linux – ページ 6 – Yuji Noizumi's blog

皇紀2682年6月16日

家のネットワーク構成図

Kagoya VPSに softether 入れて、家のRaspberry Pi4 にもsoftether入れて、仮想HUBをカスケード接続している。

Kagoya VPSはインスタンス同士が通信する為にローカルネットワークを5つまで組み込む事ができるが、これを softetherの仮想HUBにローカルブリッジする為に使う。

VPSの方のローカルネットワークは192.168.30.0/24で、家のローカルネットワークは、192.168.11.0/24、それを仮想レイヤー3スイッチで繋いで、ローカルネットワーク同士が通信できるようにしている。

VPSの家のLAN の仮想HUB にVPN接続すると、まるで家でネットワークに繋いだ如く、家のルーターのDHCPでIPアドレスが払い出される。

何で、VPSのローカルネットワークと分けているかと言うと、VPSの方では仮想NATを使い、インターネットに出られるようにしているから。

これをやらないと、VPSの家の仮想HUBに繋いだら、家のルーター経由でインターネットに出てしまって、経路が長くなってしまう。

VPSに VPNを繋ぐと、VPSから外に出て、家に VPNで繋ぐと、家から外に出るというようにしたくてこういう構成にした。

という備忘録のテスト 🙂

皇紀2682年5月27日2022年5月28日

砂上の楼閣

会社の開発環境で、Windows 10のホストに、VirtualBox の Ubuntu 20.04のゲストの仮想マシンを動かして開発していた。

これが、3回に1回は起動せずにハングアップしたりして、極めて動作が不安定。

FirefoxはCPU使用率が300%を超えて応答しなかったり、突如ファイルシステムがread onlyになって書き込めなくなったりと、開発効率ダダ下がり。

わしは普段、家で Ubuntu 20.04を使ってるので、こんなに酷い現象なんかなった事無いし、Windows 10を使うより、ストレスフリーで快適に使えている。

あまりに酷いので、会社のマシンのWindowsのディスクユーティリティで、ディスクのWindows領域を半分に削って空きを作り、そこにUbuntu 22.04をインストールした。

要するに仮想マシンから実マシンへ開発環境を移行しようというのである。

で、その仮想マシンのイメージを実Ubuntu上へ持ってきて、設定ファイルを弄って VirtualBoxで起動させてみた所、すんなりサクサク動く。

Windows 10ホストのVirtualBoxって砂上の楼閣だったんだな。

どんなに安定性の高いOSでも、腐ってるWindows 10上では台無し。

過去にMicrosoftは、Exchangeサーバーで、Microsoft独自仕様以外のメールの通信で、Waitを入れて、わざと遅くして他人の足を引っ張る卑劣な真似をしていた。

なので、Windowsのハイパーバイザーが、仮想マシンのLinuxに遅延や障害を起こして、「Linuxは不安定」と思わせるネガティブキャンペーンをやってても不思議は無いと思ってる。

皇紀2682年4月9日

Bluetooth ヘッドフォンでA2DPに切り替えられない。

Anker の Soundcore Life U2 で Ubuntu 20.04に接続したら、headset の HSP/HFP のプロファイルに強制設定されて、高音質の A2DP sink に切り替えられなくなった。

昔の Ubuntu 14.04 あたりだと、問題なく切り替えられてたのに、音関係は 20.04で、無茶苦茶退化した。

Bluetooth ヘッドセットが A2DP に切り替えられなくて困る
https://matoken.org/blog/2020/04/10/im-having-trouble-switching-my-bluetooth-headset-to-a2dp/

このページの設定通り、/etc/pulse/default.pa を編集して、
load-module module-bluetooth-policy auto_switch=false

とやったら、A2DP sink の出力になった。headset の HSP/HFP は怖いので試してない(笑)。まあ、Skype の時しか使わないし、仮に Skype でヘッドセット使えなくなっても別に困らないし(笑)

皇紀2681年11月21日

【Raspberry Pi3】ACケーブル交換

昨日注文したヤツが今日届いた。デリバリープロバイダーだけど、隣町の運送業者で、関東だと配達が酷いそうだが、こちらは結構迅速に届けてくれる。

交換前は、電圧低下検出→電圧正常化→電圧低下検出→電圧正常化……の繰り返しだった。

root@raspberrypi:~# grep -i voltage /var/log/syslog
Nov 21 06:25:04 raspberrypi kernel: [1546958.955821] Under-voltage detected! (0x00050005)
Nov 21 06:25:08 raspberrypi kernel: [1546963.115859] Voltage normalised (0x00000000)
Nov 21 06:25:21 raspberrypi kernel: [1546975.595959] Under-voltage detected! (0x00050005)
Nov 21 06:25:25 raspberrypi kernel: [1546979.755982] Voltage normalised (0x00000000)
Nov 21 06:27:19 raspberrypi kernel: [1547094.156869] Under-voltage detected! (0x00050005)
Nov 21 06:27:25 raspberrypi kernel: [1547100.396872] Voltage normalised (0x00000000)
Nov 21 06:31:20 raspberrypi kernel: [1547335.438833] Under-voltage detected! (0x00050005)
Nov 21 06:31:25 raspberrypi kernel: [1547339.598746] Voltage normalised (0x00000000)
Nov 21 06:33:19 raspberrypi kernel: [1547453.999644] Under-voltage detected! (0x00050005)
Nov 21 06:33:25 raspberrypi kernel: [1547460.239644] Voltage normalised (0x00000000)
Nov 21 06:35:20 raspberrypi kernel: [1547574.640536] Under-voltage detected! (0x00050005)
Nov 21 06:35:24 raspberrypi kernel: [1547578.800528] Voltage normalised (0x00000000)

root@raspberrypi:~# grep -i voltage /var/log/syslog

Nov 21 06:25:04 raspberrypi kernel: [1546958.955821] Under-voltage detected! (0x00050005)

Nov 21 06:25:08 raspberrypi kernel: [1546963.115859] Voltage normalised (0x00000000)

Nov 21 06:25:21 raspberrypi kernel: [1546975.595959] Under-voltage detected! (0x00050005)

Nov 21 06:25:25 raspberrypi kernel: [1546979.755982] Voltage normalised (0x00000000)

Nov 21 06:27:19 raspberrypi kernel: [1547094.156869] Under-voltage detected! (0x00050005)

Nov 21 06:27:25 raspberrypi kernel: [1547100.396872] Voltage normalised (0x00000000)

Nov 21 06:31:20 raspberrypi kernel: [1547335.438833] Under-voltage detected! (0x00050005)

Nov 21 06:31:25 raspberrypi kernel: [1547339.598746] Voltage normalised (0x00000000)

Nov 21 06:33:19 raspberrypi kernel: [1547453.999644] Under-voltage detected! (0x00050005)

Nov 21 06:33:25 raspberrypi kernel: [1547460.239644] Voltage normalised (0x00000000)

Nov 21 06:35:20 raspberrypi kernel: [1547574.640536] Under-voltage detected! (0x00050005)

Nov 21 06:35:24 raspberrypi kernel: [1547578.800528] Voltage normalised (0x00000000)

5V3Aのケーブルに交換後は出なくなった。

今まで使ってたのって、Raspberry Pi3 買った時にセットで買ったもので、株式会社ケイエスワイのもので、5V2.5A とそんなに悪く無いのだけれど、0.5A違うと駄目なんだな。

多分、接続している Webカメラが電力を食うのだろう。というか、それしか外部部品は付けてないから、それしかない(笑)。

皇紀2681年11月21日2021年11月21日

【作業記録】監視カメラのRaspberry Pi3を自動更新&再起動

わしの Raspberry Pi3 は Raspbian GNU/Linux 9 (stretch)なので、自動更新にはなってないから、unattended-upgrades のパッケージをインストール。

root@raspberrypi:~# apt install unattended-upgrades
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています                
状態情報を読み取っています... 完了
提案パッケージ:
  needrestart
以下のパッケージが新たにインストールされます:
  unattended-upgrades
アップグレード: 0 個、新規インストール: 1 個、削除: 0 個、保留: 0 個。
61.7 kB のアーカイブを取得する必要があります。
この操作後に追加で 252 kB のディスク容量が消費されます。
取得:1 http://ftp.tsukuba.wide.ad.jp/Linux/raspbian/raspbian stretch/main armhf unattended-upgrades all 0.93.1+nmu1 [61.7 kB]
61.7 kB を 1秒 で取得しました (51.1 kB/s)
パッケージを事前設定しています ...
以前に未選択のパッケージ unattended-upgrades を選択しています。
(データベースを読み込んでいます ... 現在 137453 個のファイルとディレクトリがイン
ストールされています。)
.../unattended-upgrades_0.93.1+nmu1_all.deb を展開する準備をしています ...
unattended-upgrades (0.93.1+nmu1) を展開しています...
systemd (232-25+deb9u13) のトリガを処理しています ...
unattended-upgrades (0.93.1+nmu1) を設定しています ...

Creating config file /etc/apt/apt.conf.d/20auto-upgrades with new version

Creating config file /etc/apt/apt.conf.d/50unattended-upgrades with new version
Created symlink /etc/systemd/system/multi-user.target.wants/unattended-upgrades.
service → /lib/systemd/system/unattended-upgrades.service.
Synchronizing state of unattended-upgrades.service with SysV service script with
 /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable unattended-upgrades
man-db (2.7.6.1-2) のトリガを処理しています ...
systemd (232-25+deb9u13) のトリガを処理しています ...

root@raspberrypi:~# apt install unattended-upgrades

パッケージリストを読み込んでいます... 完了

依存関係ツリーを作成しています

状態情報を読み取っています... 完了

提案パッケージ:

needrestart

以下のパッケージが新たにインストールされます:

unattended-upgrades

アップグレード: 0 個、新規インストール: 1 個、削除: 0 個、保留: 0 個。

61.7 kB のアーカイブを取得する必要があります。

この操作後に追加で 252 kB のディスク容量が消費されます。

取得:1 http://ftp.tsukuba.wide.ad.jp/Linux/raspbian/raspbian stretch/main armhf unattended-upgrades all 0.93.1+nmu1 [61.7 kB]

61.7 kB を 1秒で取得しました (51.1 kB/s)

パッケージを事前設定しています ...

以前に未選択のパッケージ unattended-upgrades を選択しています。

(データベースを読み込んでいます ... 現在 137453 個のファイルとディレクトリがイン

ストールされています。)

.../unattended-upgrades_0.93.1+nmu1_all.deb を展開する準備をしています ...

unattended-upgrades (0.93.1+nmu1) を展開しています...

systemd (232-25+deb9u13) のトリガを処理しています ...

unattended-upgrades (0.93.1+nmu1) を設定しています ...

Creating config file /etc/apt/apt.conf.d/20auto-upgrades with new version

Creating config file /etc/apt/apt.conf.d/50unattended-upgrades with new version

Created symlink /etc/systemd/system/multi-user.target.wants/unattended-upgrades.

service → /lib/systemd/system/unattended-upgrades.service.

Synchronizing state of unattended-upgrades.service with SysV service script with

/lib/systemd/systemd-sysv-install.

Executing: /lib/systemd/systemd-sysv-install enable unattended-upgrades

man-db (2.7.6.1-2) のトリガを処理しています ...

systemd (232-25+deb9u13) のトリガを処理しています ...

needrestart パッケージが提案パッケージになっとるけど、要るのかなあ?

後は次の記事を参考に設定。

【作業記録】自動更新&再起動設定

防犯監視カメラだから、深夜に再起動するのはマズいので、昼間に再起動するようにした。

まあ、Raspberry Pi3 だと、数秒で復帰するから、特に問題は無いだろう。

そして、apt-cron をアンインストール

root@raspberrypi:~# apt remove cron-apt 
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています                
状態情報を読み取っています... 完了
以下のパッケージは「削除」されます:
  cron-apt
アップグレード: 0 個、新規インストール: 0 個、削除: 1 個、保留: 0 個。
この操作後に 171 kB のディスク容量が解放されます。
続行しますか? [Y/n] 
(データベースを読み込んでいます ... 現在 137490 個のファイルとディレクトリがイン
ストールされています。)
cron-apt (0.10.0) を削除しています ...
man-db (2.7.6.1-2) のトリガを処理しています ...

root@raspberrypi:~# apt remove cron-apt

パッケージリストを読み込んでいます... 完了

依存関係ツリーを作成しています

状態情報を読み取っています... 完了

以下のパッケージは「削除」されます:

cron-apt

アップグレード: 0 個、新規インストール: 0 個、削除: 1 個、保留: 0 個。

この操作後に 171 kB のディスク容量が解放されます。

続行しますか? [Y/n]

(データベースを読み込んでいます ... 現在 137490 個のファイルとディレクトリがイン

ストールされています。)

cron-apt (0.10.0) を削除しています ...

man-db (2.7.6.1-2) のトリガを処理しています ...

皇紀2681年11月20日

【作業記録】自動更新&再起動設定

cron-apt 使ってて、更新はメールで通知してくれるが、再起動は必要に応じて自分でやらないといけないのがマンドクセと思っていた。

そして自動で再起動する方法ねーかな?と探してみた所、次のページをハケーン。

https://unluckysystems.com/ubuntu-20-04-lts%e3%81%ae%e8%87%aa%e5%8b%95%e3%82%a2%e3%83%83%e3%83%97%e3%83%87%e3%83%bc%e3%83%88%e3%81%a8%e3%80%81%e8%87%aa%e5%8b%95%e5%86%8d%e8%b5%b7%e5%8b%95%e3%82%92%e8%a8%ad%e5%ae%9a%e3%81%97/

Ubuntu 20.04 LTSから、自動でアップデートするようになってたのか。cron-apt要らねーじゃん。知らんかった(笑)

# vi /etc/apt/apt.conf.d/50unattended-upgrades

1	# vi /etc/apt/apt.conf.d/50unattended-upgrades

//Unattended-Upgrade::Automatic-Reboot "false";
Unattended-Upgrade::Automatic-Reboot "true";


……


//Unattended-Upgrade::Automatic-Reboot-Time "02:00";
Unattended-Upgrade::Automatic-Reboot-Time "03:00";

//Unattended-Upgrade::Automatic-Reboot "false";

Unattended-Upgrade::Automatic-Reboot "true";

……

//Unattended-Upgrade::Automatic-Reboot-Time "02:00";

Unattended-Upgrade::Automatic-Reboot-Time "03:00";

再起動するのを有効化して、午前2時だと、まだ起きてる可能性があるので、午前3時に設定。

root@irc:~# apt remove cron-apt
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています                
状態情報を読み取っています... 完了
以下のパッケージが自動でインストールされましたが、もう必要とされていません:
  liblockfile-bin liblockfile1
これを削除するには 'apt autoremove' を利用してください。
以下のパッケージは「削除」されます:
  cron-apt
アップグレード: 0 個、新規インストール: 0 個、削除: 1 個、保留: 1 個。
この操作後に 91.1 kB のディスク容量が解放されます。
続行しますか? [Y/n]

root@irc:~# apt remove cron-apt

パッケージリストを読み込んでいます... 完了

依存関係ツリーを作成しています

状態情報を読み取っています... 完了

以下のパッケージが自動でインストールされましたが、もう必要とされていません:

liblockfile-bin liblockfile1

これを削除するには 'apt autoremove' を利用してください。

以下のパッケージは「削除」されます:

cron-apt

アップグレード: 0 個、新規インストール: 0 個、削除: 1 個、保留: 1 個。

この操作後に 91.1 kB のディスク容量が解放されます。

続行しますか? [Y/n]

そして cron-apt を削除。
これで、Kagoya VPS は放置してても、常に最新状態に保たれる訳だな。

昔、KDDIの回線引いて、固定IPアドレス8個貰って、家でサーバー運用……とはいえ、VAIOのノートPCにKondara MNU/Linux 入れて自分のウェブサイトを公開していた。

ノートPCをサーバーにしたら、UPS要らず。
そう思っていた時期が僕にもありました。

移動の際に電源引っこ抜いたら、即座にブチンと画面暗転。

2〜3回しか充電してないL型バッテリが、24時間運用で、1年間電源に繋いでいたら、お亡くなりになっていた。

ノートPCはUPS要らずのサーバーにはならない。それが教訓。

デジタルファクトリが潰れて、OSが更新されなくなって、クラッキングを受けて、X Serverにサイトを移し替えた。

当時、OSのシステムメンテナンスは非常に面倒臭く、自分でセキュリティ情報を集めて、必要とあれば、自分でゴリゴリカーネル再構築とかやってた時代だったので、クラックされるようではアカンと思い、業者に丸投げ(^^;

今はそれも OS がやってくれるので、便利な時代になったものじゃて。

皇紀2681年11月20日2021年11月20日

【作業記録】Ubuntu 20.04 LTSに livepatch

家のマシンで、Ubuntu 20.04LTSを入れた時、livepatch という、再起動しなくてもセキュリティホールにpatch当ててくれる canonical社のサービスを設定するよう促されたので、入れたのだが、よく分かってなかった。

どうやら、カーネルにパッチを当てるんだけど、カーネルパッケージの更新はしてくれないようなので、サーバーとか、再起動を頻繁にできないマシンに対するサービスのようで、会社に行ってる間に電源を落とす個人PCには不要なものだと分かった。

で、このライセンスが個人なら 3台まで使えるとの事で、24時間運用の Kagoya VPSのUbuntu 20.04に導入しようと思ったので、その作業記録(長い前置きだ(^^;)。

https://ubuntu.com/security/livepatch

の下の方にあるやり方でやる。トークンは、ログインして、右上の自分の名前をクリックすると、UA subscriptions ってページを開くと出てくる。

root@irc:~# ua attach [TOKEN]
Enabling default service esm-infra
Updating package lists
UA Infra: ESM enabled
Enabling default service livepatch
Installing snapd
Updating package lists
Installing canonical-livepatch snap
Canonical livepatch enabled.
This machine is now attached to 'yuji＠noizumi.org'

SERVICE       ENTITLED  STATUS    DESCRIPTION
cis           yes       disabled  Center for Internet Security Audit Tools
esm-infra     yes       enabled   UA Infra: Extended Security Maintenance (ESM)
fips          yes       disabled  NIST-certified core packages
fips-updates  yes       disabled  NIST-certified core packages with priority security updates
livepatch     yes       enabled   Canonical Livepatch service

NOTICES
Operation in progress: ua attach

Enable services with: ua enable <service>

     Account: yuji＠noizumi.org
Subscription: yuji＠noizumi.org

root@irc:~# ua attach [TOKEN]

Enabling default service esm-infra

Updating package lists

UA Infra: ESM enabled

Enabling default service livepatch

Installing snapd

Updating package lists

Installing canonical-livepatch snap

Canonical livepatch enabled.

This machine is now attached to 'yuji＠noizumi.org'

SERVICE ENTITLED STATUS DESCRIPTION

cis yes disabled Center for Internet Security Audit Tools

esm-infra yes enabled UA Infra: Extended Security Maintenance (ESM)

fips yes disabled NIST-certified core packages

fips-updates yes disabled NIST-certified core packages with priority security updates

livepatch yes enabled Canonical Livepatch service

NOTICES

Operation in progress: ua attach

Enable services with: ua enable <service>

Account: yuji＠noizumi.org

Subscription: yuji＠noizumi.org

Webで検索して出てくる例だと、snap で canonical-livepatch をインストールするって書かれてるんだが、試しても「そんなの無え!」と言われて困ってたが、ua attach [TOKEN]で snapd と共にインストールしてくれた模様。

ハッ!? もしかして、snap のインストールって、 snapd入れないとできないってオチか orz

root@irc:~# ua enable livepatch
One moment, checking your subscription first
Livepatch is already enabled.
See: sudo ua status

root@irc:~# ua enable livepatch

One moment, checking your subscription first

Livepatch is already enabled.

See: sudo ua status

ua attach [TOKEN] 実行した時に既に、livepatch yes enable ってなってるから、 ua enable livepatch 必要無いかもしれん。

root@irc:~# canonical-livepatch status
last check: 36 minutes ago
kernel: 5.11.0-40.44~20.04.2-generic
server check-in: succeeded
patch state: ✓ no livepatches needed for this kernel yet
tier: updates (Free usage; This machine beta tests new patches.)
machine id: マシンID

root@irc:~# canonical-livepatch status

last check: 36 minutes ago

kernel: 5.11.0-40.44~20.04.2-generic

server check-in: succeeded

patch state: ✓ no livepatches needed for this kernel yet

tier: updates (Free usage; This machine beta tests new patches.)

machine id: マシンID

今の所、patch は無いけど、結局の所、頻繁に再起動しても問題無いなら、不要なサービスだなあ。

皇紀2681年11月10日2021年11月20日

【作業記録】fail2ban 再犯長期jail

fail2ban で ssh 不正ログインを試みる輩を接続拒否する運用をしているが、現状こんな感じ。

root@irc:~# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	63
|  |- Total failed:	1349
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	90
   |- Total banned:	241
   `- Banned IP list:	45.141.84.126 5.206.227.16 104.248.168.195 221.181.185.159 112.147.156.78 220.174.25.172 141.98.10.63 221.131.165.62 117.67.110.2 116.110.121.9 115.76.92.187 122.228.235.44 199.19.224.231 110.136.232.7 221.131.165.56 159.223.3.108 14.232.123.232 209.141.59.184 90.66.6.222 46.101.129.22 116.105.74.99 116.110.125.246 115.73.29.5 116.110.99.56 195.133.18.210 128.199.39.118 193.169.254.138 176.125.45.214 159.223.2.20 221.181.185.111 221.131.165.72 165.22.197.22 176.111.173.218 161.97.187.24 116.110.123.44 116.105.163.243 185.213.155.164 115.236.46.199 141.98.10.121 206.189.144.184 119.131.209.186 116.105.216.122 147.78.66.31 37.0.10.28 69.49.228.198 199.19.225.198 64.20.142.67 117.7.122.163 116.110.64.186 171.252.208.77 116.105.77.250 69.136.1.144 45.141.84.10 78.152.192.200 109.91.205.202 83.4.194.64 173.174.124.207 209.141.33.121 141.98.10.60 94.232.46.202 24.148.24.59 75.113.213.108 222.186.42.137 222.187.232.39 141.98.10.109 86.152.79.137 176.111.173.237 134.122.59.237 212.192.246.124 78.198.56.121 134.122.59.223 2.56.59.39 221.131.165.65 221.131.165.33 67.63.94.101 23.24.152.174 141.98.10.81 171.227.197.219 116.98.166.82 116.105.172.23 222.186.30.112 60.170.247.162 221.131.165.50 222.186.180.130 176.111.173.226 221.181.185.94 45.88.137.100 222.186.30.76 209.141.44.165 222.186.42.13

root@irc:~# fail2ban-client status sshd

Status for the jail: sshd

|- Filter

| |- Currently failed: 63

| |- Total failed: 1349

| `- File list: /var/log/auth.log

`- Actions

|- Currently banned: 90

|- Total banned: 241

`- Banned IP list: 45.141.84.126 5.206.227.16 104.248.168.195 221.181.185.159 112.147.156.78 220.174.25.172 141.98.10.63 221.131.165.62 117.67.110.2 116.110.121.9 115.76.92.187 122.228.235.44 199.19.224.231 110.136.232.7 221.131.165.56 159.223.3.108 14.232.123.232 209.141.59.184 90.66.6.222 46.101.129.22 116.105.74.99 116.110.125.246 115.73.29.5 116.110.99.56 195.133.18.210 128.199.39.118 193.169.254.138 176.125.45.214 159.223.2.20 221.181.185.111 221.131.165.72 165.22.197.22 176.111.173.218 161.97.187.24 116.110.123.44 116.105.163.243 185.213.155.164 115.236.46.199 141.98.10.121 206.189.144.184 119.131.209.186 116.105.216.122 147.78.66.31 37.0.10.28 69.49.228.198 199.19.225.198 64.20.142.67 117.7.122.163 116.110.64.186 171.252.208.77 116.105.77.250 69.136.1.144 45.141.84.10 78.152.192.200 109.91.205.202 83.4.194.64 173.174.124.207 209.141.33.121 141.98.10.60 94.232.46.202 24.148.24.59 75.113.213.108 222.186.42.137 222.187.232.39 141.98.10.109 86.152.79.137 176.111.173.237 134.122.59.237 212.192.246.124 78.198.56.121 134.122.59.223 2.56.59.39 221.131.165.65 221.131.165.33 67.63.94.101 23.24.152.174 141.98.10.81 171.227.197.219 116.98.166.82 116.105.172.23 222.186.30.112 60.170.247.162 221.131.165.50 222.186.180.130 176.111.173.226 221.181.185.94 45.88.137.100 222.186.30.76 209.141.44.165 222.186.42.13

3日間で、4回失敗で1週間アク禁。
11/1くらいから、241件アク禁にして、現在90件アク禁中。
151件を釈放。

ログを見てると、18時間間隔で 2回試行するとか、明らかに fail2ban を避けるパターンのやつがいるんだな。

ふと、再犯してるのどれだけだろう? と疑問に思い、調べると、再犯者を長期アク禁にできるとの事で、早速設定変更。

次のコマンドを実行

# vi /etc/fail2ban/jail.local

1	# vi /etc/fail2ban/jail.local

次の設定を追加

[recidive]
enabled = true
bantime  = 31536000 ; 1 year
findtime = 1209600  ; 2 weeks
maxretry = 1

[recidive]

enabled = true

bantime = 31536000 ; 1 year

findtime = 1209600 ; 2 weeks

maxretry = 1

fail2ban.logを調べて、再犯者は2週間以内に1回のログイン失敗でアウト、懲役1年(笑)

【追記 2681/11/20】
maxretry = 1 だと、fail2ban.log で、Ban 1回で作動してしまうので、 2 に変更した。
【/追記 2681/11/20】

root@irc:~# fail2ban-client status recidive
Status for the jail: recidive
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	33
|  `- File list:	/var/log/fail2ban.log
`- Actions
   |- Currently banned:	33
   |- Total banned:	33
   `- Banned IP list:	209.141.33.121 141.98.10.60 94.232.46.202 24.148.24.59 75.113.213.108 222.186.42.137 222.187.232.39 141.98.10.109 86.152.79.137 176.111.173.237 134.122.59.237 212.192.246.124 78.198.56.121 134.122.59.223 2.56.59.39 221.131.165.65 221.131.165.33 67.63.94.101 23.24.152.174 141.98.10.81 171.227.197.219 116.98.166.82 116.105.172.23 222.186.30.112 60.170.247.162 221.131.165.50 222.186.180.130 176.111.173.226 221.181.185.94 45.88.137.100 222.186.30.76 209.141.44.165 222.186.42.13

root@irc:~# fail2ban-client status recidive

Status for the jail: recidive

|- Filter

| |- Currently failed: 0

| |- Total failed: 33

| `- File list: /var/log/fail2ban.log

`- Actions

|- Currently banned: 33

|- Total banned: 33

`- Banned IP list: 209.141.33.121 141.98.10.60 94.232.46.202 24.148.24.59 75.113.213.108 222.186.42.137 222.187.232.39 141.98.10.109 86.152.79.137 176.111.173.237 134.122.59.237 212.192.246.124 78.198.56.121 134.122.59.223 2.56.59.39 221.131.165.65 221.131.165.33 67.63.94.101 23.24.152.174 141.98.10.81 171.227.197.219 116.98.166.82 116.105.172.23 222.186.30.112 60.170.247.162 221.131.165.50 222.186.180.130 176.111.173.226 221.181.185.94 45.88.137.100 222.186.30.76 209.141.44.165 222.186.42.13

その条件でも、33件該当。
1週間アクセス不能だったとしても、スクリプトでやり続けてんだろうなあ。

皇紀2681年10月24日2021年10月27日

【作業記録】fail2ban設定変更

【作業記録】fail2ban インストール

/var/log/auth.log を見ると、既定の fail2ban.conf を避けるようにアクセスしてる奴が居たので、そういう奴を締め出すように設定変更。

[DEFAULT]
backend = polling
banaction = iptables-multiport[blocktype=DROP]

[sshd]
# "bantime" is the number of seconds that a host is banned.
bantime  = 1w

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = 3d

# "maxretry" is the number of failures before a host get banned.
maxretry = 4

mode = aggressive

[DEFAULT]

backend = polling

banaction = iptables-multiport[blocktype=DROP]

[sshd]

# "bantime" is the number of seconds that a host is banned.

bantime = 1w

# A host is banned if it has generated "maxretry" during the last "findtime"

# seconds.

findtime = 3d

# "maxretry" is the number of failures before a host get banned.

maxretry = 4

mode = aggressive

blocktypeをDROPに、出入り禁止期間１週間、アクセス監視期間 3日、4回失敗でアウト。

情報源: iptablesはDROPすべきか、REJECTか。tcp-resetという手も – のめうブログ

注意すべき点は、これ、自分で sshのログインに4回失敗すると、セルフ出入り禁止になっちゃうので気をつけないといけない。

まあ、Kagoya VPSの場合、Webからアクセスしてコンソールからログインしたら回避できるので、特に問題は無いけど、会社の契約するサーバーなんかで maxretry = 3 とかになってて、アク禁喰らった事が何度かあったんだな。

【追記】

root@irc:~# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	48
|  |- Total failed:	326
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	51
   |- Total banned:	52
   `- Banned IP list:	199.19.225.248 209.141.60.103 209.141.55.232 165.232.73.255 141.98.10.60 211.220.60.139 83.197.11.156 84.39.185.25 45.141.84.126 222.187.232.39 221.131.165.65 141.98.10.81 117.68.2.93 68.183.180.46 88.198.43.118 209.141.47.39 222.186.30.112 185.73.124.100 222.186.42.7 185.73.124.253 198.98.48.67 64.92.16.242 199.19.224.76 222.186.42.137 60.170.247.162 199.195.253.199 64.20.142.67 222.186.42.13 141.98.10.82 222.186.30.76 199.195.251.49 221.131.165.50 222.186.180.130 209.141.59.184 211.196.226.37 221.131.165.33 202.29.214.13 2.222.115.231 209.141.53.99 205.185.116.163 217.229.50.210 159.223.2.20 221.131.165.75 205.185.119.4 221.181.185.151 221.163.103.143 209.141.36.13 198.98.52.12 221.181.185.94 222.187.254.41 209.141.33.121

root@irc:~# fail2ban-client status sshd

Status for the jail: sshd

|- Filter

| |- Currently failed: 48

| |- Total failed: 326

| `- File list: /var/log/auth.log

`- Actions

|- Currently banned: 51

|- Total banned: 52

`- Banned IP list: 199.19.225.248 209.141.60.103 209.141.55.232 165.232.73.255 141.98.10.60 211.220.60.139 83.197.11.156 84.39.185.25 45.141.84.126 222.187.232.39 221.131.165.65 141.98.10.81 117.68.2.93 68.183.180.46 88.198.43.118 209.141.47.39 222.186.30.112 185.73.124.100 222.186.42.7 185.73.124.253 198.98.48.67 64.92.16.242 199.19.224.76 222.186.42.137 60.170.247.162 199.195.253.199 64.20.142.67 222.186.42.13 141.98.10.82 222.186.30.76 199.195.251.49 221.131.165.50 222.186.180.130 209.141.59.184 211.196.226.37 221.131.165.33 202.29.214.13 2.222.115.231 209.141.53.99 205.185.116.163 217.229.50.210 159.223.2.20 221.131.165.75 205.185.119.4 221.181.185.151 221.163.103.143 209.141.36.13 198.98.52.12 221.181.185.94 222.187.254.41 209.141.33.121

3日間で51のIPアドレスをBAN。大漁や〜

【/追記】

皇紀2681年10月23日2021年10月26日

【作業記録】fail2ban インストール

Kagoya VPS の Ubuntu 20.04 で、ssh への攻撃が多数あり、色々試させない為にfail2banをインストール

root@irc:~# apt install fail2ban
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています                
状態情報を読み取っています... 完了
以下の追加パッケージがインストールされます:
  python3-pyinotify whois
提案パッケージ:
  mailx monit sqlite3 python-pyinotify-doc
以下のパッケージが新たにインストールされます:
  fail2ban python3-pyinotify whois
アップグレード: 0 個、新規インストール: 3 個、削除: 0 個、保留: 1 個。
444 kB のアーカイブを取得する必要があります。
この操作後に追加で 2,400 kB のディスク容量が消費されます。
続行しますか? [Y/n]

root@irc:~# apt install fail2ban

パッケージリストを読み込んでいます... 完了

依存関係ツリーを作成しています

状態情報を読み取っています... 完了

以下の追加パッケージがインストールされます:

python3-pyinotify whois

提案パッケージ:

mailx monit sqlite3 python-pyinotify-doc

以下のパッケージが新たにインストールされます:

fail2ban python3-pyinotify whois

アップグレード: 0 個、新規インストール: 3 個、削除: 0 個、保留: 1 個。

444 kB のアーカイブを取得する必要があります。

この操作後に追加で 2,400 kB のディスク容量が消費されます。

続行しますか? [Y/n]

情報源: 【Ubuntu Desktop 20.04】Fail2Banをインストールする – Crieit

情報源によると、既定で sshd は有効となっているそうで、特に何もしなくても良さそう。

root@irc:/etc/fail2ban# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	0
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	0
   |- Total banned:	0
   `- Banned IP list:

root@irc:/etc/fail2ban# fail2ban-client status sshd

Status for the jail: sshd

|- Filter

| |- Currently failed: 0

| |- Total failed: 0

| `- File list: /var/log/auth.log

`- Actions

|- Currently banned: 0

|- Total banned: 0

`- Banned IP list:

しかし、待てど暮せど中々 Ban してくれない。

これは私も経験済みです。jail.local（jail.conf）の設定は「backend = auto」で良いよとされてはいるのですが、起動時のログを見ると backend が “pyinotify” に設定されてしまいます。

情報源: fail2banをうまく動かすためのTips。正規表現はシンプルに見やすく – のめうブログ

/var/log/fail2ban.log を見てみると、

2021-10-23 15:33:56,022 fail2ban.jail           [4794]: INFO    Initiated 'pyinotify' backend

1	2021-10-23 15:33:56,022 fail2ban.jail [4794]: INFO Initiated 'pyinotify' backend

pyinotify って知らんけど、backend の動作モードが違っててワロタ。

root@irc:/etc/fail2ban# vi jail.local

1	root@irc:/etc/fail2ban# vi jail.local

[DEFAULT]
backend = polling

1 2	[DEFAULT] backend = polling

新規ファイルを作成して、動作モードを polling にして、設定を再読込。

root@irc:/etc/fail2ban# systemctl reload fail2ban

1	root@irc:/etc/fail2ban# systemctl reload fail2ban

2021-10-23 16:19:28,642 fail2ban.jail           [4794]: INFO    Initiated 'polling' backend

1	2021-10-23 16:19:28,642 fail2ban.jail [4794]: INFO Initiated 'polling' backend

無事、polling モードで動作するようになった。

皇紀2685年6月
日	月	火	水	木	金	土
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30