hiroaki のすべての投稿

blognplusのスパム対策

スパム対策までコメント、トラックバック共に許可していませんでしたが業者のスパムは余裕で書き込みをしてきます。
コメント、トラックバックを許可にしていれば対策していなくても仕方ない事だと感じますが
流石にコメント、トラックバックを許可していないのに書き込まれるのは不具合としか言いようがありませんね・・・

コメント、トラックバックの書き込み時に記事の設定を全くチェックしていないか
もしくはセキュリティ的に穴があるかのどちらかです。
(面倒でソースを見てませんが恐らく前者かと思います)
そもそも楽する為にblognplusを利用しているので調査まではしません!(笑)

以前の記事で紹介しているようにアタックの多い国からの接続を基本的には拒否しているので
それほどスパムも多くないのですがやはり専用のモジュールやパッチ等で対応はしておいた方がいいです。

blognplus標準のコメント投稿用画像認証モジュールです。
コメント投稿用画像認証モジュール
※既にリンク先のサイトはなくなっているようです

ゲットネットのTIPSにもスパム対策の方法が掲載されています。
ゲットネット
※既にリンク先のサイトはなくなっているようです

HDD不良セクタの監視

HDDの温度監視に続いて不良セクタの監視を行います。
HDD温度と同じようにsmartctrlコマンドを利用して不良セクタ情報を取得します。
監視項目は以下の二つです。

Reallocated_Sector_Ct   不良セクタを予備セクタと置き換えた数
Current_Pending_Sector  置き換えることが出来なかった不良セクタの数

Reallocated_Sector_Ctに関しては置き換えが成功しているので一般的に数個までなら大丈夫といわれています。
しかし大事なデータやシステム領域のセクタを失うと致命傷になる可能性はあります。
Current_Pending_Sectorは1個でも出るとかなり危険です。
データを退避してHDDを入れ替えた方がいいかもしれません。

個人的な設定としてはReallocated_Sector_Ctは10、Current_Pending_Sectorは1でメールが送信されるように設定しました。
グラフを表示しても基本的には0なので面白くはないですが重要なグラフには違いないです。

HDDの温度のスクリプトを少し改造すればこれらの情報を取得するスクリプトはすぐに完成しますね。

Reallocated_Sector_Ct.pl
-------------------
#!/usr/bin/perl —

$count = readpipe(‘smartctl -d marvell -a /dev/sda -s on | grep -i Reallocated_Sector_Ct | awk ‘{print $10}”);

print $count;

exit $count;
-------------------

Current_Pending_Sector.pl
-------------------
#!/usr/bin/perl —

$count = readpipe(‘smartctl -d marvell -a /dev/sda -s on | grep -i Reallocated_Sector_Ct | awk ‘{print $10}”);

print $count;

exit $count;
-------------------

※スクリプトのsnmp登録方法や利用方法、閾値を超えた場合のメールの送信方法は以前の記事を参考にして下さい。

CPU使用率について

MRTGでCPU使用率というと殆どのページでLoadAverageの設定が書かれています。
LoadAverageの表示には%で書かれている事が多いと思います。
そもそもLoadAverageとはなんなのか?
UNIX処方箋:「load average」によるCPU負荷の確認 – ITmedia エンタープライズ

つまりCPUの負荷を表すものであるがWindowsのプロセスマネージャーやtopコマンドで表示される
おなじみのCPU使用率とは意味合いが少し違うということになりますね。(ほぼ比例しますが)
また本来は%ではなく1.00表記の方が感覚的に正しいのかもしれません。
(1.00=100%なので意味は同じなのですが100%を超える場合もあるということです)

LoadAverageは1を超える可能性があるのでMRTGの設定でUnscaled[xxxx]: dwmyを指定している方は外した方がいいでしょう。
MaxBytes[xxx]:の項目も100以上の値を指定しないとLoadAverageが1を超えた場合にグラフの値がrrdファイルに書き込まれません。
重たい処理を行う時は1を超えることがしばしばありますので大き目の500などを指定しておけば問題ないと思います。
CPUがマルチなシステムの場合は普通に1を超えるようです。

ではお馴染みのtopコマンドと同じCPU使用率はsnmpで取得出来ないのでしょうか?
答えは「取得可能です」

Target[xxxx]: .1.3.6.1.4.1.2021.11.50.0&.1.3.6.1.4.1.2021.11.52.0:public@localhost

ユーザー使用の使用率:.1.3.6.1.4.1.2021.11.50.0
システム使用の使用率:.1.3.6.1.4.1.2021.11.52.0
※最後の0は何番目のCPUかを表します。マルチCPUであれば1を指定で2番目のCPUの値が取れます。
  他にもidle時間なんかも取れます。

但し取得してくる値はLoadAverageとは違うのでOptions[xxxx]:の部分に gauge, absoluteは指定しないで下さい。
参考サイト:MRTG: Net-SNMPでLinuxのCPU使用率をプロットするには
※既にリンク先のサイトはなくなっているようです

ということで私の場合はLoadAverageとCPU使用率の両方をRRDTOOL経由で記録して表示することにしました。
※5分の平均なのでCPU使用率がしばしば100%になっててもMAX値は記録されません。
  あくまでも平均としての目安で参考程度にした方が良いでしょう。

以下rrdcgiのサンプルです。
※cpu2.rrdがCPU使用率でcpu.rrdがLoadAverageになります。
  グラフの便宜上LoadAverageも百分率で表示しています。

------------------
#!/usr/bin/rrdcgi

CPU Use & Load Average for LS-GLDEB

System: localhost

Maintainer: Root

Ip: 192.168.x.x

The statistics were last updated .

------------------

Apache2 Indexesの文字化け

Apache2をバージョンアップしてみたところIndexesでファイルの一覧を表示しているページが文字化けを起こしました。
内部CharsetはUTF-8でAddDefaultCharsetもUTF-8、apache2/conf.d/charsetもUTF-8
ついでにphp.iniのDefaultChasetもUTF-8でなぜ文字化けするのか理解不能でした。

調べてみると同じ症状になった方がいるようですね。
一応http://www.apache.org/dist/httpd/CHANGES_2.2.6に書かれていますがなんとも(笑)
※既にリンク先のサイトはなくなっているようです

*) mod_autoindex: Add in Type and Charset options to IndexOptions
directive. This allows the admin to explicitly set the
content-type and charset of the generated page and is therefore
a viable workaround for buggy browsers affected by CVE-2007-4465
(cve.mitre.org). [Jim Jagielski]

本来は/conf/extra/httpd-autoindex.confを書き換えるのですがDebian標準インストールでは
Apache2.confに書いてあるので直接弄っちゃいます!

Apache2.confの セクションの以下の行に Charset=UTF-8を足せばOKです。
※UTF-8の部分はご自分の環境のCharsetで書き換えてください。

変更前
IndexOptions FancyIndexing VersionSort HTMLTable NameWidth=*
変更後
IndexOptions FancyIndexing VersionSort HTMLTable NameWidth=* Charset=UTF-8
↑次の行ではなく一行で書きます

当然ながら変更したらApache2を再起動してください。
再起動後にIndexesなページを再表示したら文字化けが解消されてました!

RRDTOOLのGPRINTを利用可能にする!

ARM系のLinuxでGPRINTを利用するとRRDTOOLが落ちるのはチラホラ報告されているようです。
cactiを利用してもGPRINTで落ちるようです。

最初はCDEFでunkwn値を0に書き換えることでGPRINTを利用出来たのですが
グラフの作成速度が非常に遅くて使い物になりませんでした。
もちろんCPU使用率もそのあいだは100%になってしまいます。
ちゃんとした方法でRRDTOOLのGPRINTを利用可能にする事を目標に一週間ほど格闘の旅に出ました(笑)

結論から先に書きますとカーネルがEABIでコンパイルされていることが問題でした。
EABIカーネルはiptablesの時もそうですが何かと問題を引き起こしてくれます。
※apt-getではOABI環境で構築されたものが配布されています。
ARM系のCPUは浮動小数点演算ユニットを持たないので
少しでも早くなるようにEABIで構築すべきでOABIなカーネルの構築をするのは得策とは言えません。

ということで自分でEABIなコンパイルで回避することに決定!

コンパイル方法はDLした圧縮ファイルの中にあるrrdbuild.htmlに詳しく書かれています。
ライブラリのバージョンが合わない場合はライブラリからコンパイル&インストールする必要があります。

まずRRDTOOLのソースをDLしてきて早速コンパイル!
configureが通りません(笑)

IEEE MATHがどうのとエラーが出ます。

これを回避するにはコンパイル前に以下を実行します。

export rd_cv_ieee_works=yes

またconfigure時の引数にはEABIコンパイル用のCFLAGSを書きます。
CFLAGS=”-Wall -g3 -ggdb3″

これでコンパイルしていけば無事にインストールが出来るはずです。
※dh_make -r
  vi debian/roulesでCFLAGS編集
  dpkg-buildpackageでパッケージを作成しようとしましたが
  パッケージの作成まではうまく出来てもパッケージのインストールで失敗したので
  普通にmake installでインストールしました。

無事インストールが完了したらGPRINTを試してみてください。
ちゃんと数値がグラフ画像内に書き込まれるはずです。
グラフ画像内ではなくグラフ画像外に数値を出したい場合はGPRINTででは無くPRINTを使います。
PRINTした後でグラフタグ外の書きたい部分にRRD::PRINTタグを利用すればテキスト出力されます。

numberの部分はPRINT記述の何個目かを指定できます。(スタートは0です)

殆どrrdbuild.htmlのままですがインストールまでを書いておきます。
※rrdtool-1.2.15を例にしていますがライブラリも含め
  バージョンの部分が変わるくらいで手順は殆ど同じになります。

BUILD_DIR=/mnt/disk1/build/rrdbuild
INSTALL_DIR=/usr

mkdir -p $BUILD_DIR
cd $BUILD_DIR

export rd_cv_ieee_works=yes

※ライブラリのVersionが一致していない人はライブラリからインストールします。
  他のアプリケーションで利用されている場合はPCが不安定になる場合があります。
  特にバージョンダウンは止めたほうが良いでしょう。
  もっとバージョンの新しいRRDTOOLソースをダウンロードしてインストールしましょう。

cd $BUILD_DIR
wget http://oss.oetiker.ch/rrdtool/pub/libs/zlib-1.2.3.tar.gz
tar zxf zlib-1.2.3.tar.gz
cd zlib-1.2.3
env CFLAGS=”-Wall -g3 -ggdb3″ ./configure –prefix=$BUILD_DIR/lb
make
make install

cd $BUILD_DIR
wget http://oss.oetiker.ch/rrdtool/pub/libs/libpng-1.2.10.tar.gz
tar zxvf libpng-1.2.10.tar.gz
cd libpng-1.2.10
env CPPFLAGS=”-I$BUILD_DIR/lb/include” LDFLAGS=”-L$BUILD_DIR/lb/lib” CFLAGS=”-Wall -g3 -ggdb3″
./configure –disable-shared –prefix=$BUILD_DIR/lb
make
make install

cd $BUILD_DIR
wget http://oss.oetiker.ch/rrdtool/pub/libs/freetype-2.1.10.tar.bz2
tar jxvf freetype-2.1.10.tar.bz2
cd freetype-2.1.10
env CPPFLAGS=”-I$BUILD_DIR/lb/include” LDFLAGS=”-L$BUILD_DIR/lb/lib” CFLAGS=”-Wall -g3 -ggdb3″
./configure –disable-shared –prefix=$BUILD_DIR/lb
make
make install

cd $BUILD_DIR
wget http://oss.oetiker.ch/rrdtool/pub/libs/libart_lgpl-2.3.17.tar.gz
tar zxvf libart_lgpl-2.3.17.tar.gz
cd libart_lgpl-2.3.17
env CFLAGS=”-Wall -g3 -ggdb3″ ./configure –disable-shared –prefix=$BUILD_DIR/lb
make
make install

※ライブラリが一致している人はここからでも構いませんがCPPFLAGS、LDFLAGSの書き換えは必要です。

IR=-I$BUILD_DIR/lb/include
CPPFLAGS=”$IR $IR/libart-2.0 $IR/freetype2 $IR/libpng”
LDFLAGS=”-L$BUILD_DIR/lb/lib”
CFLAGS=”-Wall -g3 -ggdb3″
export CPPFLAGS LDFLAGS CFLAGS

wget http://oss.oetiker.ch/rrdtool/pub/rrdtool-1.2.15.tar.gz
tar zxf rrdtool-1.2.15.tar.gz
cd $BUILD_DIR/rrdtool-1.2.15
./configure –prefix=$INSTALL_DIR –disable-python –disable-tcl
make clean
make
make install

以上

MRTGからRRDTOLへ移行

MRTGからRRDTOLへ
誰もが通る道でしょうか(笑)

まずRRDTOOLをインストールします。

apt-get install rrdtool librrds-perl

次にmrtg.cfgをRRDTOOLを利用するように追記します。
以下の一文を最初の方に追記してください。

LogFormat: rrdtool

これだけで次回起動時からRRDTOOLを利用してログを書き込むようになります。
※ログファイルはxxxx.rrdという感じで拡張子がrrdで作成されます。

MRTGからRRDTOOLに移行するとグラフは自動で作成されなくなります。
そこで一般的に使われているフロントエンド 14ALL や mrtg-rrd を使用してみました。
はっきり言って玄箱ProやLS-GLなどのARM系では使えませんでした。
そこで直接RRDTOOLを利用してグラフを書いてみることにしました。

今回はPCの負荷を減らす為にオンデマンドでグラフを作成します。
グラフの作成方法などは沢山検索で出てくると思いますのでここでは省略します。
※rrdcgiを利用してみましたがRRDsでも同様のことが実現できます。

グラフは慣れれば比較的簡単に作成することが可能になりました。
CPU、メモリが非力なNASベースのサーバーでDBインストール必須なcactiは使う気になれません。
グラフを自分で作成できればcactiなんて要りませんしね。

さてここで一つ問題が発生しました・・・
PRINTやGPRINTを使用するとRRDTOOLが落ちてしまいます(^^;
数値を入れなければ問題ないんですがやっぱり数字は入れたいですよね。