コンピュータ – ページ 8

皇紀2681年11月21日2021年11月21日

【作業記録】監視カメラのRaspberry Pi3を自動更新&再起動

わしの Raspberry Pi3 は Raspbian GNU/Linux 9 (stretch)なので、自動更新にはなってないから、unattended-upgrades のパッケージをインストール。

root@raspberrypi:~# apt install unattended-upgrades
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています                
状態情報を読み取っています... 完了
提案パッケージ:
  needrestart
以下のパッケージが新たにインストールされます:
  unattended-upgrades
アップグレード: 0 個、新規インストール: 1 個、削除: 0 個、保留: 0 個。
61.7 kB のアーカイブを取得する必要があります。
この操作後に追加で 252 kB のディスク容量が消費されます。
取得:1 http://ftp.tsukuba.wide.ad.jp/Linux/raspbian/raspbian stretch/main armhf unattended-upgrades all 0.93.1+nmu1 [61.7 kB]
61.7 kB を 1秒 で取得しました (51.1 kB/s)
パッケージを事前設定しています ...
以前に未選択のパッケージ unattended-upgrades を選択しています。
(データベースを読み込んでいます ... 現在 137453 個のファイルとディレクトリがイン
ストールされています。)
.../unattended-upgrades_0.93.1+nmu1_all.deb を展開する準備をしています ...
unattended-upgrades (0.93.1+nmu1) を展開しています...
systemd (232-25+deb9u13) のトリガを処理しています ...
unattended-upgrades (0.93.1+nmu1) を設定しています ...

Creating config file /etc/apt/apt.conf.d/20auto-upgrades with new version

Creating config file /etc/apt/apt.conf.d/50unattended-upgrades with new version
Created symlink /etc/systemd/system/multi-user.target.wants/unattended-upgrades.
service → /lib/systemd/system/unattended-upgrades.service.
Synchronizing state of unattended-upgrades.service with SysV service script with
 /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable unattended-upgrades
man-db (2.7.6.1-2) のトリガを処理しています ...
systemd (232-25+deb9u13) のトリガを処理しています ...

root@raspberrypi:~# apt install unattended-upgrades

パッケージリストを読み込んでいます... 完了

依存関係ツリーを作成しています

状態情報を読み取っています... 完了

提案パッケージ:

needrestart

以下のパッケージが新たにインストールされます:

unattended-upgrades

アップグレード: 0 個、新規インストール: 1 個、削除: 0 個、保留: 0 個。

61.7 kB のアーカイブを取得する必要があります。

この操作後に追加で 252 kB のディスク容量が消費されます。

取得:1 http://ftp.tsukuba.wide.ad.jp/Linux/raspbian/raspbian stretch/main armhf unattended-upgrades all 0.93.1+nmu1 [61.7 kB]

61.7 kB を 1秒で取得しました (51.1 kB/s)

パッケージを事前設定しています ...

以前に未選択のパッケージ unattended-upgrades を選択しています。

(データベースを読み込んでいます ... 現在 137453 個のファイルとディレクトリがイン

ストールされています。)

.../unattended-upgrades_0.93.1+nmu1_all.deb を展開する準備をしています ...

unattended-upgrades (0.93.1+nmu1) を展開しています...

systemd (232-25+deb9u13) のトリガを処理しています ...

unattended-upgrades (0.93.1+nmu1) を設定しています ...

Creating config file /etc/apt/apt.conf.d/20auto-upgrades with new version

Creating config file /etc/apt/apt.conf.d/50unattended-upgrades with new version

Created symlink /etc/systemd/system/multi-user.target.wants/unattended-upgrades.

service → /lib/systemd/system/unattended-upgrades.service.

Synchronizing state of unattended-upgrades.service with SysV service script with

/lib/systemd/systemd-sysv-install.

Executing: /lib/systemd/systemd-sysv-install enable unattended-upgrades

man-db (2.7.6.1-2) のトリガを処理しています ...

systemd (232-25+deb9u13) のトリガを処理しています ...

needrestart パッケージが提案パッケージになっとるけど、要るのかなあ?

後は次の記事を参考に設定。

【作業記録】自動更新&再起動設定

防犯監視カメラだから、深夜に再起動するのはマズいので、昼間に再起動するようにした。

まあ、Raspberry Pi3 だと、数秒で復帰するから、特に問題は無いだろう。

そして、apt-cron をアンインストール

root@raspberrypi:~# apt remove cron-apt 
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています                
状態情報を読み取っています... 完了
以下のパッケージは「削除」されます:
  cron-apt
アップグレード: 0 個、新規インストール: 0 個、削除: 1 個、保留: 0 個。
この操作後に 171 kB のディスク容量が解放されます。
続行しますか? [Y/n] 
(データベースを読み込んでいます ... 現在 137490 個のファイルとディレクトリがイン
ストールされています。)
cron-apt (0.10.0) を削除しています ...
man-db (2.7.6.1-2) のトリガを処理しています ...

root@raspberrypi:~# apt remove cron-apt

パッケージリストを読み込んでいます... 完了

依存関係ツリーを作成しています

状態情報を読み取っています... 完了

以下のパッケージは「削除」されます:

cron-apt

アップグレード: 0 個、新規インストール: 0 個、削除: 1 個、保留: 0 個。

この操作後に 171 kB のディスク容量が解放されます。

続行しますか? [Y/n]

(データベースを読み込んでいます ... 現在 137490 個のファイルとディレクトリがイン

ストールされています。)

cron-apt (0.10.0) を削除しています ...

man-db (2.7.6.1-2) のトリガを処理しています ...

皇紀2681年11月20日

【作業記録】自動更新&再起動設定

cron-apt 使ってて、更新はメールで通知してくれるが、再起動は必要に応じて自分でやらないといけないのがマンドクセと思っていた。

そして自動で再起動する方法ねーかな?と探してみた所、次のページをハケーン。

https://unluckysystems.com/ubuntu-20-04-lts%e3%81%ae%e8%87%aa%e5%8b%95%e3%82%a2%e3%83%83%e3%83%97%e3%83%87%e3%83%bc%e3%83%88%e3%81%a8%e3%80%81%e8%87%aa%e5%8b%95%e5%86%8d%e8%b5%b7%e5%8b%95%e3%82%92%e8%a8%ad%e5%ae%9a%e3%81%97/

Ubuntu 20.04 LTSから、自動でアップデートするようになってたのか。cron-apt要らねーじゃん。知らんかった(笑)

# vi /etc/apt/apt.conf.d/50unattended-upgrades

1	# vi /etc/apt/apt.conf.d/50unattended-upgrades

//Unattended-Upgrade::Automatic-Reboot "false";
Unattended-Upgrade::Automatic-Reboot "true";


……


//Unattended-Upgrade::Automatic-Reboot-Time "02:00";
Unattended-Upgrade::Automatic-Reboot-Time "03:00";

//Unattended-Upgrade::Automatic-Reboot "false";

Unattended-Upgrade::Automatic-Reboot "true";

……

//Unattended-Upgrade::Automatic-Reboot-Time "02:00";

Unattended-Upgrade::Automatic-Reboot-Time "03:00";

再起動するのを有効化して、午前2時だと、まだ起きてる可能性があるので、午前3時に設定。

root@irc:~# apt remove cron-apt
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています                
状態情報を読み取っています... 完了
以下のパッケージが自動でインストールされましたが、もう必要とされていません:
  liblockfile-bin liblockfile1
これを削除するには 'apt autoremove' を利用してください。
以下のパッケージは「削除」されます:
  cron-apt
アップグレード: 0 個、新規インストール: 0 個、削除: 1 個、保留: 1 個。
この操作後に 91.1 kB のディスク容量が解放されます。
続行しますか? [Y/n]

root@irc:~# apt remove cron-apt

パッケージリストを読み込んでいます... 完了

依存関係ツリーを作成しています

状態情報を読み取っています... 完了

以下のパッケージが自動でインストールされましたが、もう必要とされていません:

liblockfile-bin liblockfile1

これを削除するには 'apt autoremove' を利用してください。

以下のパッケージは「削除」されます:

cron-apt

アップグレード: 0 個、新規インストール: 0 個、削除: 1 個、保留: 1 個。

この操作後に 91.1 kB のディスク容量が解放されます。

続行しますか? [Y/n]

そして cron-apt を削除。
これで、Kagoya VPS は放置してても、常に最新状態に保たれる訳だな。

昔、KDDIの回線引いて、固定IPアドレス8個貰って、家でサーバー運用……とはいえ、VAIOのノートPCにKondara MNU/Linux 入れて自分のウェブサイトを公開していた。

ノートPCをサーバーにしたら、UPS要らず。
そう思っていた時期が僕にもありました。

移動の際に電源引っこ抜いたら、即座にブチンと画面暗転。

2〜3回しか充電してないL型バッテリが、24時間運用で、1年間電源に繋いでいたら、お亡くなりになっていた。

ノートPCはUPS要らずのサーバーにはならない。それが教訓。

デジタルファクトリが潰れて、OSが更新されなくなって、クラッキングを受けて、X Serverにサイトを移し替えた。

当時、OSのシステムメンテナンスは非常に面倒臭く、自分でセキュリティ情報を集めて、必要とあれば、自分でゴリゴリカーネル再構築とかやってた時代だったので、クラックされるようではアカンと思い、業者に丸投げ(^^;

今はそれも OS がやってくれるので、便利な時代になったものじゃて。

皇紀2681年11月20日2021年11月20日

【作業記録】Ubuntu 20.04 LTSに livepatch

家のマシンで、Ubuntu 20.04LTSを入れた時、livepatch という、再起動しなくてもセキュリティホールにpatch当ててくれる canonical社のサービスを設定するよう促されたので、入れたのだが、よく分かってなかった。

どうやら、カーネルにパッチを当てるんだけど、カーネルパッケージの更新はしてくれないようなので、サーバーとか、再起動を頻繁にできないマシンに対するサービスのようで、会社に行ってる間に電源を落とす個人PCには不要なものだと分かった。

で、このライセンスが個人なら 3台まで使えるとの事で、24時間運用の Kagoya VPSのUbuntu 20.04に導入しようと思ったので、その作業記録(長い前置きだ(^^;)。

https://ubuntu.com/security/livepatch

の下の方にあるやり方でやる。トークンは、ログインして、右上の自分の名前をクリックすると、UA subscriptions ってページを開くと出てくる。

root@irc:~# ua attach [TOKEN]
Enabling default service esm-infra
Updating package lists
UA Infra: ESM enabled
Enabling default service livepatch
Installing snapd
Updating package lists
Installing canonical-livepatch snap
Canonical livepatch enabled.
This machine is now attached to 'yuji＠noizumi.org'

SERVICE       ENTITLED  STATUS    DESCRIPTION
cis           yes       disabled  Center for Internet Security Audit Tools
esm-infra     yes       enabled   UA Infra: Extended Security Maintenance (ESM)
fips          yes       disabled  NIST-certified core packages
fips-updates  yes       disabled  NIST-certified core packages with priority security updates
livepatch     yes       enabled   Canonical Livepatch service

NOTICES
Operation in progress: ua attach

Enable services with: ua enable <service>

     Account: yuji＠noizumi.org
Subscription: yuji＠noizumi.org

root@irc:~# ua attach [TOKEN]

Enabling default service esm-infra

Updating package lists

UA Infra: ESM enabled

Enabling default service livepatch

Installing snapd

Updating package lists

Installing canonical-livepatch snap

Canonical livepatch enabled.

This machine is now attached to 'yuji＠noizumi.org'

SERVICE ENTITLED STATUS DESCRIPTION

cis yes disabled Center for Internet Security Audit Tools

esm-infra yes enabled UA Infra: Extended Security Maintenance (ESM)

fips yes disabled NIST-certified core packages

fips-updates yes disabled NIST-certified core packages with priority security updates

livepatch yes enabled Canonical Livepatch service

NOTICES

Operation in progress: ua attach

Enable services with: ua enable <service>

Account: yuji＠noizumi.org

Subscription: yuji＠noizumi.org

Webで検索して出てくる例だと、snap で canonical-livepatch をインストールするって書かれてるんだが、試しても「そんなの無え!」と言われて困ってたが、ua attach [TOKEN]で snapd と共にインストールしてくれた模様。

ハッ!? もしかして、snap のインストールって、 snapd入れないとできないってオチか orz

root@irc:~# ua enable livepatch
One moment, checking your subscription first
Livepatch is already enabled.
See: sudo ua status

root@irc:~# ua enable livepatch

One moment, checking your subscription first

Livepatch is already enabled.

See: sudo ua status

ua attach [TOKEN] 実行した時に既に、livepatch yes enable ってなってるから、 ua enable livepatch 必要無いかもしれん。

root@irc:~# canonical-livepatch status
last check: 36 minutes ago
kernel: 5.11.0-40.44~20.04.2-generic
server check-in: succeeded
patch state: ✓ no livepatches needed for this kernel yet
tier: updates (Free usage; This machine beta tests new patches.)
machine id: マシンID

root@irc:~# canonical-livepatch status

last check: 36 minutes ago

kernel: 5.11.0-40.44~20.04.2-generic

server check-in: succeeded

patch state: ✓ no livepatches needed for this kernel yet

tier: updates (Free usage; This machine beta tests new patches.)

machine id: マシンID

今の所、patch は無いけど、結局の所、頻繁に再起動しても問題無いなら、不要なサービスだなあ。

皇紀2681年11月10日2021年11月20日

【作業記録】fail2ban 再犯長期jail

fail2ban で ssh 不正ログインを試みる輩を接続拒否する運用をしているが、現状こんな感じ。

root@irc:~# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	63
|  |- Total failed:	1349
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	90
   |- Total banned:	241
   `- Banned IP list:	45.141.84.126 5.206.227.16 104.248.168.195 221.181.185.159 112.147.156.78 220.174.25.172 141.98.10.63 221.131.165.62 117.67.110.2 116.110.121.9 115.76.92.187 122.228.235.44 199.19.224.231 110.136.232.7 221.131.165.56 159.223.3.108 14.232.123.232 209.141.59.184 90.66.6.222 46.101.129.22 116.105.74.99 116.110.125.246 115.73.29.5 116.110.99.56 195.133.18.210 128.199.39.118 193.169.254.138 176.125.45.214 159.223.2.20 221.181.185.111 221.131.165.72 165.22.197.22 176.111.173.218 161.97.187.24 116.110.123.44 116.105.163.243 185.213.155.164 115.236.46.199 141.98.10.121 206.189.144.184 119.131.209.186 116.105.216.122 147.78.66.31 37.0.10.28 69.49.228.198 199.19.225.198 64.20.142.67 117.7.122.163 116.110.64.186 171.252.208.77 116.105.77.250 69.136.1.144 45.141.84.10 78.152.192.200 109.91.205.202 83.4.194.64 173.174.124.207 209.141.33.121 141.98.10.60 94.232.46.202 24.148.24.59 75.113.213.108 222.186.42.137 222.187.232.39 141.98.10.109 86.152.79.137 176.111.173.237 134.122.59.237 212.192.246.124 78.198.56.121 134.122.59.223 2.56.59.39 221.131.165.65 221.131.165.33 67.63.94.101 23.24.152.174 141.98.10.81 171.227.197.219 116.98.166.82 116.105.172.23 222.186.30.112 60.170.247.162 221.131.165.50 222.186.180.130 176.111.173.226 221.181.185.94 45.88.137.100 222.186.30.76 209.141.44.165 222.186.42.13

root@irc:~# fail2ban-client status sshd

Status for the jail: sshd

|- Filter

| |- Currently failed: 63

| |- Total failed: 1349

| `- File list: /var/log/auth.log

`- Actions

|- Currently banned: 90

|- Total banned: 241

`- Banned IP list: 45.141.84.126 5.206.227.16 104.248.168.195 221.181.185.159 112.147.156.78 220.174.25.172 141.98.10.63 221.131.165.62 117.67.110.2 116.110.121.9 115.76.92.187 122.228.235.44 199.19.224.231 110.136.232.7 221.131.165.56 159.223.3.108 14.232.123.232 209.141.59.184 90.66.6.222 46.101.129.22 116.105.74.99 116.110.125.246 115.73.29.5 116.110.99.56 195.133.18.210 128.199.39.118 193.169.254.138 176.125.45.214 159.223.2.20 221.181.185.111 221.131.165.72 165.22.197.22 176.111.173.218 161.97.187.24 116.110.123.44 116.105.163.243 185.213.155.164 115.236.46.199 141.98.10.121 206.189.144.184 119.131.209.186 116.105.216.122 147.78.66.31 37.0.10.28 69.49.228.198 199.19.225.198 64.20.142.67 117.7.122.163 116.110.64.186 171.252.208.77 116.105.77.250 69.136.1.144 45.141.84.10 78.152.192.200 109.91.205.202 83.4.194.64 173.174.124.207 209.141.33.121 141.98.10.60 94.232.46.202 24.148.24.59 75.113.213.108 222.186.42.137 222.187.232.39 141.98.10.109 86.152.79.137 176.111.173.237 134.122.59.237 212.192.246.124 78.198.56.121 134.122.59.223 2.56.59.39 221.131.165.65 221.131.165.33 67.63.94.101 23.24.152.174 141.98.10.81 171.227.197.219 116.98.166.82 116.105.172.23 222.186.30.112 60.170.247.162 221.131.165.50 222.186.180.130 176.111.173.226 221.181.185.94 45.88.137.100 222.186.30.76 209.141.44.165 222.186.42.13

3日間で、4回失敗で1週間アク禁。
11/1くらいから、241件アク禁にして、現在90件アク禁中。
151件を釈放。

ログを見てると、18時間間隔で 2回試行するとか、明らかに fail2ban を避けるパターンのやつがいるんだな。

ふと、再犯してるのどれだけだろう? と疑問に思い、調べると、再犯者を長期アク禁にできるとの事で、早速設定変更。

次のコマンドを実行

# vi /etc/fail2ban/jail.local

1	# vi /etc/fail2ban/jail.local

次の設定を追加

[recidive]
enabled = true
bantime  = 31536000 ; 1 year
findtime = 1209600  ; 2 weeks
maxretry = 1

[recidive]

enabled = true

bantime = 31536000 ; 1 year

findtime = 1209600 ; 2 weeks

maxretry = 1

fail2ban.logを調べて、再犯者は2週間以内に1回のログイン失敗でアウト、懲役1年(笑)

【追記 2681/11/20】
maxretry = 1 だと、fail2ban.log で、Ban 1回で作動してしまうので、 2 に変更した。
【/追記 2681/11/20】

root@irc:~# fail2ban-client status recidive
Status for the jail: recidive
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	33
|  `- File list:	/var/log/fail2ban.log
`- Actions
   |- Currently banned:	33
   |- Total banned:	33
   `- Banned IP list:	209.141.33.121 141.98.10.60 94.232.46.202 24.148.24.59 75.113.213.108 222.186.42.137 222.187.232.39 141.98.10.109 86.152.79.137 176.111.173.237 134.122.59.237 212.192.246.124 78.198.56.121 134.122.59.223 2.56.59.39 221.131.165.65 221.131.165.33 67.63.94.101 23.24.152.174 141.98.10.81 171.227.197.219 116.98.166.82 116.105.172.23 222.186.30.112 60.170.247.162 221.131.165.50 222.186.180.130 176.111.173.226 221.181.185.94 45.88.137.100 222.186.30.76 209.141.44.165 222.186.42.13

root@irc:~# fail2ban-client status recidive

Status for the jail: recidive

|- Filter

| |- Currently failed: 0

| |- Total failed: 33

| `- File list: /var/log/fail2ban.log

`- Actions

|- Currently banned: 33

|- Total banned: 33

`- Banned IP list: 209.141.33.121 141.98.10.60 94.232.46.202 24.148.24.59 75.113.213.108 222.186.42.137 222.187.232.39 141.98.10.109 86.152.79.137 176.111.173.237 134.122.59.237 212.192.246.124 78.198.56.121 134.122.59.223 2.56.59.39 221.131.165.65 221.131.165.33 67.63.94.101 23.24.152.174 141.98.10.81 171.227.197.219 116.98.166.82 116.105.172.23 222.186.30.112 60.170.247.162 221.131.165.50 222.186.180.130 176.111.173.226 221.181.185.94 45.88.137.100 222.186.30.76 209.141.44.165 222.186.42.13

その条件でも、33件該当。
1週間アクセス不能だったとしても、スクリプトでやり続けてんだろうなあ。

皇紀2681年11月3日

楽天モバイル固定回線化実験その3

楽天モバイル固定回線化実験その2

使用量 20GB超えたら赤くなるのね〜。

今日は文化の日だが、15時頃、10GB/日を超え、通信速度3Mbpsの低速制限に。

朝はネットで「真相深入り！虎ノ門ニュース」を見て、Youtubeで面白そうな動画を見たり、テレビ局のLiveニュースを見たりしていたが、さすが休日は、通信量が半端ない。

低速ペナルティを喰らってから、いつもやってるDMMのブラウザゲームをやろうとすると、余りの遅さにキレそうになった。

16:50 現在で29.91GBの使用量だが、このままの調子で、 23:59:59 になったら、一日平均 10GB以上は確実なので、ほぼ毎日低速地獄を味わう事になると考えると、わしの場合は光ファイバー回線の代替には使えんな。

という訳で、実験を始めて、早3日で断念に至る。
これが本当の3日坊主 🙂

さあ、家の回線を光ファイバーに戻そう。

皇紀2681年11月2日2021年11月3日

楽天モバイル固定回線化実験その2

楽天モバイル固定回線化実験

23時頃に 3Mbpsの低速ペナルティを受けた。
昨日で、使用量 8.25GBなので、今日制限無しで使えるのが、18.25GBまでだが、23時でそれを超えてしまった。

今日は、会社から家の監視カメラ動画を確認したり、YoutubeやAbemaTV等、動画を見る事が多かったので覿面だな。

ちなみに 3Mbps の速度で AbemaTV を視聴すると、絵が止まったりするから、これは結構ウザいし、萎えるなあ。

明日は休日だが、早々に 10GB 超えてしまいそうな気がするな。
やっぱり、わしの使い方だと光ファイバーかねえ。

皇紀2681年11月2日2021年11月3日

楽天モバイル固定回線化実験

TP-Link MR600 v1を手に入れたので、楽天モバイルの固定回線化実験を１１月1日 0:00 から始めた。

楽天モバイルのネットワークは、グローバルIPアドレスじゃなく、プライベートアドレスがDHCPで付与されるので、今まで、家にVPNで接続していたのをどうやって代替するのかが課題だった。

プライベートアドレスなので、外からは接続のしようが無い。
そこで、Kagoya VPSに月550円でサーバーを借り、softether VPN serverをインストール。

家のホームサーバーにも softether VPN serverをインストールし、仮想HUBからKagoya VPNのサーバーの仮想HUBにカスケード接続。

これで、VPS の仮想HUBへVPN接続すると、家との回線が繋がるという仕組み。

VPSにVPN接続すると、家のルーターからDHCPでIPアドレスが振られるので、家に居るのと同じ感覚で接続できる。

ちょっと盲点だったのが、家のネットワーク使用量で、平日の使用量で 8.25GBにもなっている。恐らく、VPN回線接続しっぱなしなので、微量ながらVPSとホームサーバー間で通信があるのだろう。

楽天モバイルは 10G/1日を超える通信量を使用すると、3Mbpsに速度を落とされてしまう。

平日で8.25GBなのだから、これが休日になると、10GB/1日くらい簡単に超えてしまいそう。

単純計算で1ヶ月300GB近く使ってたんだなあ。

このペースだと、ahamoなら 3日で20GB使い尽くすな。光ファイバーって偉大だねえ 🙂

とりあえず、休日の使い勝手をみた上で、光ファイバーから乗り換えるか考えよう。

皇紀2681年10月30日2021年10月30日

TP-Link Archer MR600 v1 こうにう

Amazon.co.uk で10/10 にポチったMR600 v2 は結局来なかった。

ECMSという業者の追跡番号はあったが、サイトで検索しても結果が出ず、ECMS JPへ問い合わせても、登録されていないから番号を確認してくださいと返答があった。

Amazon.co.uk で返金処理をしたが、こんなのは初めてだ。英国郵便なら、割と早く届いていたのに、格安配送業者を使うようになったので不着なんて事態になる。

で、Yahoo shopping の Nomad StoreでMR600 v1をこうにう。
10/27夜にポチって、10/29朝に来た。国内業者だと早いね。

販売ページに「【国内正規品】」なんて書いてあるのが胡散臭いけど、紛うことなき正規品。ただし、TP-Linkのサイトでは、「日本ではArcher MR600のサポートはせんよ」と明言してある。

このルータを販売してるNomad Storeは、会社概要を見ると、株式会社Nomad Worksという会社が運用していて、Webサイトを見ると、NOMAD SIMってのを販売していて、電気通信事業者の登録番号も掲げている。

そこで、TP-Linkのサイトの文言だが、「Archer MR600は、TP-Link Japanでは通信事業者様向けの販売のみを行っており、エンドユーザー様向けの小売りの一切を行っておりません。」という事で、Nomad Worksは電気通信事業者だから、卸売りしてるという事だな。

で、早速、楽天モバイルのSIMを入れて、ルータにあるSPEED TESTを実行してみた。

ダウンロードが 55.2Mbps、アップロードは 34.2Mbps で、楽天モバイルのLTEにしては、まあまあ良いスピード。

ただ、今のフレッツ光ネクスト隼＋Mopera Uだとダウンロード362.3Mbps、アップロード396.2Mbpsで、1/7以下の速度になっちゃうのかー。悩むのう。

皇紀2681年10月24日2021年10月27日

【作業記録】fail2ban設定変更

【作業記録】fail2ban インストール

/var/log/auth.log を見ると、既定の fail2ban.conf を避けるようにアクセスしてる奴が居たので、そういう奴を締め出すように設定変更。

[DEFAULT]
backend = polling
banaction = iptables-multiport[blocktype=DROP]

[sshd]
# "bantime" is the number of seconds that a host is banned.
bantime  = 1w

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = 3d

# "maxretry" is the number of failures before a host get banned.
maxretry = 4

mode = aggressive

[DEFAULT]

backend = polling

banaction = iptables-multiport[blocktype=DROP]

[sshd]

# "bantime" is the number of seconds that a host is banned.

bantime = 1w

# A host is banned if it has generated "maxretry" during the last "findtime"

# seconds.

findtime = 3d

# "maxretry" is the number of failures before a host get banned.

maxretry = 4

mode = aggressive

blocktypeをDROPに、出入り禁止期間１週間、アクセス監視期間 3日、4回失敗でアウト。

情報源: iptablesはDROPすべきか、REJECTか。tcp-resetという手も – のめうブログ

注意すべき点は、これ、自分で sshのログインに4回失敗すると、セルフ出入り禁止になっちゃうので気をつけないといけない。

まあ、Kagoya VPSの場合、Webからアクセスしてコンソールからログインしたら回避できるので、特に問題は無いけど、会社の契約するサーバーなんかで maxretry = 3 とかになってて、アク禁喰らった事が何度かあったんだな。

【追記】

root@irc:~# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	48
|  |- Total failed:	326
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	51
   |- Total banned:	52
   `- Banned IP list:	199.19.225.248 209.141.60.103 209.141.55.232 165.232.73.255 141.98.10.60 211.220.60.139 83.197.11.156 84.39.185.25 45.141.84.126 222.187.232.39 221.131.165.65 141.98.10.81 117.68.2.93 68.183.180.46 88.198.43.118 209.141.47.39 222.186.30.112 185.73.124.100 222.186.42.7 185.73.124.253 198.98.48.67 64.92.16.242 199.19.224.76 222.186.42.137 60.170.247.162 199.195.253.199 64.20.142.67 222.186.42.13 141.98.10.82 222.186.30.76 199.195.251.49 221.131.165.50 222.186.180.130 209.141.59.184 211.196.226.37 221.131.165.33 202.29.214.13 2.222.115.231 209.141.53.99 205.185.116.163 217.229.50.210 159.223.2.20 221.131.165.75 205.185.119.4 221.181.185.151 221.163.103.143 209.141.36.13 198.98.52.12 221.181.185.94 222.187.254.41 209.141.33.121

root@irc:~# fail2ban-client status sshd

Status for the jail: sshd

|- Filter

| |- Currently failed: 48

| |- Total failed: 326

| `- File list: /var/log/auth.log

`- Actions

|- Currently banned: 51

|- Total banned: 52

`- Banned IP list: 199.19.225.248 209.141.60.103 209.141.55.232 165.232.73.255 141.98.10.60 211.220.60.139 83.197.11.156 84.39.185.25 45.141.84.126 222.187.232.39 221.131.165.65 141.98.10.81 117.68.2.93 68.183.180.46 88.198.43.118 209.141.47.39 222.186.30.112 185.73.124.100 222.186.42.7 185.73.124.253 198.98.48.67 64.92.16.242 199.19.224.76 222.186.42.137 60.170.247.162 199.195.253.199 64.20.142.67 222.186.42.13 141.98.10.82 222.186.30.76 199.195.251.49 221.131.165.50 222.186.180.130 209.141.59.184 211.196.226.37 221.131.165.33 202.29.214.13 2.222.115.231 209.141.53.99 205.185.116.163 217.229.50.210 159.223.2.20 221.131.165.75 205.185.119.4 221.181.185.151 221.163.103.143 209.141.36.13 198.98.52.12 221.181.185.94 222.187.254.41 209.141.33.121

3日間で51のIPアドレスをBAN。大漁や〜

【/追記】

皇紀2681年10月23日2021年10月26日

【作業記録】fail2ban インストール

Kagoya VPS の Ubuntu 20.04 で、ssh への攻撃が多数あり、色々試させない為にfail2banをインストール

root@irc:~# apt install fail2ban
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています                
状態情報を読み取っています... 完了
以下の追加パッケージがインストールされます:
  python3-pyinotify whois
提案パッケージ:
  mailx monit sqlite3 python-pyinotify-doc
以下のパッケージが新たにインストールされます:
  fail2ban python3-pyinotify whois
アップグレード: 0 個、新規インストール: 3 個、削除: 0 個、保留: 1 個。
444 kB のアーカイブを取得する必要があります。
この操作後に追加で 2,400 kB のディスク容量が消費されます。
続行しますか? [Y/n]

root@irc:~# apt install fail2ban

パッケージリストを読み込んでいます... 完了

依存関係ツリーを作成しています

状態情報を読み取っています... 完了

以下の追加パッケージがインストールされます:

python3-pyinotify whois

提案パッケージ:

mailx monit sqlite3 python-pyinotify-doc

以下のパッケージが新たにインストールされます:

fail2ban python3-pyinotify whois

アップグレード: 0 個、新規インストール: 3 個、削除: 0 個、保留: 1 個。

444 kB のアーカイブを取得する必要があります。

この操作後に追加で 2,400 kB のディスク容量が消費されます。

続行しますか? [Y/n]

情報源: 【Ubuntu Desktop 20.04】Fail2Banをインストールする – Crieit

情報源によると、既定で sshd は有効となっているそうで、特に何もしなくても良さそう。

root@irc:/etc/fail2ban# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	0
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	0
   |- Total banned:	0
   `- Banned IP list:

root@irc:/etc/fail2ban# fail2ban-client status sshd

Status for the jail: sshd

|- Filter

| |- Currently failed: 0

| |- Total failed: 0

| `- File list: /var/log/auth.log

`- Actions

|- Currently banned: 0

|- Total banned: 0

`- Banned IP list:

しかし、待てど暮せど中々 Ban してくれない。

これは私も経験済みです。jail.local（jail.conf）の設定は「backend = auto」で良いよとされてはいるのですが、起動時のログを見ると backend が “pyinotify” に設定されてしまいます。

情報源: fail2banをうまく動かすためのTips。正規表現はシンプルに見やすく – のめうブログ

/var/log/fail2ban.log を見てみると、

2021-10-23 15:33:56,022 fail2ban.jail           [4794]: INFO    Initiated 'pyinotify' backend

1	2021-10-23 15:33:56,022 fail2ban.jail [4794]: INFO Initiated 'pyinotify' backend

pyinotify って知らんけど、backend の動作モードが違っててワロタ。

root@irc:/etc/fail2ban# vi jail.local

1	root@irc:/etc/fail2ban# vi jail.local

[DEFAULT]
backend = polling

1 2	[DEFAULT] backend = polling

新規ファイルを作成して、動作モードを polling にして、設定を再読込。

root@irc:/etc/fail2ban# systemctl reload fail2ban

1	root@irc:/etc/fail2ban# systemctl reload fail2ban

2021-10-23 16:19:28,642 fail2ban.jail           [4794]: INFO    Initiated 'polling' backend

1	2021-10-23 16:19:28,642 fail2ban.jail [4794]: INFO Initiated 'polling' backend

無事、polling モードで動作するようになった。

皇紀2684年11月
日	月	火	水	木	金	土
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30