストールされます:

python3-pyinotify whois

提案パッケージ:

mailx monit sqlite3 python-pyinotify-doc

以下のパッケージが新たにインストールされます:

fail2ban python3-pyinotify whois

アップグレード: 0 個、新規インストール: 3 個、削除: 0 個、保留: 1 個。

444 kB のアーカイブを取得する必要があります。

この操作後に追加で 2,400 kB のディスク容量が消費されます。

続行しますか? [Y/n]

情報源: 【Ubuntu Desktop 20.04】Fail2Banをインストールする – Crieit

情報源によると、既定で sshd は有効となっているそうで、特に何もしなくても良さそう。

root@irc:/etc/fail2ban# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	0
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	0
   |- Total banned:	0
   `- Banned IP list:

root@irc:/etc/fail2ban# fail2ban-client status sshd

Status for the jail: sshd

|- Filter

| |- Currently failed: 0

| |- Total failed: 0

| `- File list: /var/log/auth.log

`- Actions

|- Currently banned: 0

|- Total banned: 0

`- Banned IP list:

しかし、待てど暮せど中々 Ban してくれない。

これは私も経験済みです。jail.local（jail.conf）の設定は「backend = auto」で良いよとされてはいるのですが、起動時のログを見ると backend が “pyinotify” に設定されてしまいます。

情報源: fail2banをうまく動かすためのTips。正規表現はシンプルに見やすく – のめうブログ

/var/log/fail2ban.log を見てみると、

2021-10-23 15:33:56,022 fail2ban.jail           [4794]: INFO    Initiated 'pyinotify' backend

1	2021-10-23 15:33:56,022 fail2ban.jail [4794]: INFO Initiated 'pyinotify' backend

pyinotify って知らんけど、backend の動作モードが違っててワロタ。

root@irc:/etc/fail2ban# vi jail.local

1	root@irc:/etc/fail2ban# vi jail.local

[DEFAULT]
backend = polling

1 2	[DEFAULT] backend = polling

新規ファイルを作成して、動作モードを polling にして、設定を再読込。

root@irc:/etc/fail2ban# systemctl reload fail2ban

1	root@irc:/etc/fail2ban# systemctl reload fail2ban

2021-10-23 16:19:28,642 fail2ban.jail           [4794]: INFO    Initiated 'polling' backend

1	2021-10-23 16:19:28,642 fail2ban.jail [4794]: INFO Initiated 'polling' backend

無事、polling モードで動作するようになった。

皇紀2681年10月22日2021年11月1日

IPアドレスが逆さま

softether で、L3スイッチに設定したIPアドレスを、192.168.30.0 のゲートウェイにすべく、ルータに経路設定したのだが、なぜかIPアドレスが253.11.16.192と逆さまになっている。

noizumi@greyhound:~$ ping 192.168.30.1
PING 192.168.30.1 (192.168.30.1) 56(84) バイトのデータ
64 バイト応答 送信元 192.168.30.1: icmp_seq=1 ttl=126 時間=33.2ミリ秒
送信元 192.168.11.1 icmp_seq=2 ホストのリダイレクト(新しい次ホップ: 253.11.168.192)
64 バイト応答 送信元 192.168.30.1: icmp_seq=2 ttl=126 時間=32.6ミリ秒
送信元 192.168.11.1 icmp_seq=3 ホストのリダイレクト(新しい次ホップ: 253.11.168.192)
64 バイト応答 送信元 192.168.30.1: icmp_seq=3 ttl=126 時間=32.8ミリ秒
送信元 192.168.11.1 icmp_seq=4 ホストのリダイレクト(新しい次ホップ: 253.11.168.192)
64 バイト応答 送信元 192.168.30.1: icmp_seq=4 ttl=126 時間=32.6ミリ秒
送信元 192.168.11.1 icmp_seq=5 ホストのリダイレクト(新しい次ホップ: 253.11.168.192)
64 バイト応答 送信元 192.168.30.1: icmp_seq=5 ttl=126 時間=32.5ミリ秒
送信元 192.168.11.1 icmp_seq=6 ホストのリダイレクト(新しい次ホップ: 253.11.168.192)
64 バイト応答 送信元 192.168.30.1: icmp_seq=6 ttl=126 時間=31.8ミリ秒
^C
--- 192.168.30.1 ping 統計 ---
送信パケット数 6, 受信パケット数 6, +5 エラー, パケット損失 0%, 時間 5007ミリ秒
rtt 最小/平均/最大/mdev = 31.764/32.569/33.199/0.426ミリ秒

noizumi@greyhound:~$ ping 192.168.30.1

PING 192.168.30.1 (192.168.30.1) 56(84) バイトのデータ

64 バイト応答送信元 192.168.30.1: icmp_seq=1 ttl=126 時間=33.2ミリ秒

送信元 192.168.11.1 icmp_seq=2 ホストのリダイレクト(新しい次ホップ: 253.11.168.192)

64 バイト応答送信元 192.168.30.1: icmp_seq=2 ttl=126 時間=32.6ミリ秒

送信元 192.168.11.1 icmp_seq=3 ホストのリダイレクト(新しい次ホップ: 253.11.168.192)

64 バイト応答送信元 192.168.30.1: icmp_seq=3 ttl=126 時間=32.8ミリ秒

送信元 192.168.11.1 icmp_seq=4 ホストのリダイレクト(新しい次ホップ: 253.11.168.192)

64 バイト応答送信元 192.168.30.1: icmp_seq=4 ttl=126 時間=32.6ミリ秒

送信元 192.168.11.1 icmp_seq=5 ホストのリダイレクト(新しい次ホップ: 253.11.168.192)

64 バイト応答送信元 192.168.30.1: icmp_seq=5 ttl=126 時間=32.5ミリ秒

送信元 192.168.11.1 icmp_seq=6 ホストのリダイレクト(新しい次ホップ: 253.11.168.192)

64 バイト応答送信元 192.168.30.1: icmp_seq=6 ttl=126 時間=31.8ミリ秒

--- 192.168.30.1 ping 統計 ---

送信パケット数 6, 受信パケット数 6, +5 エラー, パケット損失 0%, 時間 5007ミリ秒

rtt 最小/平均/最大/mdev = 31.764/32.569/33.199/0.426ミリ秒

昔、Laneed の無線LANルータ使ってて、設定したIPアドレスが逆さまになる現象が発生した覚えがあるが、わしの部屋は夏場灼熱地獄だし、長期間稼働しっ放しだと壊れるのかもしれん。

BUFFALO BHR-4GRV は、表示はおかしいけど、一応PING のICMPは届いているのが謎だが、もうそろそろ寿命かねえ。

【追記】
これ、TP-Link Archer MR600に変えても同じだった。
なんか気味悪いのう
【/追記】

皇紀2681年10月17日2023年7月15日

【作業記録】cron-aptインストール、postfix設定

KaguyaのVPSで放置してても、システムを常に最新にしてくれる cron-apt を設定する。

しかし、cron-apt ってメールシステム必須なので、postfixが付随してインストールされてしまうので、不本意ながらメールシステムも設定する。

noizumi@irc:~$ sudo apt install cron-apt
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています
状態情報を読み取っています... 完了
以下の追加パッケージがインストールされます:
liblockfile-bin liblockfile1 postfix
提案パッケージ:
procmail postfix-mysql postfix-pgsql postfix-ldap postfix-pcre postfix-lmdb
postfix-sqlite sasl2-bin | dovecot-common resolvconf postfix-cdb mail-reader
postfix-doc
以下のパッケージが新たにインストールされます:
cron-apt liblockfile-bin liblockfile1 postfix
アップグレード: 0 個、新規インストール: 4 個、削除: 0 個、保留: 1 個。
1,239 kB のアーカイブを取得する必要があります。
この操作後に追加で 4,755 kB のディスク容量が消費されます。
続行しますか? [Y/n]

noizumi@irc:~$ sudo apt install cron-apt

パッケージリストを読み込んでいます... 完了

依存関係ツリーを作成しています

状態情報を読み取っています... 完了

以下の追加パッケージがインストールされます:

liblockfile-bin liblockfile1 postfix

提案パッケージ:

procmail postfix-mysql postfix-pgsql postfix-ldap postfix-pcre postfix-lmdb

postfix-sqlite sasl2-bin | dovecot-common resolvconf postfix-cdb mail-reader

postfix-doc

以下のパッケージが新たにインストールされます:

cron-apt liblockfile-bin liblockfile1 postfix

アップグレード: 0 個、新規インストール: 4 個、削除: 0 個、保留: 1 個。

1,239 kB のアーカイブを取得する必要があります。

この操作後に追加で 4,755 kB のディスク容量が消費されます。

続行しますか? [Y/n]

・postfixの設定編集

よく考えたら、リレーホストにTLS接続する為に、SSLのサイトの正式名称でないとエラーになるはずなので、わしのプロバイダのサーバーの正式名称である sv96.xserver.jp にしないといけない。

そして、プロバイダのメールアカウントの認証を通す為に末尾に設定を追加。

root@irc:/etc/postfix# vi /etc/postfix/main.cf

1	root@irc:/etc/postfix# vi /etc/postfix/main.cf

…
relayhost = [sv96.xserver.jp]:587
…
smtpd_sasl_auth_enable = yes
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/smtp_sasl_password
smtp_sasl_security_options = noanonymous
smtp_sasl_mechanism_filter = plain
smtp_use_tls = yes
smtp_tls_CAfile = /etc/postfix/cert/gd_bundle-g2-g1.crt

…

relayhost = [sv96.xserver.jp]:587

…

smtpd_sasl_auth_enable = yes

smtp_sasl_auth_enable = yes

smtp_sasl_password_maps = hash:/etc/postfix/smtp_sasl_password

smtp_sasl_security_options = noanonymous

smtp_sasl_mechanism_filter = plain

smtp_use_tls = yes

smtp_tls_CAfile = /etc/postfix/cert/gd_bundle-g2-g1.crt

・中間証明書取得

TLS接続に中間証明書が無いとエラーになる事があるので、goddadyから頂いて /etc/postfix/cert ディレクトリに設置する。

root@irc:/etc/postfix# mkdir cert
root@irc:/etc/postfix# cd cert
root@irc:/etc/postfix/cert# wget https://certs.godaddy.com/repository/gd_bundle-g2-g1.crt
--2021-10-17 12:51:37-- https://certs.godaddy.com/repository/gd_bundle-g2-g1.crt
Resolving certs.godaddy.com (certs.godaddy.com)... 173.201.249.4
Connecting to certs.godaddy.com (certs.godaddy.com)|173.201.249.4|:443... connected.
HTTP request sent, awaiting response... 200
Length: 4795 (4.7K) [application/octet-stream]
Saving to: ‘gd_bundle-g2-g1.crt’

gd_bundle-g2-g1.crt 100%[===================>] 4.68K --.-KB/s in 0s

2021-10-17 12:51:38 (303 MB/s) - ‘gd_bundle-g2-g1.crt’ saved [4795/4795]

root@irc:/etc/postfix# mkdir cert

root@irc:/etc/postfix# cd cert

root@irc:/etc/postfix/cert# wget https://certs.godaddy.com/repository/gd_bundle-g2-g1.crt

--2021-10-17 12:51:37-- https://certs.godaddy.com/repository/gd_bundle-g2-g1.crt

Resolving certs.godaddy.com (certs.godaddy.com)... 173.201.249.4

Connecting to certs.godaddy.com (certs.godaddy.com)|173.201.249.4|:443... connected.

HTTP request sent, awaiting response... 200

Length: 4795 (4.7K) [application/octet-stream]

Saving to: ‘gd_bundle-g2-g1.crt’

gd_bundle-g2-g1.crt 100%[===================>] 4.68K --.-KB/s in 0s

2021-10-17 12:51:38 (303 MB/s) - ‘gd_bundle-g2-g1.crt’ saved [4795/4795]

・パスワード認証ファイルの用意

root@irc:/etc/postfix# vi smtp_sasl_password

1	root@irc:/etc/postfix# vi smtp_sasl_password

[sv96.xserver.jp]:587 アカウント名:パスワード

1	[sv96.xserver.jp]:587 アカウント名:パスワード

root@irc:/etc/postfix# postmap smtp_sasl_password

1	root@irc:/etc/postfix# postmap smtp_sasl_password

・postfixの再起動

root@irc:/etc/postfix# systemctl restart postfix

1	root@irc:/etc/postfix# systemctl restart postfix

・テストメール送信

root@irc:/etc/postfix# cat << _EOD_|sendmail -t
> From: 差出人メールアドレス
> To: 宛先メールアドレス
> Subject: test
>
> This is test mail.
> _EOD_

root@irc:/etc/postfix# cat << _EOD_|sendmail -t

> From: 差出人メールアドレス

> To: 宛先メールアドレス

> Subject: test

> This is test mail.

> _EOD_

・cron-apt設定

root@irc:/etc/cron-apt# vi config

1	root@irc:/etc/cron-apt# vi config

…
MAILTO="わしのメールアドレス"
OPTIONS="-o quiet=1"

…

MAILTO="わしのメールアドレス"

OPTIONS="-o quiet=1"

root@irc:/etc/cron-apt# vi action.d/3-download

1	root@irc:/etc/cron-apt# vi action.d/3-download

autoclean -y
dist-upgrade -y -o APT::Get::Show-Upgraded=true

1 2	autoclean -y dist-upgrade -y -o APT::Get::Show-Upgraded=true

テスト実行

root@irc:/etc/cron-apt# /usr/sbin/cron-apt

1	root@irc:/etc/cron-apt# /usr/sbin/cron-apt

ログの確認

root@irc:/etc/cron-apt# less /var/log/cron-apt/log

1	root@irc:/etc/cron-apt# less /var/log/cron-apt/log

これで VPS放置してても勝手にアップデートされる。

皇紀2681年10月16日2021年10月17日

VPS変更

WebARENA VPS indigo で VPN gateway を作ったが、VPN接続して、radiko 聴いたら即ブロック。

一応、端末でサーバー状態をモニタしていたが、Load avarage 0.02 位で全然負荷が掛かってない。

一体、どういう基準でブロックしてやがるのか? とサポートに問い合わせたら、次のページの条件だとの事。

情報源: インスタンスの安定運用の目安 | Indigo | VPS（仮想専用サーバー）はWebARENA

「1時間あたりのPV数 400PV以下」って、VPNパケット400個でブロックって事?そりゃ、ストリーム系の通信ながしたら即ブロックになるわなあ。

話にならん。という事で即解約。

道理でサクサク動いてると思ったら、用途としては、ほぼ誰も見ないわしみたいな(^^;個人用Webページ設置くらいしか使えん訳だ。

という訳で、Kagoya のVPSを契約。VPS indigo とほぼ同等で、値段はちょっと高い550円/月。使ってみた限りでは、indigoよりちょっともっさりした感はあるけど、ちょっとした事ですぐブロックしてないからだろう。

運用制限に関しては、ブロックしたりせずに帯域制限を行なう場合があると Webに書かれていて、こっちの方が何倍もええやんけ。

早速、KagoyaのVPSで、VPN gatewayを構築し、SoftEther VPN Server入れて、家のホームサーバから仮想Hubへカスケード接続。

indigo では仮想Hubへカスケード接続して家のDHCPからIPアドレス振ってたけど、これだと、VPSにVPN接続したら、DHCPのbroadcastに従い、gatewayが家のルータになるので、家のルータからインターネットへ出てしまう。

今後、楽天モバイル固定回線化した場合に、家経由したら通信が物凄く遅くなるので、今回は、仮想Hub に仮想DHCP動かして、secureNATでVPSから即インターネットにアクセスという様にした。

家へアクセスの為に、レイヤー3スイッチを有効にして、仮想Hub間ルーティングにより、VPNで接続したマシンから家のマシンへ接続する設定をしたのだが、ゲートウェイ設定を間違っていてまだできてない。

すぐに直したかったのだが、仮想マシンに SoftEther VPN Client入れたせいで、再起動が頻繁に起こり、仮想マシンのWindows 10 が破壊されてしまったので、今日一日、修復を試みて、最終的に修復インストール 2回目で何とか成功したという感じ。

なにせ、仮想マシンのWindows 10を起動すると、すぐに青画面になって、全然操作できない状態になっていた。

【追記】
修復インストールした Windows 10でも青画面が出て、おかしいなと思ったが、その時に、VPN接続を行なっていた。

VIrtualBox で青画面になるのは、どうやら、Hostマシンの Ubuntu 20.04で VPN 接続すると、検証した訳ではないが、KVMに悪影響が出るみたいだ。

VPN切断して、仮想マシンを起動したら青画面にならなくなったので、VirtualBox の仮想マシンを動かす時は、HostマシンでVPN接続するとマズいのだな。

【/追記】

時折、運良くPIN入力ができて、運良くセーフモード起動設定ができて、運良くセーフモードで起動するという偶然が重なって、sfc /scannowとかやって、また運良く通常起動で何とか修復インストールまで辿りついたが、よく修復できたものだと思う。くそが。

これから、修復完了したWindows 10に SoftEther VPN server管理ツールをインストールして、ゲートウェイ設定を直すつもり。

皇紀2681年10月16日

VPSとLAN共有その3

VPSとLAN共有その2

結局の所、SoftEther VPN serverをインストールし、そのIPSec/L2TPだと、何の問題も無く接続できた。

SoftEtherって、前チェックした時は Windows版しか無くて、その後全然動向を確認していなかったのだが、今では、Win、Linux、Macと網羅しているようだ。

Linux版は、intel/AMDは勿論、Raspberry Pi が流行したせいか、ARM版まである。

そこで、家の Raspberry Pi 4のARM 64bitのホームサーバにSoftEther VPN Bridge を入れてみたが、問題無く動いている。

家からVPS indigo の仮想Hubへカスケード接続すると、家のネットワークとLayer 2で仮想的に物理接続したみたいになり、家のルータのDHCPの broadcast がVPSの仮想Hubにも流れ、IPSec/L2TPで VPN 接続したマシンに家のルータのIPアドレスが振られる。

これはかなりいいな。気に入った。

SoftEther のWeb見てると、作者は Linux のプログラムが効率的でなく、性能が低いと書かれていて、Windows信者なのだが、SoftEther VPN Client を仮想マシンの Windows 10にインストールして使ってたら、仮想マシンがいきなり再起動するって現象が何度も起こり、ついに修復インストールをやるハメになってしまった。

いかに性能がよろしくても、こんな風に環境崩壊して、安定して使えないというのは本末転倒ではないのか?

天才プログラマーが２週間で構築　テレワークシステムが好評 – 産経ニュース

この作者って、拙ブログで取り上げたニュースの人なんだけど、この SoftEther って暗号通信のプログラムを永年やってきたから、それをベースに2週間で作れたんだって話をしたが、まあ、天才には違いない。

だけど、OSが腐ってるから、いくら高性能のもの作ったところで、まさに「砂上の楼閣」なんだよねえ。

皇紀2681年10月12日2021年10月16日

VPSとLAN共有その2

VPS とLAN共有

会社の仮想マシンの Ubuntu 20.04LTSに network-manager-l2tp-gnome をインストールして、VPS indigo のIPSec/L2TP に接続した所、

Received out of order control packet on tunnel 23815 (got 5, expected 6)

みたいな xl2tpd のエラーは出ず、安定的に接続できた。

違いと言えば、会社の回線はフレッツ光隼で OCN の回線で、ルーターは CISCO rv260
わしのは、フレッツ光隼で、mopera Uの回線で、ルーターは BAFFALO BHR-4GRV

回線によって違うのかルーターによって違うのか、何が原因なんだろうなあ。

皇紀2681年10月9日

WebARENA VPS Indigo 契約

楽天モバイル固定回線化への実証実験として、NTTPCのWebARENA VPS Indigoの契約をした。

いわゆるレンタルサーバーというやつだが、時間制になっていて、インスタンスを起動していなければ課金されず、月額上限が決まっていて、それ以上は課金されない。

1時間あたり、0.5円（税込0.55円）、メモリ1GB、1vCPU、20GBで月上限318円（税込349円）。安くなったなあ。

とりあえず、IPSec/L2TPとngircd を入れてみたが、携帯電話でちゃんとVPNに繋がるし、IRCもちゃんと接続できた。

あとは、apache入れて、certbot入れて Let’s Encryptで無料SSL取得する位かな。
ircbot はJAVAベースなので重いからちょっと考えよう。

それと、IPSec/L2TPの拠点間接続(家からレンタルサーバー)をやって、ちゃんと外から家のマシンにアクセスできるか試さないといけない。

楽天モバイル接続だと、動的IPアドレスになるので、レンタルサーバーから動的IPアドレスへのルーティングがうまくできるかが問題だな。

皇紀2681年5月29日2021年5月29日

楽天モバイル固定回線化テスト

サーバーに OPPO Reno3 Aの USBテザリングを使用して接続。
二箇所スピードテストをしてみた。

root@silverfox:~# speedtest --server 21569
Retrieving speedtest.net configuration...
Testing from Rakuten Mobile Network (133.106.62.11)...
Retrieving speedtest.net server list...
Retrieving information for the selected server...
Hosted by i3D.net (Tokyo) [0.91 km]: 252.318 ms
Testing download speed................................................................................
Download: 29.96 Mbit/s
Testing upload speed................................................................................................
Upload: 13.81 Mbit/s

root@silverfox:~# speedtest --server 28910
Retrieving speedtest.net configuration...
Testing from Rakuten Mobile Network (133.106.62.11)...
Retrieving speedtest.net server list...
Retrieving information for the selected server...
Hosted by fdcservers.net (Tokyo) [0.91 km]: 107.847 ms
Testing download speed...............................................................................
.Download: 26.19 Mbit/s
Testing upload speed................................................................................................
Upload: 14.95 Mbit/s

root@silverfox:~# speedtest --server 21569

Retrieving speedtest.net configuration...

Testing from Rakuten Mobile Network (133.106.62.11)...

Retrieving speedtest.net server list...

Retrieving information for the selected server...

Hosted by i3D.net (Tokyo) [0.91 km]: 252.318 ms

Testing download speed................................................................................

Download: 29.96 Mbit/s

Testing upload speed................................................................................................

Upload: 13.81 Mbit/s

root@silverfox:~# speedtest --server 28910

Retrieving speedtest.net configuration...

Testing from Rakuten Mobile Network (133.106.62.11)...

Retrieving speedtest.net server list...

Retrieving information for the selected server...

Hosted by fdcservers.net (Tokyo) [0.91 km]: 107.847 ms

Testing download speed...............................................................................

.Download: 26.19 Mbit/s

Testing upload speed................................................................................................

Upload: 14.95 Mbit/s

下り 26.19Mbps〜29.96Mbps
上り 13.81Mbps〜14.95Mbps
という感じ。充分実用にはなりそう。

電波がよく入る場所にCPE(Customer Premises Equipment)を設置すれば、もっと速度を上げられるかもしれんけど、電界強度的に80Mbps位が最大なので、それに数万円のコスト掛けてまでやろうとは思わんな。

皇紀2684年11月
日	月	火	水	木	金	土
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30